資安危機四伏,政府、企業如何應戰?

據網路安全解決方案廠商Check Point Software Technologies Ltd,2024年全球平均每周網路攻擊次數為1673次,但台灣同期平均每周遭受3993次攻擊。(示意圖/Pixabay)
[NOWnews今日新聞] 據網路安全解決方案廠商Check Point Software Technologies Ltd,2024年全球平均每周網路攻擊次數為1673次,但台灣同期平均每周遭受3993次攻擊,位居亞太地區之首,是全球平均的138.6%。
國安局今年1月發布的「2024中共網駭手法分析」報告指出,政府服務網去年每天平均遭侵擾數為240萬次,是2023年日平均侵擾數120萬次的2倍。
層出不窮的網路攻擊,台灣又該如何建立起防護網?
數發部統計,去年資安法納管機關遭受的資安威脅中,以資訊蒐集為主,占比達43.2%,主要透過掃描、探測及社交工程等手法。其次為入侵攻擊(18.8%),攻擊者成功破壞系統與服務,導致未經授權存取,甚至使受害主機淪為殭屍網路節點;另尚有入侵嘗試等,試圖入侵未經授權主機,包含試圖透過暴力破解或利用已知與未知漏洞等攻擊手法。
數發部表示,現今因雲端服務快速的發展,衍生多元威脅,駭客近年來常利用合法掩護非法來隱蔽攻擊行為,如透過正規的雲端服務架設惡意中繼站等行為,試圖規避資安偵測。另外也有利用釣魚網站之網址混淆融入政府機關網域名稱,搭配業務資訊寄送郵件攻擊政府機關與民眾。
工研院在資安研發上扮演兩大角色,一是開發次世代技術,二是從政策面推動資安,重點在研究產業端的曝險狀況,包括有什麼樣的弱點暴露在外、以及用什麼技術緩解這些問題。
他表示,今年會發布《台灣資安曝險調查白皮書》,調查台灣上市櫃公司、中小企網路曝險狀況,而以前五名弱點來說,主要都是來自網站,包括存取身分驗證、偽冒網站識別等;此外,企業電子郵件因伺服器設定不當,易遭偽造,成為詐騙目標。
台灣面臨嚴重的勒索軟體威脅,攻擊特徵為長時間潛伏,發作時迅速加密或竊取大量資料,造成巨大破壞。
採訪當下正好發生馬偕紀念醫院遭勒索軟體攻擊事件,卓傳育則表示,類似意外在高科技製造業更是層出不窮,自己與資安同業都在忙著救火,「大家看得到新聞上有講的真的是冰山一角。」
他說明,許多企業現在都在推動數位轉型、物聯網及AI,這些代表許多過去相互獨立的資料、系統現在有更多串聯空間,如此一來將會讓網路環境更加複雜,也讓資安人員要管的事情變得更多。
再加上,勒索軟體也不會直接破解防火牆,更多是從內部開始攻擊,如果有新進人員不小心把惡意程式引入,那麼內部就會暢行無阻,也更頻繁影響到海量資料。
目前較為被動的做法,是企業在受攻擊後公開資訊,讓資安公司及相關企業提高警覺,但卓傳育認為,大部份狀況是企業中招後都選擇默默處理,資安廠商基於保密協定也不會主動申報,因此只有不到3成的案例會主動揭露。
若企業無法掌握自身資安問題,就難以評估所需資安產品。因此,除半導體與金融業資安控管較完善外,其餘產業普遍不足。
然而,中小企業即便擁有資安方案,最大問題仍是缺乏足夠人力執行。即使收到大量警告,若無人監測,仍是徒勞無功。關鍵不在於不願找資安人才,而是市場缺乏,因而亟需更自動化、內網導向的解決方案。
產業資案危機多 數發部、工研院獻策防堵
面對國內大大小小的產業資安問題,數發部提出,對於民間企業部分,本署持續鼓勵民間企業加入台灣電腦網路危機處理暨協調中心(TWCERT/CC)強化公私協力資安聯防。
數發部說明,TWCERT/CC成立於1998年,屬於國家資通安全研究院旗下行政法人,成員包括民間企業及政府部門。對於資安事件設立通報機制。若企業遭遇資安事件,可通報TWCERT/CC,讓成員掌握漏洞資訊,及早修補防禦。
而工研院則從3個面向解方。第一,工研院與SEMI國際半導體產業協會及台積電合作,催生出「半導體資安標準SEMI-E187」,不僅僅適用於台灣半導體供應鏈,更也可以擴大到全球。
第二,工研院也推動「零信任治理」資安認證方案,協助長商可以去證明目前資安方案可以合規,包括「FIDO認證」及資安設備的「FDO認證」一條龍服務,確保認證存取強度。
最後,工研院也推出未來性技術進行著墨,如後量子資安(PQC)加密技術,這個部分台灣走得比全世界來得快。另一方面,面對來自AI所串連出的資安問題,很難用人工就來處理,因此工研院就想到必須要用AI來解決;對此,工研院研發出「自動化網路控管技術Janus」,取名字羅馬神話中的門神。
卓傳育表示,資安攻擊現在都不是從防火牆進入,而從內部發生,但如果要寫很多網路政策、內網防火牆,就必須要由人來管理,這也是大家就難有資源執行。
Janus可學習網路環境中的正常行為,套用『唯一信任』機制,確保用戶行為符合規範;若偵測到異常,則立即通報、阻擋並隔離。
他表示,Janus優點是他並非一次性解決方案,而是具有持續性,隨著設備新增或減少,都可以重新學習任何變動,再度分辨正常與異常行為,如此就可以減少人工監視;假如上述模式仍不足以杜絕風險,企業也可以把特定漏洞整理出來,方便交由資安廠商處理。
卓傳育總結,「網路攻擊不挑對象,哪裡有洞就往哪裡攻」,企業不僅僅要把自身資安做好,資安也已經變成整條供應鏈的「硬需求」,因為即便大公司可以防護到滴水不露,但只要底下企業出現資案漏洞,就會讓整條供應鏈受影響,但現在許多產業都連自己資安落後都不清楚。
但若資安方案需投入過高成本、資源,甚至影響企業正常運作,最終恐導致業者因負擔過重而疏於防護,反而成為風險,因此工研院希望,讓廠商可以保有一定彈性下,用最方便的狀況來自我強化資安。

預算遭砍4砍 數發部憂資安受到影響
然而,就算政府針對資安有心推動,終究必須要有足夠預算才可以執行。數發部今年預算遭刪減逾4成,其中資安院被砍25%預算,約2億元,導致部分業務須調整執行模式,甚至影響資安營運AI化計畫的進度。
數發部長黃彥男便表示,資安就像貓捉老鼠,老鼠一直在進化,甚至老鼠還用AI,跑得很快、攻擊角度也多、技術也新,「我們做貓的人當然也要跟上」,他形容,基本上就是戰爭,而數發部就像網路上的國防部。
資通安全署表示,署預算共有7.88億元,目前初步盤點被刪減約有3500萬元,其中700多萬被刪到一毛不剩。
對於預算刪減有多大影響?目前受到最大影響是過往都會安排國際資安演訓、駐外館資安健檢,以及參加跟重要友邦合作,這些都受到出國旅費刪減影響。而由於《資通安全管理法》正臨修法,以往會到各縣市收集意見,但現在應該會選擇讓各縣市前往台北開會,或是舉辦線上會議。
但資安署強調,仍秉持著資安工作不中斷原則,戮力完成各項資安推動政策,減少因預算刪減造成的影響,維持政府資安防護量能。
相關新聞
探索跨界科技新風潮!國科會「2025 GiCS尋找資安女婕思」啟動
又傳院方系統遭勒索攻擊!衛福部急協調 派資安專家南下進駐醫院
「病例打不開」!馬偕醫院遭駭客攻擊 衛福部派資安專家搶救
- 記者:nownews
- 更多生活新聞 »