資安大會於上週落幕，當中主辦單位之一的奧義智慧科技的共同創辦人吳明蔚針對台灣高科技製造業目前的外洩數據，指出該產業目前所面對的資安裂縫——帳密裂縫、人資裂縫、資安供應商裂縫以及供應鏈裂縫。

近 2 年，勒贖軟體攻擊事件在台灣，似乎已成為一件屢見不鮮的事，尤其是高科技製造業，更是成為了全球駭客集團覬覦的對象。

與傳統勒索多以加密檔案作為威脅，向企業索取贖金的攻擊型式相比，吳明蔚指出，近來更多複合型攻擊在勒索犯罪集團出現，他們不再只是利用勒索軟體阻斷使用者存取檔案，而是利用APT手法入侵後，先偷取重要資料後再加密，接著才向目標對象勒索。若對方不肯交付贖金，犯罪組織還會透過逐步洩露對方的機密或重要客戶資料的方式，逼迫受害者就範。

吳明蔚綜合了高科技製造公司面臨勒索常見的 4 個步驟手法：竊取(Steal)、加密(Encrypt)、勒索(Extort)、洩密(Leak)。此外他也補充，現在最新手法還出現了 DDoS 攻擊，透過癱瘓目標企業網站，讓其客戶無法使用。

儘管針對這類型攻擊的防禦，企業可以強化事前、事中及事後的資安配置，但吳明蔚直言，多數企業的最脆弱環節是在中場防線，原因為企業在建立 5 乘 5 資安防護矩陣(Cyber Defense Matrix，CDM) 時，迄今很多仍採用傳統資安防護思維，將重點放在事前防護，以阻檔型、預防型的資安產品為主，如設置防火牆、防毒軟體等，但當勒索軟體進到中場防線後，針對中場需要的事中偵測、反應的資安韌性防護能力，很多企業都遲遲未跟上，使得防護矩陣的中場防線出現很大空缺，讓攻擊者因此有了可乘之機，能像 APT 般進出，利用勒索軟體長驅直入。

「但只要提到資安投資，企業高層還是會有不同想法，這就是臺灣還需要持續進步的地方。」吳明蔚說。

而當遭遇勒索軟體綁架時，台灣目前許多的高科技製造公司，仍採取較為消極的做法，例如只是盡快將日常的備份資料還原資料或整個系統，避免產線中斷，卻沒有花時間調查入侵管道，從中學到新經驗讓自己防護能力持續進步，他認為，這其實容易帶來惡性循環，久而久之，這家公司對於這類攻擊缺少恐懼感，沒有意識到自己已經岌岌可危，甚至一夕之間可能遭駭客徹底摧毀，「這是非常可怕的事」他說。

在對抗過程中，他也提到說，現在企業防禦不是0或1，而是0到100%的過程。即使一開始防毒軟體沒偵測到，在攻擊者入侵一連串過程中，企業還是有機會來補救，端看自己有沒有辦法從很小的風吹草動，關聯出這些異常活動或行為，就有機會抓住它，甚至也能結合AI自動化處理機制，讓AI盡量把這些細微線索拼湊起來。讓它變成足夠大到讓企業注意得到。

他也將駭客在暗網上兜售來自臺灣高科製造業的各種外洩數據，以有系統的方式進行整理並經過去識別化後，列出當前迫切需要解決的 4 道資安裂縫，分別為帳密裂縫、人資裂縫、資安供應商裂縫以及供應鏈裂縫。當然還有其他沒提到的裂縫也是值得注意的。

供應鏈裂縫
雖然企業自己本身的資安做得好，但當其供應商的資安沒做好，駭客成功入侵的話，就有可能導致其資料外洩。

人資裂縫
若駭客在E- mail求職信中挾帶病毒，人資只要點開履歷信就會中毒，進而掌握這家公司所有重要員工資料。這樣的資料在暗網上販售也相當多，而且有的不只有人事資料，還有詳細的人資訪談記錄。這是他提到的第二個資安裂縫。

資安供應商裂縫
吳明蔚表示，他發現有企業委外辛苦演練社交工程，但演練結果被壞人拿走，出售於暗網上，這樣駭客就知道這家企業裡的哪些員工最容易受騙點開釣魚信，大大增加了資安風險。

帳密裂縫
吳明蔚指出，只要需要記帳密，壞人就有機會竊取。他認為最好的方式，就是使用免記密碼的 OTP（One-Time Password），或是透過可信的裝置，甚至連使用者名稱都不用記的 FIDO2 身分驗證，如此一來，就不會存在這個裂縫。

他表示，這 4 道裂縫也對應 4 個契機，讓企業能早一步將這些裂縫加以填補。他建議企業未來半年短中長期可採取的資安策略，短期可將包括雲端服務在內等所有服務帳號加入雙重身分驗證機制，接著，在 3 個月內完成 CDM 矩陣的評估，掌握企業曝險情況、AD 核心架構、服務安全、端點安全等，以及用 MITRE 的 ATT&CK 資安框架制定企業遭受駭客入侵等被攻擊情境，最後 6 個月內，由 IT 或資安部門開始展開小規模兵棋推演，包括事前、事中及事後，並透過 CDM 與 MITRE ATT&CK 持續改善並量測評估計畫。不過最重要的還是獲得高層支持。

參考資料：
https://www.ithome.com.tw/news/144345