NO.51 | 2019.01.31
banner
title資訊百科 友善列印>>
【108年智慧城市展參展主題系列】資安事件與資安訊息分析平台_資通安全組 林高裕經理



    網際網路是數位國家最重要的通訊網路之一,涵蓋民生、社會、經濟甚至國防,是數位活動的重要資訊空間
(Cyberspace),且台灣地處政治、軍事敏感地帶,且台灣又是個數位活動非常成熟的地區,往往是許多不法份子
(Hacker、Cracker)的攻擊、破壞、甚至於試煉的首選場域,此外,涉及人權或政治議題時,激進駭客(Hacktivist)也會在敏感時刻於台灣網路上出現蹤跡,例如:匿名者(Anonymous)。在蔡總統提出「資安即國安」的國家整體發展方向上,除了加強我國數位經濟發展並奠定安全的網路環境外,進一步在國防議題上,因應數位戰的趨勢,強化資安防護能量是首要任務。因此,由行政院資安處領軍建立八大關鍵基礎設施資安聯防,以及六都聯防等國家層級的資安防護體系,以提升整體國家關鍵基礎設施資安防護能量。

    因應各種環境、場域及應用之數位化發展,國家推動了許多「智慧」化生活應用,例如:智慧城市、智慧家庭、智慧交通、智慧醫療…,而在數位化趨於常態、成熟且高度被民眾接受的發展下,企業面對資安的議題將不應再是過去被認為是「額外負擔」、「營運成本」等較為負面的面向來進行企業營運規劃,資安與企業的「永續經營」已經緊密的結合,資安事件影響層面不僅造成實質上的經濟損失,更進一步影響了企業的品牌形象,例如在107年發生於台灣的重大資安事件:「台積電中毒大當機,52億元經濟損失」

    「遠東銀行國際匯款系統SWIFT(The Society for Worldwide Interbank Financial Telecommunication)遭駭,盜轉18億元到海外」等著名國際的資安事件,

(圖片來源:iThome
 
    此外還有許多為數不少的勒索事件、服務癱瘓事件、及企業資訊遭竊取或外洩事件等層出不窮的資安議題,均已直接影響企業的正常運作。

    電信技術中心於106年起協助主管機關參與八大關鍵基礎設施之聯防規劃,同時積極強化資安實驗室與研發團隊,厚植資安分析能量,並協助主管機關開發「資安監控分析通報平台」,結合誘捕系統之研發與建置,大量蒐集網際網路上的威脅活動,具備整合資安監控中心SOC(Security Operation Center)之資安事件監控能力、外部合作(國)機構之雙向情資交換能力,不僅協助主管機關針對網際網路上的惡意行為主動提供通報事件、追蹤及應變處置,更進一步為了智慧化生活,建立起安全防護監控之機制,提供企業資安防禦能量之資訊。例如:於107年11月Apache基金會發出漏洞警告,本中心藉由「資安監控分析通報平台」,持續觀察及追蹤Apache Struts 2對台灣網際網路的弱點威脅情形,並進一步分析其樣本資訊,並將分析結果製作分析報告及相關入侵指標(Indicators of Compromise, IoC)情資分享給平台使用之業者進行防護作業。
以下簡介Apache Struts 2弱點威脅說明:

    Apache Struts 2是一個用於開發Java網路應用程式的架構(框架),也是由Apache軟體基金會(ASF)贊助的一個開源項目。該架構曾於106年3月爆出網站伺服器所使用的框架屬Struts 2版本,在負責處理檔案上傳封包的jakarta解析程式(Parser)存在弱點(CVE-2017-5638)。讓攻擊者可寄送含有特殊
Content-Type或Content-Disposition數值的封包,或不正確的Content-Length Header封包,造成攻擊者可遠端執行任意程式碼甚至取得管理員權限,導致機敏資訊外洩。Apache Struts 2屬於開源項目,因此在網路上相對容易取得,於各大企業廣泛的使用;反之,由於此框架長年被爆出漏洞,因此針對使用Struts 2弱點進行的攻擊行為也層出不窮,影響範圍包含了銀行、電信、電商等產業皆受到波及。Apache基金會除了釋出更新檔修補漏洞外,也同時呼籲普遍使用該框架網站之用戶應盡速更新,避免網站受到駭客控制以及機密資料外洩。於107年底,Apache基金會再次警告,
駭客針對含有遠端程式漏洞的Commons FileUpload函式庫進行攻擊(CVE-2016-1000031),並呼籲用戶儘快更新至Struts 2.5.18之後的版本。

    在獲得漏洞資訊的第一時間,本中心透過系統輔助進行資安監控與分析,於107年12月偵測到許多來自國外的IP並試圖以
Apache Struts 2的弱點進行攻擊的活動,攻擊來源遍及俄羅斯、香港、中國、美國,甚至台灣自己網路內受感染之主機意圖對其他用戶的攻擊活動。此外,攻擊對象不單單僅針對Windows作業系統,
亦針對Linux作業系統之Apache發動攻擊。以Linux之Apache為例,首先駭客會先利用未修補Apache Struts 2漏洞的網路伺服器進行攻擊,並取得遠端程式控制權,入侵後駭客會嘗試在受害主機內執行script下載惡意程式,

(圖片來源:本中心情資系統)

    此惡意程式在取得root權限後,會將自己隱藏於後台運行,同時會將系統上的防毒軟體關閉,包含avast、avgd、
 safedog …等。駭客於入侵一切就緒後就會執行其最主要的功能,對加密貨幣進行挖礦。此惡意程式不僅利用受害主機
挖礦外,還會持續使用網路通訊服務感染更多遠端伺服器,擴散至其他系統。

    上述案例,僅僅是網際網路攻擊活動之冰山一角,企業在面對智慧應用積極發展的趨勢下,資安防護的面向變得廣泛且不利於防守,其中良好的縱深防禦也僅僅只能視為標準的安全防護作為,因此應建立在企業組織內之資訊與資安的專業分工,確立資安的專業領域;同時在資安人才培育不易、資安技術演進快速的情形下,企業亦應適度建立與專業廠商或團隊間的防護協助,以數位保全的角度或數位家庭醫生的心態來看待資安議題,融入實際的作業流程或企業持續營運計畫中,讓資安作為可以發揮應有的效益,讓「智慧」應用可以安全無後顧之憂。


備註:本文封面圖片來源:iThome