2021 年 8 月 25 号,美国总统拜登 ( Joe Biden ) 在白宫会见了苹果 ( Apple )、Google、微软 ( Microso )、摩根大通 ( JP Morgan )、和 IBM…等各家全美大型企业的 CEO 及教育界高层,共同商讨如何透过全国的努力解决已成为燃眉之急的美国资安危机。会议后,除了由政府发起的多个政策提议外,微软、Google、苹果、Amazon 及 IBM 等业者也都作出了具体承诺。其中,Google 及微软将在未来 5 年内分别投入 100 亿及 200 亿美元的资金,来推动供应链、程式码与网路架构的安全性。苹果也计画建立一个新专案以改善该公司技术供应链的安全,并与其在美国逾 9,000 家的苹果供应链者合作,大规模地采行安全训练及认证、漏洞修复、及紧急意外应变等措施。 IBM 也宣布加入资安人才培养,准备在未来 3 年内训练出 15 万名具备资安能力的专业人员。根据白宫的估计,包括私人企业和政府机构,目前全美还缺少近 50 万名资安人才,而这也是为什么各大企业除了改善自家安全能力以外,也承诺要全力协助进行教育训练。
是什么样迫切的资安危机让全美从政府,企业到民间纷纷出手,以具体行动积极回应呢?
刻不容缓的全球危机
去年年底,美国政府机构与企业遭遇有史以来最严重的骇客入侵。美国网路平台管理业者 SolarWinds 遭到多个骇客组织入侵,在 9 个月内,美国超过 1 万 8 千多个企业和政府机构,包括国务院、司法部、财政部,甚至连微软都表示旗下 Windows 作业系统的原始码也在这次的攻击之中被窃取。在这次史无前例的骇客攻击前,SolarWinds 并不是一个大家耳熟能详的大型科技公司,这家总部在德州首府奥斯汀 ( Austin ) 的软体公司以发展企业管理网络、系统和资讯基础设施的资源监控与管理在业界有一席之地。依据公司官网所公布的采用企业名单中,财星 ( Fortune ) 500 大企业就有 425 家采用它们的产品,包含美国前几大电信商、国防单位、军火商、政府机关、大学院校都是它的客户。旗下客户也遍布全球:从北美、欧洲,到印度、中国、日本与台湾都有采用它们的产品。
去年底针对 SolarWinds 的骇客攻击一开始是被资安业者 FireEye 在 2020 年 12 月 8 号所发现的,他们表示公司内部测试资安的软体工具被骇客外泄。 5 天后,FireEye 进一步揭露是 SolarWinds 的网管监控软体 Orion 被置换植入木马程式,在客户下载更新后骇客便会利用更新的程式码骇入用户的资讯系统。因全球有超过 3 万个公私立机关企业使用 Orion 监控软体,即便 SolarWinds 产品被骇揭露的当天是周日,但 CISA ( Certified Information Systems Auditor ,国际电脑稽核师)仍在当日发布紧急通知,要求美国联邦机构立即关闭被植入木马的 SolarWinds 系统,而媒体也揭露财政部、商务部和国务院等重要机关遭到骇客入侵的消息。隔天 SolarWinds 股价跳空大跌 17%,在之后长达数个月的调查中更发现 SolarWinds 早在 2019 年的 9 月就已经受到有计画的入侵。骇客先入侵公司的内部网路,不动声色的做了很多探查后才在隔年的 2 月将木马程式部署到该公司系统环境,但 SolarWinds 却直到 2020 年的 12 月才知道有这个安全漏洞的存在。
骇客从入侵 SolarWinds 的单一产品最后导致超过 1 万 8 千多个企业客户受到感染,整个影响过程透过对产品和公司的信任圈一路扩大,因为每家企业都有许多的供应商,彼此之间因生意往来,通常存在信任关系。
其次,在多家供应商中,总会有资安人员不足或资安防护有破口的厂商。再者,如果攻击者的目标不是单一公司,是整个纵向或横向的产业链,整个产业链的主要供应商就是一大目标。这个针对供应链攻击的常见攻击手法主要有两种: (1) 骇客透过入侵特定软体开发公司或委外人员电脑,进行窜改程式或下载连结等行为,造成大范围感染与扩散;(2) 骇客入侵软体开发厂商后,以开发商作跳板,再渗透客户环境,利用客户信任的管道进行散播。在近 20 年前的第一起著名供应链事件后,国内外类似的攻击事件层出不穷,虽然供应链造成的损失金额难以估计,但根据专业机构的统计,从 2015 年 2 月至 2019 年 6 月全球发生的软体供应链攻击事件达 216 件,但之后短短的一年之内供应链攻击数目却成长超过 4 倍,高达 929 件。即便全球企业去年花在网路安全的资本支出年增一成至 530 亿美金,但去年一年间被盗取的资讯量却比过去 15 年之间的总和还多,资安攻击俨然已成为全球企业及政府机构的燃眉之急。
勒索攻击:付钱了事?
2021 年 5 月初,美国最大燃油输送管线系统业者 Colonial Pipeline 遭到勒索软体攻击,在 5 月 7 号的事发凌晨,一位控制中心的员工看见一封要求以加密货币付款的勒索电邮,当天傍晚执行长就决定把整个公司的输油管线全部关闭。由于 Colonial 每天运送多达 1 亿加仑的汽油、柴油、航空媒油与家用燃料油,也负责美国7个主要机场的燃油供应和多达整个美国东岸 45% 的燃料供应,美国在两天后就宣布进入紧急状态 ( State of Emergency ) 。这是 Colonial 成立 57 年以来第一次把所有的输油管道全部关闭。事后发现骇客在事发前一周即利用一组过期员工帐号登入公司虚拟专用网路 ( Virtual Private Network ),入侵了公司系统。为了保持燃油的正常供给,美国运输部也破例让当地燃油业者使用一般道路运送燃油,但因为供给短缺,美国每加仑的平均油价还是因这起事件在 7 年以来第一次涨破三美元。攻击 Colonial 的骇客不仅渗透了公司网路、加密了系统档案,也下载了大量公司的机密资料作为威胁。 Colonial 在不得已的情况下支付了 4 百多万美金的加密货币作为赎金。
同一个月,全美最大的肉品供应商之一的 JBS USA,也透露遭到骇客入侵瘫痪了它在美国最大的五座工厂的运作,骇客同时干扰了公司在英国和澳洲的运行。公司不得已支付了 1 千多万美金的赎金息事宁人。 2021 年 3 月,全美第七大的保险公司 CAN Financial,也因为有大量资料被骇客窃取,支付了 4 千多万美金的赎金。近两年来,全球勒索攻击事件大增,光今年上半年跟去年同期相比就年增超过 10 倍,每周平均攻击次数高达近 15 万次。而根据资安业者统计,过去两年全球企业有高达八成遭受过勒索软体的攻击,其中因攻击而资安受损的企业有近四成选择支付赎金以救回资料,其中以美国企业平均支付的 630 万美金作为赎金最多,加拿大企业也付了 530 万美金。虽然多数受害企业相信付钱了事后公司在两天内即可恢复正常运作,但实际情况是超过四成被攻击的公司营运中断,36% 发生严重断线,因勒索攻击实际损失营收和流失客户者各有 28% 和 21% 。根据专家估计,今年全球受到勒索软体攻击的损失上看 200 亿美金,资安问题和勒索攻击俨然已成为许多企业必须严肃应对的经营风险。
远距工作、物联网、元宇宙对资安带来更大的挑战
许多企业愿意花钱息事宁人的态度,也让食髓知味的骇客们变本加厉,资安攻击已演变成大型国际化的组织犯罪。其中主导 SolarWinds 攻击的俄罗斯骇客集团 Nobelium 从 2015 年开始就长期、有系统性地骇入全球资讯供应链。近期以勒索软体攻击崛起的 DarkSide、REvil 等国际犯罪集团等更是惊动多国政府,REvil 则是在美国安全单位与多国盟友联手合作下,藉由渗透它的网路基础设施,将其围捕歼灭。同时因疫情兴起的远距工作,使得个人及企业对于整合通讯及云端作业的需求大增,从视讯会议、远端操作、到群组即时通讯…。一般公司为了在疫情下让员工远距工作,维持公司营运而大量使用网路通讯也使得骇客针对这些通讯设施的攻击机会大增。另一方面,未来日渐普及的物联网环境将使得原本较不依赖新兴网路科技的传统产业如制造、物流、运输、零售等更容易暴露在骇客的攻击下。
除了上述资安问题外,近期火热的元宇宙 ( Metaverse ) 概念也可能成为隐私与资安的黑洞。元宇宙对于虚拟 VR/AR的软硬体应用要求大幅提升,也势必要搜集大量使用者的眼部活动、表情、语音、生物特征或周遭环境等数据。因此不论是穿戴装置遭骇客入侵,或是元宇宙入口平台的数据遭到滥用,例如虚拟资产被窃盗等…资安风险到了元宇宙时代反而会更加严重,更需要精密周全的资安防护。
“零信任”( Zero Trust )的资安新时代
根据趋势科技 ( Trend Micro ) 的调查,全球近三分之一的企业决策者认为资讯安全是当今经营环境中最大的商业风险,而且有超过六成认为企业必须能有效管控资安风险才能保持竞争优势。尤其是在企业普遍采取远距云端作业后,资安威胁的演变更是难以预测,防御策略也必须有所调整。过往「企业内部网路的人、事、物就是安全可信任」这类的资安思考都必须严格的重新检视。在现今的资安环境,对于任何网路存取的要求都必须以不可信任为前提,唯有经过严格认证后,才可以依权限存取。
这个新兴的“零信任”( Zero Trust ) 概念主张资安信任是必须持续评估认证,要主动以骇客及勒索攻击方的角度来检视目标(自身)的供应链脆弱环节,及时的部署、规画适当资安机制。企业也必须学会如何有效的控制风险,而不是追求百分之百的资安防护以消灭风险。决策者必须先评估企业最有价值的数位资产 ( digital assets ) 是什么,如何有效的加以保护。在这个资安漏洞层出不穷的世界,有效率、持续性的风险控管和评估是值得思考的做法。
在这个全球加速数位化的世代,专家预估在 2025 年,全球资安犯罪造成的损失可能高达 10.5 兆美元,资安泄露的巨额成本也将推动企业资安的相关资本支出大幅成长至每年 4,600 亿美金。企业决策者如何运用网路的新兴科技开发新商机、提升营运效率,同时又有效的控制资安风险,将是未来企业经营的重大考验。