Yahoo奇摩新聞 政府資安問題再度浮上檯面! 抵擋網路攻擊需有「白帽駭客」思維
針對國內政府網站、教育單位和業者廣告看板近來陸續被駭情形,時代力量立院黨團於9日呼籲政府應即刻強化資安管理,加速資安人才育成,並對國家的資安體制進行一次總體檢。
立委邱顯智指出,這一波網路攻擊暴露出台灣的資安防禦存在許多漏洞,但行政院卻表示這波攻擊「未達資安危機程度」,其實是低估了駭客的威脅性。去年政府也曾發生過約17起嚴重性達3級的資安事件,多為損及資料機密的外洩事件。
不只是政府機關,上週的網路攻擊更波及連鎖超商,櫃台後方的數位看板顯示「戰爭販子裴洛西滾出台灣」的激烈用詞。還有去年6月中油曾遭勒索軟體攻擊,使全台加油站系統停擺,無法提供服務,這些都顯示了來自四方八方的駭客無所不在。
針對國內企業日益增長的資安需求,金管會更在去年底修正發布「公開發行公司建立內部控制制度處理準則」,要求「實收資本額達新臺幣100億元以上、前一年底屬台灣50指數成分公司及主要經營電子商務媒介商品或服務之上市(櫃)公司」,應在2022年底前指派資訊安全長並設置資訊安全單位,此資安單位須包含資訊安全專責主管及至少2名資訊安全專責人員。
立委王婉諭指出,導致資安破口的重要原因之一,就是台灣的整體資安人力根本不夠。審計部「109年中央政府總決算審核報告」即指出,我國A至C級的機關中,有超過35%的單位有資安人力不足的情形。
不少企業就算有配置資安人力,卻無法抵擋來自駭客的攻擊。對此,台灣有一家攻擊型資安業者DEVCORE(戴夫寇爾)成立將屆滿10年,該公司專注於世界級攻擊手法研究。DEVCORE執行長翁浩正認為,台灣企業目前遇到的最大困境是資安風險的戰場遠比企業想像得更⼤,在防禦者與攻擊者雙方資訊不對等的情況下,政府或企業難以由駭客視角辨識出其重點攻擊區域,進行有效的相應防護配置,導致未設防禦的區域往往成為攻擊入侵路徑,進而造成損失。
翁浩正建議,企業檢視風險時,應該不只是針對法規要求項⽬,來挑選防護範圍及標的;還可藉由如紅隊演練、滲透測試等外部之風險評估方式,驗證企業投入資安防護的有效性,包含盤點監控涵蓋率、事件的準確性及回應時間等,找出未知風險所在。
DEVCORE在2017年正式推出紅隊演練(Red Team Assessment)服務,在不影響企業營運的前提下,對企業進行模擬入侵攻擊,在有限的時間內以無所不用其極的方式,從各種進入點執行攻擊,嘗試達成企業指定的測試任務,也就是俗稱的「白帽駭客」立場,從駭客思維來協助各企業的資安長評估風險與配置資源。
