今年初，世界經濟論壇(World Economic Forum, WEF)提出的《2019年全球風險報告》(Global Risks Report 2019)中，資安威脅的發生率已躍居全球風險前5位。

這份報告同時指出，日新月異的網路與技術的威脅是當前最重大的潛在盲點，更值得繃緊神經的是，專家們認為，我們仍未充分認識到網路化社會帶來的漏洞。

既然無法光靠人來抵擋這些網路威脅，是否能運用人工智慧(Artificial Intelligence, AI)來打造防禦金鐘罩，用機器來反制呢？台灣二版高級產品經理盧惠光笑說，現在連煮飯的電鍋都用AI，需要大量過濾資料的資安也升級為「智能資安」，運用AI、機器學習技術進行預防、偵測，可節省許多人力及提早發現異常。

找AI豎起快篩關卡

盧惠光指出，「雖然使用者行為難以預測，但透過機器學習，AI可進行使用者行為監控及分析，判斷這些網路行為是使用者正常行為，還是異常程序透過上網行為將資料傳輸出去；雖然資安人員可以快速檢視，但確認幾百萬筆資料還是需要時間，AI能協助快速抓出可疑資料，再經由人為判斷，以快速反應解除危機。」

對於智能資安發展，盧惠光則認為，「目前機器學習無法取代人，且需要仰賴人提供資料，建立學習模組及最後交由人為判斷，將來AI若進展到深度學習(Deep Learning)，如同下棋的AlphaGo一樣，那就相當強大，可以自主學習，也能主動發現公司設定漏洞、主動修復，若遇攻擊也會自動反應處理，到時甚至可能取代大部分人的工作。」

他也提醒，當資安對決演變成與駭客間的AI大戰時，除了不停開發新技術、查遺補缺以外，「站在防守角度，面對駭客不是技術問題，是人的行為問題，人的行為有太多漏洞讓駭客得以入侵。」投入資安領域超過15年，盧惠光看到的是，目前台灣企業對資安意識呈現M型化的兩極發展，「重視資安的企業沒那麼容易被駭，但同時也很多企業忽視資安，這也是為什麼就整體社會來看駭客會贏的原因。」

抗駭戰要有組織、制度

也就是說，想打造資安防護力，企業組織要先打造出看重資安的整體氛圍，才有機會多加一層保障，而想形塑組織的整體認知，絕非只是辦幾場教育訓練就能成功。台北市立聯合醫院資安長許世欣表示，得先從建立獨立組織開始。他認為專責單位與明確的組織制度有其必要性，並以聯合醫院設立資通安全管理中心的過程舉例說明，「這是管理層的眼界，資安工作範圍涉及全院，角色位階如果不對就很難統合。」

除了資通安全管理委員會、資通安全諮詢小組，為因應資安工作的突發性，許世欣統合資安全管理中心與執行管理單位成立3個機動小組。一是當資安事件發生時，迅速反應、處理的「緊急應變小組」；而「情資因應小組」負責妥善處理資安情報、病毒攻擊或系統漏洞消息，「過去情資來了，大家可能會確認沒事就過了，但現在情資來了就需立案、記錄，這樣做也是方便將來外部查核。」最後一個「稽核小組」則是因應系統需接受第三方認證而設立。

在完善的組織、架構支援下，今年3、4月許世欣搭起與各OT部門溝通的橋樑，營造OT相關的資安意識，「現在大家敏銳度提高，有事情也知道可以問誰，這是一種氛圍。」舉例來說，他曾接到一個醫療OT部門的案子，某儀器商希望能拉一條專線接到醫院系統，如果設備出問題可遠端馬上排除，拉專線的費用也由廠商負責，「聽起來是不是很美好？」許世欣笑著問。

最後這個提案被否決了。他解釋，「派人到現場維修可能要等2∼4小時，線上處理也許只要5∼10分鐘，對使用者來說聽起來很好。但若從資安考量，這條線接到醫院系統上，醫院怎麼知道廠商何時進系統？進系統是蒐集設備資訊還是病患資訊？這是把醫院曝露在風險下！」許世欣強調，處理這些問題都要很小心，「有時美其名是服務，但實際上對方做了什麼你可能都不清楚。」

2019是OT的主場年

針對企業總是一窩蜂的把資安與IT設備畫上等號，IBM也認同OT是必須特別留意處，在提供資安防護解決方案服務部分，今年更將科技製造業的OT資安防護列為首要目標。IBM資訊安全部門全球威脅情報防禦產品協理謝明君舉例說明，「像製藥業通常是連續製程，一站接一站沒有回頭路，當一批貨走錯路，可能讓藥品遭到污染。幸運的話在品管階段就報廢掉，但也有可能最後流到市面上，演變成藥物安全問題。再看電池製造業，一旦生產線上有問題沒被偵測到，生產的電池可能反應不靈敏、壽命短，甚至會有爆炸問題。」

無論資安事件的起因是透過專線感染，或機台定期維修時的軟體更新失控，即使只是一個尚未造成嚴重損失的威脅，仍可能因為資料在生產網絡中、甚至供應鏈廠商間不斷交換，傳遞錯誤的情報，最後導致企業做出失敗的決策。

因此謝明君認為，「資安風險就是商業風險。」有些老闆的心態是交給IT或資安長就搞定，但資安認知與防護不能只靠少部分人努力，而是全組織的共同任務。像資安政策往往會包含員工與各級單位要遵守的許多規範，如果組織成員有便宜行事的態度就容易讓企業的防線破功；要做資安也會有添購軟硬體等需求，唯有不同單位，例如：營運、財務等不同單位都認同資安的重要與必要，願意全力給予資安單位或專案支持，企業對外的抵禦力才有機會變得健全。當企業處於資安專業人才暫時不足的轉換期，也可以藉由IBM的服務或顧問團隊，從分析公司營運特性著手，先一步建構客製化資安防護解決方案。

今年9月，風險管理公司Marsh與微軟共同發表了《2019全球網路風險感知調查》(2019 Global Cyber Risk Perception Survey)，有意思的是，有47％的企業購買了資安相關的保單。然而，「只要有買保險，就肯定不會出包」的傳說有可能應驗嗎？面對資安的新趨勢與風險，企業、個人，甚至政府又該怎麼推動，才能拉開網路上我們與「惡」的距離？更多精彩報導，請看本期《能力雜誌》。

【本文出自《能力雜誌》2019年10月號；訂能力電子雜誌；非經同意不得轉載、刊登】

2種攻擊災害更嚴重

值得注意的是，製造業過去對網路攻擊的普遍認知是為了獲取情報，但2019年DBIR報告首次顛覆這個認知，Verizon安全研究主管Alex Pinto表示，其實在2018年DBIR報告中就已顯示出，以目的而言，勒索錢財的網路攻擊事件正全面增加，已經超越為了執行網路間諜任務者，且過去1年裡，兩者的差距繼續擴大，如今製造業面臨勒索錢財的攻擊占比已高達68％。

比對2018年及今年的DBIR報告，也可看出駭客的行為傾向發展出2種趨勢：攻擊者正轉向更容易攻擊的目標，以及網路釣魚重心逐漸向高級管理階層傾斜。例如：在金融詐欺事件上，因為EMV晶片信用卡逐漸普及，取代了過往的磁條式卡片，這讓有卡詐欺變得更不容易成功，因此犯罪目標便轉向無卡詐欺，像是基於Web應用的支付詐欺就快速成長。

此外，過往以獲利為目標的犯罪集團通常會選擇攻擊銀行客戶，但如今並非只有坐擁鉅額資產者才有被駭危機，像是知名網路犯罪集團Lurk就以大型企業員工為目標，特別是財務部門員工，或者鎖定會計師、銀行行員之類的職務。這是因為網路犯罪集團明白，除了直接駭入銀行帳戶以外，還有其他不法的賺錢管道，例如：駭入銀行的基礎架構，或篡改轉帳指示、系統，直接從金流的源頭下手，這是駭客們新開發的豐厚獲利來源。

在Fintech趨勢發展下，與金融業有許多密切合作的電信業，也成為駭客盯上的新肥羊。使用數位金融相關功能時，銀行大多會藉由客戶的行動裝置作為第2道驗證方式，或是透過簡訊發送單次使用密碼給客戶，連帶使得網路犯罪集團對電信業的興趣不斷升高，只要駭入電信網路基礎架構，將擁有更多賺錢機會，包括洗錢、高費率簡訊、簡訊轉傳及攔截等。

面對來勢洶洶的駭客，不論是金融、電信或是一般企業機構，為了防止駭客攻擊可能帶來的財物損失，更面對相關的商譽受損、客戶信任度下滑以及後續賠償責任等眾多負面影響。這些都意味著企業必須在資安領域儘可能做到面面俱到，還要能檢視、監控、過濾網路及系統上的活動，而這對於必須嚴格遵守資料保護法規與系統修補要求的金融產業尤其重要，因為一旦違反將可能面臨鉅額罰鍰。

從醫療到鐵路電信無一倖免

我們正面臨駭客從「偷」變「擄資料勒贖」的危險中，特別是2017年到2018年間，對許多企業、機構，甚至個人來說，可是集結各種混亂與黑暗的12個月。

2017年5月12日，患有複雜性區域疼痛綜合症(Complex Regional Pain Syndrome, CRPS)及肌張力障礙(Dustonia)的23歲女子勞頓(Jess Laughton)，正在醫院進行截肢手術前所有程序，當她以為長達10年的痛苦即將在手術後結束，醫院突然表示手術必須取消，只因醫院的電腦系統受到病毒攻擊⋯⋯

這正是在資安史上寫下濃重一筆的勒索病毒「想哭」(WannaCry)。全球各地迅速傳出災情，除了英國國民醫療保健服務(National Health Service, NHS)系統旗下45家醫療機構外，還有150多個國家、30多萬台電腦淪陷，包括俄羅斯內政部千台電腦、德國鐵路系統、美國聯邦快遞公司、西班牙電信業者Telefonica、中國教育網路等紛紛中毒，各國基礎設施、企業陷入一片混亂。

根據中國國家網絡與信息安全通報中心緊急通報指出，與以往藉由電子郵件附加檔案進行感染的模式不同，這款WannaCry 2.0結合了蠕蟲(Computer Worm)的方式，利用美國國家安全局(National Security Agency, NSA)被外洩的攻擊程式「永恆之藍」(EternalBlue)，持續利用微軟在2017年3月所修補的MS17-010漏洞自我傳播。

2017年6月又有NotPetya勒索病毒接續登場，依據《思科2018年度網路安全報告》(Cisco 2018 Annual Cybersecurity Report, ACR)指出，NotPetya主要目標是烏克蘭，該國的銀行、鐵路、機場、電信、郵政系統都遭到波及，有8成企業使用的烏克蘭稅務系統被綁架。此外，俄羅斯石油、美國藥廠、跨國海運公司等全球多家企業也受到影響。

2018年3月，另一款勒索病毒SamSam再度發動攻勢，由於所有員工的電腦全部癱瘓，而駭客要求5.1萬美元的比特幣贖金，導致美國亞特蘭大市政府的運作因此停擺5天。期間民眾無法上網繳費、法院不能發拘捕令，繁忙的亞特蘭大機場更沒有無線網路可用。

IoT成雙面刃

一波接著一波的資安事件聽起來彷彿是電影情節，但這些全是在1年間發生的真實事件，顯示出惡意軟體的進化速度快得難以想像。以往惡意軟體主要針對個人，但從2016年的SamSam事件開始，駭客目標轉向範圍更大的企業或組織，而且一出手就「攻敵必救」，例如：SamSam在2016年首次設定的攻擊目標就是看準了人命關天的醫院，迫使被駭的對象迅速就範。

駭客的攻擊手法在近幾年也飛速升級，傳統的惡意軟體必須經由使用者下載檔案才會感染，但自從SamSam出現之後，病毒卻能透過系統漏洞自行傳播，讓大量使用者被感染。2017年的WannaCry 2.0，正是利用普及率最高的微軟軟體「永恆之藍」漏洞，達成全面而迅速的攻擊，即使微軟修補了漏洞，並提供使用者更新版本，但駭客仍有辦法找到其他漏洞，伺機而入。

更驚人的是，原本將資料加密是為了安全起見，但思科卻發現惡意軟體反過來利用這一點，透過加密技術進行偽裝，讓其在傳輸時候更加無法被偵測出來。為此，不少企業為了有效阻絕「加密」的惡意軟體，已經著手研究如何運用機器學習和人工智慧，將不尋常的加密網路流量抓出來。只是這場攻防戰打到如今，駭客已發展到能讓惡意軟體繞過「沙盒」安全機制，不再畏懼被檢測出程式執行時是否安全，不知不覺就滲透進使用者的裝置中。

思科指出，「物聯網」(Internet of Things, IoT)和「雲端」(Cloud)這2大發展趨勢提供了惡意軟體很多藏身之處，IoT裝置又多為Linux或Unix架構，其管控手段比個人電腦更少，駭客很容易就在其中建立起一批黑暗軍隊，病毒平時像殭屍一般，在影印機、攝影機等各種裝置裡沈睡，等攻擊時機一到就被喚醒。

歐美搶訂政策反制

各國政府也不打算光是被動挨打而已，紛紛制定相關資安指引或行動方案來反制這些駭客。以醫療產業為例，許多關鍵的醫療機器、技術與功能須連結網路來使用，且經常以WiFi無線通訊傳輸，成為被外部網路攻擊的高風險群，例如：勒索病毒攻擊癱瘓醫療服務，或是駭客竊取病患個人病歷資料，讓敏感的患者資訊遭到外洩，導致醫院付出巨大財務成本，這些威脅從大型醫學中心到小型診所都無一倖免。美國衛生及公共服務部(Health and Human Services, HHS)今年1月公佈「醫療產業網路安全指引」，希望提高醫療產業及從業人員的資安意識，更提供網路安全實作建議。

由於駭客經常入侵企業網路竊取機密資料，更滲透企業的供應鏈，可能造成美國付出經濟優勢、工作機會等成本，美國國家反情報與安全中心(The National Counterintelligence and Security Center, NSCS)今年1月推出「了解風險，提高防禦」的文宣專案，透過各種影片、手冊、傳單以及海報，協助美國境內企業了解與防禦境外的網路攻擊，從企業的供應鏈攻擊、魚叉式網路釣魚(Spear Phishing)攻擊到社交媒體騙局等，也要求企業員工出差境外時，應注意隨身電子裝置的安全。

在英國與荷蘭等國家推動下，歐盟也於今年5月通過針對網路駭客的新制裁行動方案，包括將凍結已知駭客資產，並將禁止其入境歐盟。英國外交大臣韓特(Jeremy Hunt)表示，該方案是阻止未來網路攻擊的關鍵行動，新的制裁是用來告誡打算發動網路攻擊的政府、政權或犯罪集團，國際社會將採取一切必要措施，來維護以國際體系為基礎的規則，並保護社會安全。

目前生活、工作等各方面大小事都聯網的發展趨勢，已不太可能再走回頭路，不論身處哪個產業、生活在哪個地區，享受越來越高效、便利的同時，想因應越來越嚴峻的資安環境，思科建議，「從人員、政策、技術三管齊下」是最好的方法。例如：人員方面要進行相關訓練，防止面對網路釣魚攻擊時，無意中提供了網域憑證或不小心安裝了軟體；政策方面可設定組織內的網路隔離、加強DNS查詢的管控以避免資料外流；而技術方面，除了慎選資安產品，也要限制管理群組的使用人數及權限，並加強驗證，避免讓物聯網成為「惡」聯網、智慧裝置變成你的「製障」裝置。

【本文出自《能力雜誌》2019年10月號；訂能力電子雜誌；非經同意不得轉載、刊登】