專家傳真－高科技業屢成駭客目標 資安思維應轉守爲攻

面對資安風險，企業應針對全球駭客攻擊方式進行模擬演練，才能化被動爲主動，強化防禦體質。圖／本報資料照片

臺灣在半導體、5G 通訊、電動車與物聯網等未來新興科技發展上，具備研發、生產及零組件供應能力，在國際供應鏈中扮演重要地位。然而，近期國內高科技製造業遭駭客攻擊事件頻傳，讓資安即國安問題再次受到矚目。臺灣一直是全球駭客的攻擊熱點，儘管企業已開始着眼於處理如勒索軟體或病毒等特定攻擊形式，這些卻可能只是攻擊者衆多攻擊技巧中的一招半式。企業真正需要思考的關鍵，應是建立「駭客思維的模型」，從攻擊者的視角來進行資安策略規劃、長期對抗網路威脅。

一般而言，企業在遭遇攻擊後，第一時間總會直覺想到防毒軟體或資安設備爲何沒有用。現實是，不管是針對式的進階持續性威脅攻擊（Advanced Persistent Threat，APT），或是任何具經驗的攻擊者，都會對目標進行情報蒐集，來達成長期潛伏或規避探測。這當然也包含研究繞過企業防護或監控的各種方式，讓一般的防禦無法生效。

根據我們長年進行紅隊演練的經驗、及對近期重大資安事件的觀察，製造業容易遭到駭客鎖定有四大主要弱點：

首先，科技製造業多半屬於跨國企業，這樣規模的企業暴露在網際網路的服務相當多，一旦這些服務存在可利用的弱點，容易形成破口或直接造成資料外泄。其二則來自第三方供應鏈廠商。這種預設信任的模式存在高度風險，加上對於整體資訊資產可視性的不足，以致於無法全盤檢視信賴關係，造成內部軟硬體易遭入侵的資安風險。

其三是對於攻擊者不夠了解，制定了缺乏韌性的防禦策略。舉例來說，因爲認爲製造機臺或OT環境缺乏較完善的解決方案，而決定將防守策略設定爲「決戰境外」，將攻擊阻擋於企業網路外部。這種方式卻可能導致內部網路、內部營運網路架構、或核心系統防護極爲脆弱，只要攻擊者成功進入內部網路，便會對企業造成極大的威脅。最後，是資安意識的缺乏。提供售後服務的員工電子郵件信箱，會接收大量外部消費者的需求，使其容易成爲社交工程（Social Engineering）攻擊的破口、甚至會有針對高階主管進行的釣魚攻擊，進而直接取得公司重要權限與資訊。

企業必須留心：有時攻擊事件發生，並非入侵的手法詭譎難以抵禦，相反地，像是電子郵件、網路釣魚等傳統手法，利用人性的弱點，仍然可以成功滲透進企業的防護網。當萬物皆聯網，成爲萬物皆可駭。在臺灣高科技製造業邁向智慧製造的今日，駭客攻擊與威脅型態也變得更難以防範。近幾年，國內企業對於資安的意識與資源的投入逐漸提升，許多企業不再只是仰賴單一的資安設備或服務，而是跟隨國際趨勢導入威脅情資、行爲分析、端點監控與迴應等一時之選的解決方案。然而，資安是一場攻守雙方資訊不對稱的戰爭，防禦者不清楚攻擊者的思維跟手法，僅憑藉着自己的知識與想像進行防守，很可能受到侷限。

孫子兵法有言，「知己知彼，百戰不殆」，駭客攻擊中敵暗我明，我們認爲臺灣高科技製造業要思考的是建立一個長遠的防禦戰線。唯有更加了解攻擊者，透過長期針對全球駭客攻擊方式進行模擬演練、時常盤點風險之所在，才能化被動爲主動，持續強化企業的防禦體質，而不僅是頭痛醫頭、腳痛醫腳。

在資安領域的「紅隊演練」，是以企業營運最關鍵的資訊資產作爲演練標的，並模擬組織型駭客的攻擊模式：透過外部情報蒐集、取得外部系統權限、在企業內部的系統進行移動、持續取得更多內部伺服器權限、破解密碼，最終達到企業指定的關鍵資產執行演練情境。而企業透過高強度且精準的演練過程，除了立即知道對營運造成的重大風險外，藉由掌握可被入侵的路徑，來釐清各個節點在防禦策略規劃、管理或技術實作的問題，進而能在面對真正駭客的攻擊時將影響降到最低。

只要企業對駭客存有戰略價值，組織型的攻擊就不會停歇。期許臺灣高科技製造業在檢視資安防禦策略時，都能以「駭客的思維」不斷的挑戰自身企業的弱點，定期盤點資源與風險的關係，優先將資源投注在真實而非主觀的威脅，免於受害之餘更能協防全球供應鏈的整體安全。