晴時多雲

〈財經週報-駭客出沒〉駭客從供應鏈與物聯網入侵 蕭博仁:資安垂直整合生態系因應

2020/08/10 05:30

被駭後的應變

記者魏錫賓/專題報導

應付肺炎疫情或許可以鎖城封國,但資訊安全的維護方式已經改變,將門關起來也不一定安全。擔任經濟部物聯網資安計劃主持人的資策會副執行長蕭博仁認為,物聯網的發展與供應鏈的重組,使企業資安無法「決戰境外」,且難以「獨善其身」,而是必須發展出上中下游合作的系統性處理方案,並將資安觀念落實成為企業文化。

駭客慣用手法 從上游設備商弱點下手

蕭博仁表示,對企業來說,生產過程或營運中所使用的軟硬體,很難全部在內部製造生產,外包或是尋找合作夥伴都是常態;而在使用外部技術或服務元件時,因無法全盤掌控安全性,就容易成為駭客下手的目標。在2018年台積電遭受隱藏在新機台的WannaCry勒索軟體攻擊前,國際上就有其他大廠受到一樣的傷害;從上游設備商的弱點下手,只是駭入大廠的一個手段。

蕭博仁指出,駭客攻擊供應鏈的層面相當廣泛,路徑包括DNS、PKI、VPN及雲端、網路服務供應商等。資安公司CorwdStrike在7月公布的全球調查中,1千多家受訪公司有66%曾受軟體供應鏈的攻擊,平均財務損失超過110萬美元。不僅企業,能源、交通等國家基礎建設都由軟體操控,因此更不能忽略相關的資訊安全。

建構資安防線 上游下游垂直整合

資安威脅已經無孔不入。蕭博仁表示,現在任何裝置都可能成為駭客的目標,像華為旗下的海思晶片被發現藏有後門,國內卻仍有不少生產網路監控(IP CAM)攝影的廠商仍使用海思晶片,如何透過安檢降低風險已是當務之急。他指出,現在對資安的攻擊,有病毒改版快、複合感染等特色;企業或國家基礎設施一旦被駭入,損失都相當慘重。因此,企業內部的資安維護,一定要擴大格局,往上往下游的供應鏈延伸,在遠距辦公、智慧工廠盛行後,尤要注意經由物聯網駭入的威脅。

各國都開始導入5G,雖能加速智慧工廠、智慧醫療、無人車及無人機的產業機會;但蕭博仁指出,5G有高速、低延遲特性,搭配物聯網,同樣給駭客新的攻擊機會。在5G環境下,網路虛擬化後,使管理更為複雜;企業大量採用開放原始碼的軟體,弱點更為突出;未來網路環境不再封閉,更容易出現多樣化攻擊途徑,這些只是未來資安挑戰的一部分。

洞悉駭客手法 可知己知彼

蕭博仁表示,隨著5G等網路科技的發展,個別企業的資安防護罩已不再有效;而應形成資安垂直整合的生態系,從根本的5G元件資安檢測、垂直領域合規確保、行動邊緣運算(MEC)及核網防護,以及專網監控與管理等,都應有效運作,並整合資安檢測公司、電信廠商、系統整合商、軟硬體廠商、基站及終端廠商等,才能避免重大傷害發生,並發展出資安維護的產業。

至於對一般企業而言,有何方法避免資安威脅?蕭博仁指出,可由解剖駭客目的入手,駭客的目的在破壞資料機密性、完整性及可用性,所以會用木馬程式竊取內容或是暴力破解,或透過中間人攻擊、阻絕式攻擊、勒索軟體等,企業應隨時向員工宣導不開啟來路不明郵件、不點選不明網頁及網站、隨時更新軟體、每天備份及掃毒等基本的資安觀念。



一手掌握經濟脈動 點我訂閱自由財經Youtube頻道

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

已經加好友了,謝謝
歡迎加入【自由財經】
按個讚 心情好
已經按讚了,謝謝。
今日熱門新聞
看更多!請加入自由財經粉絲團
網友回應
載入中