專題報導-資安防護再嚴密,人類也不可能不犯錯

本月最重要的資訊界大事 – 國內知名市值超過六兆新台幣的晶圓廠,竟因人為疏失造成病毒(WannaCry)入侵。從該公司公告的內容理解到,此次病毒爆發事件,是在台灣時間八月三日星期五晚上開始。台灣時間八月五日星期日公告發布的當天,已經控制病毒感染範圍,同時找到解決方案,同一天的下午兩點為止,受影響的機台80%已經恢復正常。八月六日下午五點由該公司總裁親自上陣說明,所有狀況已經在8月6日下午全部排除,該晶圓廠所有產線百分之百全速上線生產的狀態,並且強調公司主要的電腦系統,包括生產製造資料庫以及客戶資料,都不受到此次病毒影響。
以該晶圓廠這樣規模的企業,對資安的重視程度與資安的防護能量,理應遵守公司內部所頒佈的Security Bible來執行資訊安全的標準作業流程。但再好的防護及要求,還是抵擋不了"人為的疏失"。該公司總裁在公開記者會中也語重心長的坦白表示:「裝過幾萬架機臺,這第一次發生這種事情,我們才發現,人類不可能不犯錯。」 從公告資訊看來病毒的感染來源是「新機台在安裝軟體的過程中操作失誤」,病毒在「新機台連接到公司內部電腦網路時發生病毒擴散」。破壞範圍並不包含公司核心資料,「公司資料的完整性和機密資訊皆未受到影響」。這次事件並不是因為網路硬體的缺陷,讓病毒進入後爆發。病毒攻擊感染的對象,是用戶或是伺服器的主機作業系統。 既然人類不可能不犯錯,那就要以這次事件作成借鑒,重新檢視一下自己的資防禦措施。通常企業對於內網的防禦,是相對來講比較薄弱的。單純從網路系統出發,面對這種病毒攻擊事件,資訊團隊可以做些什麼改變來減小沖擊呢? 通過攻擊偵測和分析(Detection and Analysis),會是不一個不錯的方向。
偵測網路系統不正常的流量和可疑的封包,可以提早告警。這種透過網路擴散的病毒攻擊,一定會在正常的網路流量之外,產生不正常的流量或是封包。所以在平常就需要建立監察網路流量的工具,觀察記錄正常流量的基線(Baseline),這樣想要察覺出流量數值開始偏離正常值,應該不困難。可以通過SNMP和NetFlow來取得這些流量數據,有相當多的工具可以使用,最理想是做到自動抓取,自動保存數據,且至少保留最近三個月的數據,這樣就可建立基本的監測指標。
分析異常封包,當病毒開始擴散的時候,很可能會丟出不少的探測封包,標定哪些主機是可以被攻擊的。當不合理的探測封包來源出現的時候,例如ARP封包、廣播封包、ICMP、TCP/UDP Port Scanning,就可以合理的懷疑這些封包來源有問題。所以需要建立適當的監測工具,需能判別這些異常封包的活動、抓出來源、能夠紀錄不正常來源的網路埠、MAC地址、IP地址等資訊。
再來就是遏制病毒的擴散,當確認中毒的主機是哪幾部之後,需要能快速找出這些主機有可能和哪些其他主機相連通,再透過防火牆、路由表、存取控制清單(ACL),立刻隔離它們的網路連通。
最基本要做到能識別出這些產生封包的來源,到底接在哪一個網路硬體的網路埠上,這樣就可以快速關閉這些網路埠,而且,關閉了這些網路埠之後,不應該斷開對於這個網路硬體的管理功能。
該公司從這一次的經驗付出了人為疏失的慘痛代價,讓營收蒸發52億,雖然"人類不可能不犯錯",但學費太高,雖多一分準備就可以少一分損失,也要確實落地執行才能見成效,排除不必要的人為事故,降低可能性的風險。