專題報導-資安防護再嚴密,人類也不可能不犯錯

本月最重要的資訊界大事 – 國內知名市值超過六兆新台幣的晶圓廠,竟因人為疏失造成病毒(WannaCry)入侵。從該公司公告的內容理解到,此次病毒爆發事件,是在台灣時間八月三日星期五晚上開始。台灣時間八月五日星期日公告發布的當天,已經控制病毒感染範圍,同時找到解決方案,同一天的下午兩點為止,受影響的機台80%已經恢復正常。八月六日下午五點由該公司總裁親自上陣說明,所有狀況已經在8月6日下午全部排除,該晶圓廠所有產線百分之百全速上線生產的狀態,並且強調公司主要的電腦系統,包括生產製造資料庫以及客戶資料,都不受到此次病毒影響。
以該晶圓廠這樣規模的企業,對資安的重視程度與資安的防護能量,理應遵守公司內部所頒佈的Security Bible來執行資訊安全的標準作業流程。但再好的防護及要求,還是抵擋不了"人為的疏失"。該公司總裁在公開記者會中也語重心長的坦白表示:「裝過幾萬架機臺,這第一次發生這種事情,我們才發現,人類不可能不犯錯。」 從公告資訊看來病毒的感染來源是「新機台在安裝軟體的過程中操作失誤」,病毒在「新機台連接到公司內部電腦網路時發生病毒擴散」。破壞範圍並不包含公司核心資料,「公司資料的完整性和機密資訊皆未受到影響」。這次事件並不是因為網路硬體的缺陷,讓病毒進入後爆發。病毒攻擊感染的對象,是用戶或是伺服器的主機作業系統。 既然人類不可能不犯錯,那就要以這次事件作成借鑒,重新檢視一下自己的資防禦措施。通常企業對於內網的防禦,是相對來講比較薄弱的。單純從網路系統出發,面對這種病毒攻擊事件,資訊團隊可以做些什麼改變來減小沖擊呢? 通過攻擊偵測和分析(Detection and Analysis),會是不一個不錯的方向。
偵測網路系統不正常的流量和可疑的封包,可以提早告警。這種透過網路擴散的病毒攻擊,一定會在正常的網路流量之外,產生不正常的流量或是封包。所以在平常就需要建立監察網路流量的工具,觀察記錄正常流量的基線(Baseline),這樣想要察覺出流量數值開始偏離正常值,應該不困難。可以通過SNMP和NetFlow來取得這些流量數據,有相當多的工具可以使用,最理想是做到自動抓取,自動保存數據,且至少保留最近三個月的數據,這樣就可建立基本的監測指標。
分析異常封包,當病毒開始擴散的時候,很可能會丟出不少的探測封包,標定哪些主機是可以被攻擊的。當不合理的探測封包來源出現的時候,例如ARP封包、廣播封包、ICMP、TCP/UDP Port Scanning,就可以合理的懷疑這些封包來源有問題。所以需要建立適當的監測工具,需能判別這些異常封包的活動、抓出來源、能夠紀錄不正常來源的網路埠、MAC地址、IP地址等資訊。
再來就是遏制病毒的擴散,當確認中毒的主機是哪幾部之後,需要能快速找出這些主機有可能和哪些其他主機相連通,再透過防火牆、路由表、存取控制清單(ACL),立刻隔離它們的網路連通。
最基本要做到能識別出這些產生封包的來源,到底接在哪一個網路硬體的網路埠上,這樣就可以快速關閉這些網路埠,而且,關閉了這些網路埠之後,不應該斷開對於這個網路硬體的管理功能。
該公司從這一次的經驗付出了人為疏失的慘痛代價,讓營收蒸發52億,雖然"人類不可能不犯錯",但學費太高,雖多一分準備就可以少一分損失,也要確實落地執行才能見成效,排除不必要的人為事故,降低可能性的風險。

相 關 產 品

智慧醫療智慧醫療

09 Oct, 2020

BU4美編專用 AI應用
Read More
智慧教室智慧教室

16 Oct, 2020

BU4美編專用 AI應用
Read More
工廠設備預知保養工廠設備預知保養

17 Sep, 2020

BU4美編專用 AI應用
Read More
生產製程優化生產製程優化

17 Sep, 2020

BU4美編專用 AI應用
Read More