IoT、AI与GDPR为黑客添柴火 资安情势更加暗潮汹涌

回顾2016、2017年期间，称得上是资安的多事之秋，就算缺乏IT背景的一般普罗大众，可能都对喧腾一时的ATM盗领、证券商集体遭DDoS(分散式阻断服务)攻击勒索，及WannaCry勒索蠕虫等等事件朗朗上口。相形之下，2018年至今已过大半，表面看来，除了欧盟GDPR、台湾资通安全管理法等新的法遵议题外，似乎未出现令一般人高度关注的焦点事件，也许有人因而认为，专家们苦口婆心提醒注意的资安问题，其实不像预期般严重。

持平而论，对政府或企业等组织而言，与黑客的对抗是一场无休止的战争，不管台面上的涟漪是大或小，可以肯定的是，台面下必定暗潮汹涌，黑客会默默观察人们的应用情境变化，仔细思索新的切入机会、新的攻击武器、新的获利模式，适时发动奇袭。换言之不管当下氛围的演变为何，防守方都没有掉以轻心的理由，更何况现在大家正如火如荼迎接物联网(IoT)、人工智能(AI)、工业4.0等等新世代，举世万物无论是IT、OT(操作科技)乃至一般民生消费应用，十之八九都将连网，意谓黑客的发挥舞台只会愈来愈宽广、而非限缩，政府与企业皆应严阵以待。

资安专家预期，令不少企业为之恐惧的勒索软件，今后仍将持续进化，变得更加难以预防，因此企业必须认真思索勒索病毒威胁的因应之道。

况且事实上，2018年的信息安全世界，也绝对称不上平静无波；单单在上半年，便有不少值得密切关注的事件。

首先是层出不穷的路由器攻击事件。5月期间，某家台湾品牌的路由器惊传遭骇，肇因于韧体上的漏洞，被窜改DNS设定，可将用户导向黑客掌控的恶意DNS服务器，藉此收集用户的凭证；到了6月，相关事件愈演愈烈，先是惊传多家厂牌的路由器遭受VPNFilter感染，以及Prowli恶意采矿活动肆虐，此后还有号称Mirai的变种「Satori」新殭尸病毒现身，让许多路由器受害。

上述攻击事件情节不一，灾害程度也不同，例如Satori会入侵你的路由器，辗转控制大量IoT装置，继而取得DDoS攻击火力；Prowli会在被骇设备上植入采矿程序，从而将合法网站的流量导至恶意网站，让黑客可出售流量、达到盈利目的；至于VPNFilter会把HTTPS加密传输降级为HTTP，抹除攻击踪迹，让黑客好整以暇进行诸如Rootkit、窃资等恶意活动。以受害者自身立场来看，VPNFilter的严重性显然最高。

但无论如何，这些攻击活动的矛头，都不约而同指向路由器，意谓随著人们上网时间愈来愈长，且连网装置愈趋多元化，黑客体认到与其瞄准一般人未必长时间使用的个人计算机做攻击，不如直接针对路由器下手，如此一来不管你的连网装置为何，通通难逃他的魔掌；这般恶意行为的后续发展脉络，相当值得审慎观察。

其次是某大知名订房系统遭骇，其服务器被植入恶意程序，导致业者在全球的饭店客户一起遭殃，有10余万名住客的个资遭窃；其实在这起事件的不到一个月前，就已出现颇受瞩目的个资窃盗事件，受骇对象是两家加拿大的银行，不过情节稍有不同，因为黑客另外还搭配勒索行为，扬言如果银行不支付赎金，就会把大量客户个资公诸于世，据网络防御AI公司Darktrace的研究人员研判，黑客有可能是利用鱼叉式网钓攻击(Spear Phishing)手法攻进这些银行的系统。

接下来所谈的攻击事件，苦主一样是银行。继过去轰动一时的孟加拉央行、台湾远东银行等SWIFT遇骇事件后，SWIFT攻击再度发生，对象是智利的Banco de Chile、马来西亚央行，但两者结局不同，前者因而损失1千万美元，后者在察觉疑似有SWIFT外汇转帐的异状发生后，随即启动风险控制措施，未让黑客得逞。

但问题来了，看似应该固若金汤的交易接连失守，且以今年的两起个案来看，症结都在于先有员工计算机遭入侵，才让黑客建立滩头堡，有机会藉由银行内网的横向扩散，朝向SWIFT系统步步进逼；足以显示，其实银行与一般其它企业、甚至政府机关应当有所体认，现今单靠传统闸道式防御，很难把黑客阻绝于大门之外，因此必须抛开100%有效预防这种不切实际的想法，转而做好自己一定被骇的前提假设，认真思索应该如何强化内网安全侦测与应变能力，才是正解。

另不容忽略的重大资安课题，便是GDPR法遵。现在大多数人应该都知道，已在今年5月25日正式上路的该法，堪称是有史以来最严苛的个资保护规则，不仅对于敏感性个资的定义范围甚为广泛(例如包含IP位址、Cookie)，且形成触法的可能性很多，比方说因为个资保护不力而致恶意的第三方窃取，使用欧盟公民个资但已脱离当初约定目的，未配合处理个资持有人主张的遗忘(删除)、可携或更正等应有权利，纵使个资未外泄但安全防护的水平欠佳或未完善保存个资的使用记录，以及一旦爆发个资外泄资安事件、未能在规定的72小时内通报主管机关及因事件受害的当事人，只要踩到这些地雷，都可能被认为违法。

更可怕的是，万一被欧盟当局认定违反GDPR，倘若情节重大，最高可能被裁处2千万欧元(约新台币7.2亿元)、抑或年度全球营业总额4%的巨额罚款，罚则之重不仅为全球其它类似法案所罕见，且依台湾多数企业皆偏向中小型规模的现实而论，只要不慎挨罚，绝对会严重到动摇国本，万万不能不当一回事。

在此前提下，许多资安业者在最近一年多时间，纷纷以GDPR法遵为主题，举办多次研讨会或论坛，意在提醒与欧盟有较多生意往来的企业，必须及早从技术面、管理流程面、组织架构面、甚或企业文化面着手，倾全力做好必要的个资盘点工作，从而针对不足之处，积极强化个资保护机制。

有趣的是，GDPR话题的延烧，也意外给予黑客莫大灵感，进而酿成让企业哭笑不得的事件。比方说不久前有一家保加利亚的资安厂商Tad Group，揭露一种名为Ransomhack的新式勒索攻击，黑客不像以前入侵后执行档案加密，而是玩得更大，窃走企业个资后进行勒索，扬言企业若拒不支付赎金，就公开这些个资内容，让该企业因而吃上欧盟的巨额罚锾。

基于前述种种事件，显见黑客攻击不仅未销声匿迹，反而入侵手法更见细腻、获利模式更见高明，企业唯有不断加强防御，才能明哲保身。