資安威脅趨勢及防護策略 - s.itho.me DE-1.pdf ·...
44
資安威脅趨勢及防護策略 行政院國家資通安全會報技術服務中心 吳啟文主任 107年3月15日
Transcript of 資安威脅趨勢及防護策略 - s.itho.me DE-1.pdf ·...
資安威脅趨勢及防護策略
行政院國家資通安全會報技術服務中心
吳啟文主任
107年3月15日
1
大綱
●資安威脅趨勢
●政府資安案例分享
●資安防護策略
●資安防護重點
2
資安威脅趨勢
3
世界經濟論壇2018全球風險調查報告
科技(Technological)
社會(Societal)
地緣政治(Geopolitical)
環境(Environmental)
經濟(Economic)
關鍵資訊基礎設施崩潰
資料欺詐或盜竊
網路攻擊
10大可能風險 1.極端氣侯
2.自然災害
3.網路攻擊(2017年排名第6)
4.資料欺詐或盜竊(2017年排名第5)
5.氣候變化調節與適應機制失效
6.大規模非自願移民
7.人為環境災害
8.恐怖攻擊
9.非法貿易
10.主要經濟體的資產泡沫化
4
全球資安威脅趨勢
分散式阻斷服務攻擊癱瘓網路運作
進階持續威脅攻擊竊取機密資料
關鍵資訊基礎設施資安風險倍增
物聯網設備資安弱點威脅升高
資安(訊)供應商持續遭駭破壞供應鏈安全
網路與經濟罪犯影響電子商務與金融運作
5
進階持續威脅攻擊竊取機密資料
● 駭客利用進階持續威脅(APT)攻擊手法,入侵金融業的案件數量增加,
以獲利目的之網路犯罪型態,成為主要入侵的原因。此外,趨勢科
技預測, 透過電子郵件鎖定高報酬攻擊對象之威脅,將持續進行
– 105年孟加拉銀行SWIFT系統被入侵,取得SWIFT系統登入憑證,
遭盜轉26.6億元
– 106年遠東商銀SWIFT系統被入侵,造成金額盜轉事件,並使多台
主機與伺服器受到影響
– 106年透過商業電子郵件入侵手法,造成的損失高達91億美元,相
較於105年之損失,增加約7成
6
分散式阻斷服務攻擊癱瘓網路運作
● 攻擊者透過購買分散式阻斷服務(DDoS)攻擊服務發起攻
擊,使DDoS攻擊門檻降低且數量漸增
● 虛擬貨幣價值提升,比特幣交易中心成為前十大DDoS攻
擊產業目標
● 安全性不佳的物聯網設備,必利用作為TB等級之DDoS攻
擊來源,使DDoS攻擊仍為重大威脅趨勢之一
資料來源:IMPERVA
前十大DDoS攻擊產業目標
7
物聯網設備資安弱點威脅升高
● 物聯網(IoT)設備數量龐大、種類多元且安全措施不足,106年IoT設
備的惡意程式數量快速增加,被駭的IoT設備以監視器與IP攝影機為
主,約占殭屍設備6成,2成為各式網路設備與路由器,其他則是
VoIP電話與印表機等
● 由於IoT設備的惡意程式驟增,使IoT設備成為網路攻擊的主要目標,
以及資安威脅的主要來源。駭客可能利用受駭IoT設備,建立中繼站、
入侵無人機以竊取機敏資料,入侵穿戴式與醫療設備取得生物資訊,
或持續利用群集被駭之IoT設備
做為攻擊來源
資料來源:KASPERSKY LAB
IoT惡意程式數量
8
關鍵資訊基礎設施資安風險倍增
● 全球多起關鍵資訊基礎設施(CII)遭受攻擊,影響民生經濟,
有鑑於戰略與經濟的重要性,CII遭受破壞或被迫離線可
能造成重大災難,也讓CII安全議題成為各國政府刻不容
緩的當務之急
–烏克蘭電廠感染Blackenerg,導致數10萬戶停電長達6小時
– FireEye揭露,駭客攻擊電廠工業控制系統造成供電中斷
–賽門鐵克警告,駭客組織Dragonfly攻擊能源設施,攻擊對象涵蓋
美國、土耳其、瑞士及其他國家
9
網路與經濟罪犯影響電子商務與金融運作
● 全球因勒索軟體所帶來的損失,從104年的3.25億美元成長至
106年的50億美元,勒索軟體已成為企業造成資料流失的第二
大主因,占29%
● 勒索軟體標的由傳統個人電腦(PC)拓展至行動設備,此外虛擬
貨幣提供非法金流管道,106年勒索軟體於暗網中的銷售金額
較去年增長近25倍,以及勒索病毒服務((Ransomware-as-a-
Service, RaaS)興起,使勒索軟體仍為資安威脅之主流
資料來源:KASPERSKY LAB
行動勒索軟體數量
10
資安(訊)供應商持續遭駭破壞供應鏈安全
● 106年發生多起供應鏈攻擊,攻擊者藉由入侵目標上下游供應鏈中最
薄弱的環節,將惡意程式利用受信任的管道散播,間接入侵目標,
突顯應全面審查供應鏈內的各種安全風險
– 系統清理軟體CCleaner遭植入後門程式,導致上百萬電腦有機敏資料外洩
疑慮,影響範圍包括美國、日本、英國、德國及台灣等
– NetSarang伺服器管理產品遭植入後門程式ShadowPad,惡意程式隨著
軟體安裝檔散播,影響範圍包括金融機構、能源及藥品公司等
– 駭客集團APT10以往使用魚叉式網釣進行直接攻擊,現透過滲透攻擊目標
的供應鏈展開間接攻擊,此手法稱為雲端跳躍行動(Operation Cloud
Hopper),先滲透IT服務供應商(MSP)當作跳板,再攻擊MSP的全球客戶
11
當前/未來 資安威脅
模式翻新 應變不易 設備微型
管理不易 社交工程 防不勝防
駐外機構 管理不易
認知不足 警覺不夠
我國面臨之資安挑戰
技術更迭快速 資安威脅不易掌握
物聯網資安 風險與日遽增
資安人才 供不應求
資安自主能力 待提升
政府資安威脅趨勢
12
進階持續性威脅(APT)攻擊手法
●駭客持續關注台灣發生之重大新聞事件,並對政
府機關(構)發送與事件相關的惡意APT攻擊郵件,
試圖以混淆的方式提高攻擊成功率
進階持續性威脅(APT)攻擊仍在
●針對政府機關之電子郵件社交工程攻擊,106惡
意郵件數量趨緩,但駭客攻擊日趨精準且複雜
惡意郵件數量
惡意電子郵件比例
0.0461 0.1113 0.1009 0.0212 0.0795 0.034 0.3468 0.5632 1.9076 0.5719 0.5395 0.3262
0.0313 0.0266 0.0215 0.0281 0.0181 0.0206 0.0167 0.0245 0.0129 13
14
中繼站趨勢分析
● 透過相關資安事件,長期追蹤並分析駭客族群的攻擊行
為,發現駭客所使用的中繼站有明顯變化與演進的現象
–前期:目標為一般個人電腦與伺服器,植入後門程式後,透
過各式遠端桌面軟體控制
–中期:目標鎖定網通設備(AP、router等),利用內建VPN功
能,轉送報到流量至上層主控端
–近期:多利用雲端VPS服務短期租用,再配合DDNS快速更
換對應網域,以規避偵查,造成在駭客來源追查上相形困難
15
共用性系統與雲端服務遭利用
建立 灘頭堡
竊取內網通行證
進行共用性系統滲透
機密竊取運送
1 2 3 4
全球資訊網伺服器
目錄伺服器
AD
公文/檔案/資料庫
入侵階段
攻擊標的
5
竄改共用性系統 軟體更新機制
進行跨機關全面滲透
單一公務電腦
或委外廠商電腦
使用共用性系統公務人員電腦
Google Drive
政府資安案例分享
17
政府機關資安事件發生原因
● 106年政府機關資安事件通報,其中以網頁攻擊事件類型
為主,占40.21%,其中前三大事件發生原因依序為網站
設計不當、應用程式漏洞及弱密碼
–多數政府機關因未保留完整紀錄檔,導致無法確認事件發生原因
● 統計近三年政府機關資安事件發生原因,主要原因皆相
同,其中部分事件受害設備轉換為IoT設備
18
案例說明一
● 隨即限制陳情系統外部存取服務,並清查資料外洩情況
● 廠商檢視後,發現為網頁程式邏輯瑕疵造成,於同日調整程式
限制陳情系統附件存取功能,後續將依個資顯示操作情境加強
檢測
• A機關接獲民眾反應,其陳情系統於主案與子案合併後,子案陳情資可檢視主案陳情人上傳之附件內容
• 經調查陳情案件內容,發現部分陳情案件存有民眾個人資料(包括姓名、身份證字號等),隨後依據個人資料保護法規定,以書面方式通知當事人完成個人資料處置
案情提要
應變與改善作為
19
案例說明二
● 系統廠商已協助政府機關進行漏洞修補,並更新至CKEditor(4.6.2版),
亦將於官方網站公告相關修補資訊,提供其餘無維護合約機關自行下
載修補
● 機關使用Fckeditor功能時,若無檔案上傳功能需要,應將檔案上傳
功能套件移除與調整config設定值
• 技服中心發現駭客組織ifactoryx攻擊34個政府機關網站,並進行網頁置換,共44個網站受駭
• 進一步調查發現,受駭網站皆使用相同網站管理系統,該系統使用舊版Fckeditor網頁編輯器建置,因而存有安全性漏洞遭駭客利用攻擊
案情提要
應變與改善作為
● 網站如需提供檔案上傳功能,應限制檔案類
型並針對該目錄移除執行的權限
20
案例說明三
• B機關發現內部公文系統有異常登入,並註銷線上公文情形 • 經調查發現內部同仁以公文系統預設管理者帳號密碼登入,取得登記桌承辦人帳號密碼並抽回公文,後續將該同仁應辦理之公文進行註銷,以減輕自己承辦事務
• B機關政風室調查發現,該同仁共註銷109件公文,依相關規定進行後續處置
案情提要
應變與改善作為
● 公文系統主管單位接獲通知後,將使用預設密碼之系統
管理者帳號更改為亂數密碼
● B機關後續於系統公告提醒使用者更改密碼,並勿使用預
設密碼
資安推動策略
22
我國資安發展藍圖(106-109年)
打造安全可信賴的數位國家
建構國家資 安聯防體系
完備資安 基礎環境
推升資安產 業自主能量
孕育優質 資安人才
建構國家資安聯防體系 提升整體資安防護機制 強化資安自主產業發展
願景
目標
推動 策略
4. 強化關鍵資訊基礎設施資安防護
5. 建立跨域資安聯防機制
6. 精進網路犯罪防制能量
7. 發展新興資安產業 8. 輔導資安產業升級 9. 鏈結產學研能量發展新興資安技術
10. 增加產業資安人才供給
11. 提升政府資安人力專業職能
具體 措施
1. 完備我國資安相關法規及標準
2. 強化基礎通訊網路韌性及安全
3. 建立政府資安治理模式
23
重要績效指標
• 國內資安產業
產值達550億元
• 建立千人資安
應變小組
• 完成跨域資安聯防
體系
• 推動政府機關資安
治理成熟度達第3
級(Level 3) 完備資安
基礎環境
建構國家
資安聯防
體系
推升資安
產業自主
能量
孕育優質
資安人才
24
完備資安基礎環境
1. 完備我國資安相關法規及標準
2. 強化基礎通訊網路韌性及安全
3. 建立政府資安治理模式
• 完成「資通安全管理法」立法
• 建立IoT資安檢測環境及推動安全認驗證標章
• 推動資安治理制度成熟度自評或第三方評鑑
25
完備資安法制環境 − 行政院、委託或委任單位、各公
務機關 − 中央目的事業主管機關權責
− 委託機關應監督受託者資安之維護
− 資安責任等級分級 − 資安維護計畫之制
定與 實施 − 資安長設置 − 年度資安報告提出
與資安查核 − 資安事件通報應變 − 建立情資分享機制 − 獎懲制度
− 資通安全專業人才之培育。 − 資通安全科技之研發、整合、
應用、產學合作及國際交流合作之推動。
− 資通安全產業發展及推動。 − 資通安全軟硬體、設備技術
規範、資通安全相關服務及審驗機制之發展及推動。
− 資安責任等級分級 − 中央目的事業主管
機關得要求訂定與執行資安維護計畫,並進行查核
− 資安事件之通報應變
− 罰則
國家安全 社會公共利益
資通安全推動組織
非公務機關資通安全管理
促進資通安全產業
資通服務之 委外管理
公務機關資通安全管理
26
資安治理成熟度
● 參考國際標準與最佳實務,發展資安治理架
構,包括4大面向與19個流程構面
政策與符合性
規劃、推動與監督
作業與技術
P.3資安 風險監控
O.1 資訊資產識別
與管理
O.2 存取控制
O.3 作業與通訊安
全管理
O.4 系統獲取、開發及維護
● 藉自評分析與跨機關比較,深化機關
資安防護、提升系統安全及人員能力,
並提升機關首長對資安治理支持度
27
建構國家資安聯防體系
4. 強化關鍵資訊基礎設施資安防護
5. 建立跨域資安聯防機制
6. 精進網路犯罪防制能量
• 建置各關鍵資訊基礎設施領域之ISAC、CERT、SOC
• 建立N-ISAC、NCERT、N-SOC
• 建立地方政府區域聯防體系
• 提升數位鑑識能量 • 建構跨域追查環境
28
建構國家資安聯防體系
導入 (衛政、社政、基層公所)
資安產學研
執法機關
國安國防
情蒐機制
National
CERT
National
ISAC National
SOC
領域CERT
領域ISAC 領域聯防SOC
CSIRT A
組織A
CSIRT B
組織B
CSIRT C SOC C
組織C
MSSP
國家層級
各關鍵基礎設施
領域層級
關鍵基礎設施提供者
層級
早期預警
協處改善
早期預警
緊急應變
持續 監控
持續監控
建構各領域之資安狀況感知 (Situation Awareness)
建構國家層級之資安狀況感知 (Situation Awareness)
緊急應變
早期預警
持續 監控
縣市政府
六都直轄市 區域聯防中心
早期預警
緊急應變
緊急應變
早期預警
政府組態基準(GCB)
學研機構 資安產業
前瞻基礎建設:強化政府基層機關資安防護及區域聯防計畫
資安旗艦建設:強化國家資安基礎建設
29
推升資安產業自主能量(1/2)
7. 發展新興資安產業
8.輔導資安產業升級
9. 鏈結產學研能量發展新興資安技術
• 提供試煉場域,提升國內資安產業自主研發
• 推動國內資安產品納入共同供應契約規範,提升自主產品使用率
• 建立並推動資安產業標準及檢測認驗證機制
• 結合產學研發展國內自主關鍵技術
30
推升資安產業自主能量(2/2)
30
31
孕育資安菁英人才(1/2)
10. 增加產業資安人才供給
11. 提升政府資安人才專業職能
• 鼓勵大專院校增設資安課學程或專班,系統化、制度化培育資安人才
• 推動政府機關設置資安專職人力
32
孕育資安菁英人才(2/2)
1.盤點資安人才供需缺口 2.加速培育資安人才
33
資安防護重點
34
政府資安防護重點
● 為因應複合式的資安威脅,落實「早期預警」、「縱深
防禦」、「應變復原」及「情資分享」四大構面之資安
防護重點,強化政府資通安全防護
早期 預警
縱深 防禦
應變 復原
情資 分享
透過長期監控與外部情蒐工作發布警訊,建立資通安全防護措施,以達到早期預警之功效
重點推動GCB與SSDLC,針對政府機關所使用的資訊設備訂定端點與系統,一致性的安全設定,以降低駭客入侵管道
透過通報應變機制有效掌握機關資安事件,協助受影響機關復原;威脅樣態分析發掘潛在威脅事件
透過N-ISAC資安情資聯防網路,快速掌握資安事件脈絡
35
早期預警
● 透過長期聯防監控戰情資訊與警訊發布,讓政府機關在資安
威脅影響運作前加以攔阻,預防可能的攻擊,以協助機關降
低資安威脅
– 106年共發布1,996則資安警訊,當中以資安預警為主
–每月提供彙整之弱點與漏洞相關資安訊息情報,給機關進行防護修補,
並通知相關單位事件資訊並給予防護建議
即時聯防監控
36
縱深防禦(1/2)
● 為抵禦與減緩資安威脅所造成之損害與影響,利用政府
機關之網路防護監控、技服中心聯防監控及政府網際服
務網(GSN)之整體偵測防護,從端點與系統,進一步拓展
至內/外部網路與骨幹網路之資安防護,以達多層次縱深
防禦之功效
37
縱深防禦(2/2)
● 針對端點與應用系統的安全,持續推動政府組態基準(GCB)
與安全系統發展生命週期(SSDLC),協助強化機關資安體質
● 建立地方資安防護機制,協助地方政府建立自主資安防護
能量,提升資安防護能量
資通安全 系統
地方政府資安防護
端點 系統 SSDLC
– 針對政府機關(構)之公務用個
人電腦之常用作業系統、瀏
覽器、網通設備及應用程式
進行研究
– 針對機關(構)之核心資訊系統進
行安全評估
– 規劃安全系統發展生命週期教材
與修訂相關參考指引,提升政府
公務人員對於系統安全開發之專
業知識與技能
GCB
38
●透過資安事件通報應變機制,協助受害機關事件復
原、緊急應變處理,以在最短時間內恢復系統運作
應變復原(1/2)
事件影響層級評估 - 1級/2級/3級/4級
事件通報類型 - 網頁攻擊 - 阻斷服務 - 非法入侵 - 設備問題
- 其他
事件協處、分析、復原 - 應變與改善建議
通報應變機制
39
●透過資安情蒐與威脅樣態分析,彙整並交叉分析
各型態資料,發掘潛在威脅並進行通報處理,以
掌握攻擊手法與趨勢
應變復原(2/2)
殭屍網路追蹤模組
資安威脅巨量資料分析 殭屍網路情蒐與分析
情資收容 情資彙整 情資分析 情資加值
40
情資分享(1/2)
● 透過資安資訊分享與交流,彙整資安訊息情報與跨組織
情資分享,以掌握資安威脅現況,降低資安事件可能造
成損害
ISAC:Information Sharing and Analysis Center
0
20000
40000
60000
80000
100000
120000
140000
160000
100 101 102 103 104 105 106
ANA
EWA
INT
DEF
FBI
總計
G-ISAC情報分享數量
事件大幅減少
41
情資分享(2/2)
● 鑒於國內外資安情資來源漸趨多元,跨領域情資日益增
加,需建立更有效之國家層級的N-ISAC(National ISAC)
運作機制,打造資安情資聯防網路
N-ISAC
能源
水資源 交通
高科技園區 金融
通訊傳播 醫療
國內八大CI領域
政府機關
情報分享
N-ISAC (107年1月由G-ISAC升級)
42
未來策進作為-三度防護
●廣度 –透過資安旗艦計畫及前瞻基礎建設計畫,建構政府機關、關鍵基礎設施及地方政府區域治理等多重資安聯防體系
–結合大數據分析及人工智慧技術(AI),預測資安攻擊趨勢
●深度 –強化內外網縱深防禦,持續提升人員資安防護意識,減少誤開郵件及駭客入侵情事
–擴大資安稽核及技術檢測,主動發現並改善問題
●速度 –各機關訂定資安計畫,落實辦理各項資安應辦事項,提升資安事件偵測及反應速度
–透過資安通報及網路攻防等各項演練,提升資安事件應變速度
報告完畢 敬請指教
