晴時多雲

政府骨幹網路遇襲 上月近10萬件》學者:網軍攻擊 連窗戶都找漏洞

資安學者提醒,有些政府機關資安管理概念僅區分內外網,外網把關嚴格但內網鬆散,駭客就會從邊陲系統或外包商尋找弱點突破,「若大門進來後都沒人防守,是最糟糕的」。圖為示意圖。(彭博)

資安學者提醒,有些政府機關資安管理概念僅區分內外網,外網把關嚴格但內網鬆散,駭客就會從邊陲系統或外包商尋找弱點突破,「若大門進來後都沒人防守,是最糟糕的」。圖為示意圖。(彭博)

2021/01/27 05:30

〔記者呂伊萱/台北報導〕行政院資安月報披露近來政府骨幹網路威脅情資增加,且有四成情資尚需進一步調查,另有機關的非核心業務系統也遭駭客列為攻擊目標。資安學者昨提醒,有些單位的資安管理概念僅區分內外網,外網把關嚴格但內網鬆散,駭客就會從邊陲系統或外包商尋找弱點突破,「若大門進來後都沒人防守,是最糟糕的」。

「破窗而入,若門都通,保險箱仍會被偷」

對於政府機關的非核心業務系統也遭駭客列為攻擊目標,行政院資安處處長簡宏偉直言,「這種其實不應該發生」,因各機關一般重視核心業務的防範,資安處擔憂非核心業務的管理變成破口,因此透過月報提醒各單位有此現象,也強調應定期針對機關所有資通系統進行弱點檢測與修補,以降低駭客入侵風險。

根據行政院資安月報統計,去年十二月政府領域回傳之骨幹網路威脅情資近十萬件,其中最多數的是「尚需調查類」占四十%。成大電機工程系教授李忠憲說,攻擊手法層出不窮,面對未知型態的攻擊且數量增加,建議政府須增強技術能量,並且更密切地與國際情報互動合作,才有可能應對解決。

交大資工系講座教授林盈達則指出,雖然尚不了解型態有什麼變化,不過,現在攻擊都是透過程式自動化,探究增加的數量意義不大。若數量出現差異,需了解是否網軍更積極佈點攻擊、跑的點更多,亦即並非針對同系統做多掃描、而是掃描更多系統,「就像原本注意前門和後門,現在連窗戶都試探找漏洞。」

對於有A級機關的非核心業務系統也遭駭客列為攻擊目標,且疑似是利用SQL Injection漏洞,李忠憲直言,這真的不應該發生,因為這是很老舊的手法,還會發生代表管理出問題,資安當然會優先匡列核心業務去做,但公務機關真的也要非常小心非核心業務的管理。李舉例,如一銀吐鈔事件就是電話系統被攻擊、再介接到其他系統,就像「窗戶打破進去,如果門都是通的,保險箱還是會被偷走」。

林盈達也指出,駭客會從邊陲系統、分支機構或外包廠商去下手,由外而內突破,「不能認為攻擊都是從外面來的,內網之間的連結也需要防守」。林盈達說,有些單位的資安管理概念就是將外網和內網分得很清楚,外網把關嚴格、內網鬆散,但這非常危險,因為只要從邊陲突破,大門進來後就無人防守,這是最糟糕的;提醒機關對內外網的差別待遇不能那麼大,也要假設內網之間、內部不同機器之間可能會出問題。