CYBERSEC2023臺灣資安年鑑：全面守禦•實現寸土不讓的資安防護

＜內容簡介＞ X Defense──全面守禦 寸土不讓 掌握近期企業重大資安事故以及資安防禦觀念，有助於企業了解即將面對的各種挑戰以及如何因應。 ★專家推薦： 全球網路戰爭與資安威脅一觸即發？搞不懂零信任、軟體供應鏈安全？教你一手掌握2023最新資安趨勢。──李宗翰∕iThome電腦報週刊副總編輯 ★目錄： 專訪數位發展部數位產業署署長呂正華：以韌性、整合、資安和賦能推動數位產業發展 專訪國家資通安全研究院院長何全德：資安院是第一個國家級的資安研究機構 從社交釣魚到勒索威脅，臺灣企業去年災情多嚴重 預算不夠更要用在刀口，企業今年投資哪些資安重點 持續落實三件事，雲資安成熟度可望節節高升 強化系統登入安全性，導入無密碼的身分驗證機制已成IT界共識 臺灣金融資安須升級的2大理由 為何要設立資安長？臺灣企業設立資安長動能來自法遵 駭客攻擊、假訊息頻傳！俄烏戰事帶來的網路安全啟示 有效強化企業與組織韌性，需關注兩大關鍵考量 企業上雲應首重雲端環境整體的安全治理 積極爭取CMMC認證，打造臺灣國防產業千億產值 打造安全IoT，SESIP標準崛起 SEMI推半導體資安風險評級服務 臺灣需積極因應上傳漏洞和SQL注入問題 iRent資料庫暴露於公開網路不設防 6年SRE老手栽跟斗！耗時兩週復原 日本KDDI大斷訊的3堂課 2022資安大事記 資安市場地圖導覽 ＜作者簡介＞ iThom電腦報週刊長期報導企業資訊應用與技術發展，每年在臺舉辦臺灣資訊安全大會、臺灣雲端大會等大型技術研討會。 ★內文試閱： ‧作者序 隨著網站、智慧型手機、人工智慧等各式IT應用的普及，我們身處一波波數位科技革新的浪潮之中，在工作與生活享受種種便利與彈性之餘，資安防禦的邊界卻面臨持續消弭的狀態。 回想過去，許多企業與組織可能都會限制使用者只能瀏覽特定網站，若要求存取單位提供的IT應用服務時，只能用公司配發的個人電腦，而且必須要在內部網路使用，或是透過VPN連回公司才行。 時至今日，許多規定早已鬆綁，BYOD是大家最熟悉的例子，不少單位開放員工自帶筆電到公司工作，以及用自己的智慧型手機連公司網路與應用系統，遠端工作也悄悄崛起，而在為期3年的COVID-19疫情之後，所有企業與組織為了維持業務運作，更是被迫開放員工在家辦公（WFH），或是在任何地點辦公（WFA），使得各種能讓大家遠端存取的模式大行其道，當時即便有資安顧慮，也管不了那麼多。 企業與組織所面對的IT門戶洞開態勢，其實，並不僅止於使用者層面，在系統層面，有越來越多的單位決定將既有應用程式遷移到雲端服務環境，或是直接使用雲端原生的應用程式、軟體即服務（SaaS）來滿足業務動態發展的靈活度要求；而且，大家所運用的架構可能更常是多雲（Multi-Cloud）、混合雲，而非內部的私有雲，因此，各種原本應該隱藏在內部網路的各種IT服務，如今卻以相對更大規模的方式直接暴露在網際網路，使得自身的資安風險處於節節高升的狀態。 或許有人會認為，IT架構暴露在外不應與必然蒙受資安威脅完全畫上等號，然而，層出不窮卻又難以杜絕的不當設定（misconfiguration）有可能產生更多防護漏洞，而導致攻擊者能夠滲透進來胡搞，甚至以公然、輕易的方式，即可直接取走、破壞、竄改、綁架這些環境當中的重要資料，或是濫用關鍵基礎設施的資源。而關於這類與暴露有關的資安風險，臺灣的資安界以「裸奔」來形容，相當貼切。 對照資安廠商Snyk去年9月公布的2022雲端安全現況報告，可以更進一步瞭解這類資安事故的成因。根據當中的統計，由於不當設定導致系統停擺的比例最高，達34％，其他如雲端資料外洩、環境遭入侵、被用於挖取數位貨幣，也經常肇因於管理者的不當設定。 而因為不當設定而引發資安事故的行為中，比例最高類型是以不安全方式進行資料備份；排名第二的，則有遺失記錄、以不安全方式進行傳輸；排名第三，有物件儲存服務不當設定、缺乏監控、用不安全的API金鑰、將生產資料放置在非生產環境；第四類，是以不安全的方式存取虛擬機器或容器，以及安全群組不當設定；至於第五類，是以不安全的方式儲存資料，第六類則是身分存取管理不當設定。 ‧摘文 在6月22日，微軟發布了一篇網路戰爭的報告，名為《捍衛烏克蘭：網路戰爭的早期教訓》（Defending Ukraine:Early Lessons from the Cyber War），這是微軟威脅情報與資料科學團隊所進行的研究，目的是釐清對這場持續性戰爭威脅形勢，並從蒐集與分析的數據，試圖理解在這過程發生的各種網路攻防行動。 過去我們已經看過許多烏克蘭戰爭的分析，微軟這份報告相當特別，不僅總結出俄羅斯發動戰爭時所採取的網路攻擊戰略，同時給出面臨現代網路戰爭數項不同的重要觀察。 在此報告中指出，4個月以來，俄羅斯駭客的攻擊行動，不僅是針對烏克蘭的48個政府組織與企業，同時，也企圖滲透全球，計有全球42個盟國的128個組織遭俄羅斯網路攻擊，而且，他們還會在網路上，利用複雜而廣泛的影響外國行動（foreign influence operations），也就是一般稱之外宣、輿論操弄的攻擊策略，破壞歐美團結與壯大他們的戰爭力量。 而且，在這份報告的開場當中，微軟公司總裁Brad Smith即指出，每場戰爭的歷史通常記載了第一聲槍響，以及誰目睹了這些槍響。他們表示，在這場烏克蘭戰爭中，俄羅斯軍隊雖然是在2022年2月24日湧入烏克蘭邊境，但事實上，第一槍是在23日先打響，俄羅斯針對烏克蘭電腦，使用了一種名為「Foxblade」狐狸之刃的網路武器。這也反應了當前的戰爭型態，已經結合了軍事攻擊與網路攻擊。 細讀微軟這份研究報告，有兩大焦點值得關注，一是揭露俄羅斯的三大網路攻擊策略，另一是提出實體與網路戰爭的五大觀察與結論 。 由於現代軍事戰爭已經與網路戰爭相結合，不像過去長期以來可由疆界、海洋來提供保護，因此要對抗俄羅斯這個網路大國，烏克蘭的網路防禦，有很大程度是依賴於國家、企業與非政府組織的聯盟。 根據微軟這4個月來的觀察，俄羅斯在網路攻擊策略上，至少採取三大策略，分別是：（一）在烏克蘭境內發動破壞式的攻擊，（二）在烏克蘭境外展開網路滲透與間諜攻擊，（三）針對全球民眾發起網路輿論影響行動（cyber-influence operations）。 而在這場戰事之下，是否能有更好應對這類的威脅的方法？微軟提出了五大觀察。