回顧2016、2017年期間，稱(chēng)得上是資安的多事之秋，就算缺乏IT背景的一般普羅大眾，可能都對(duì)喧騰一時(shí)的ATM盜領(lǐng)、證券商集體遭DDoS(分散式阻斷服務(wù))攻擊勒索，及WannaCry勒索蠕蟲(chóng)等等事件朗朗上口。相形之下，2018年至今已過(guò)大半，表面看來(lái)，除了歐盟GDPR、臺(tái)灣資通安全管理法等新的法遵議題外，似乎未出現(xiàn)令一般人高度關(guān)注的焦點(diǎn)事件，也許有人因而認(rèn)為，專(zhuān)家們苦口婆心提醒注意的資安問(wèn)題，其實(shí)不像預(yù)期般嚴(yán)重。

持平而論，對(duì)政府或企業(yè)等組織而言，與黑客的對(duì)抗是一場(chǎng)無(wú)休止的戰(zhàn)爭(zhēng)，不管臺(tái)面上的漣漪是大或小，可以肯定的是，臺(tái)面下必定暗潮洶涌，黑客會(huì)默默觀察人們的應(yīng)用情境變化，仔細(xì)思索新的切入機(jī)會(huì)、新的攻擊武器、新的獲利模式，適時(shí)發(fā)動(dòng)奇襲。換言之不管當(dāng)下氛圍的演變?yōu)楹危朗胤蕉紱](méi)有掉以輕心的理由，更何況現(xiàn)在大家正如火如荼迎接物聯(lián)網(wǎng)(IoT)、人工智能(AI)、工業(yè)4.0等等新世代，舉世萬(wàn)物無(wú)論是IT、OT(操作科技)乃至一般民生消費(fèi)應(yīng)用，十之八九都將連網(wǎng)，意謂黑客的發(fā)揮舞臺(tái)只會(huì)愈來(lái)愈寬廣、而非限縮，政府與企業(yè)皆應(yīng)嚴(yán)陣以待。

資安專(zhuān)家預(yù)期，令不少企業(yè)為之恐懼的勒索軟件，今后仍將持續(xù)進(jìn)化，變得更加難以預(yù)防，因此企業(yè)必須認(rèn)真思索勒索病毒威脅的因應(yīng)之道。

況且事實(shí)上，2018年的信息安全世界，也絕對(duì)稱(chēng)不上平靜無(wú)波；單單在上半年，便有不少值得密切關(guān)注的事件。

首先是層出不窮的路由器攻擊事件。5月期間，某家臺(tái)灣品牌的路由器驚傳遭駭，肇因于韌體上的漏洞，被竄改DNS設(shè)定，可將用戶導(dǎo)向黑客掌控的惡意DNS服務(wù)器，藉此收集用戶的憑證；到了6月，相關(guān)事件愈演愈烈，先是驚傳多家廠牌的路由器遭受VPNFilter感染，以及Prowli惡意采礦活動(dòng)肆虐，此后還有號(hào)稱(chēng)Mirai的變種「Satori」新殭尸病毒現(xiàn)身，讓許多路由器受害。

上述攻擊事件情節(jié)不一，災(zāi)害程度也不同，例如Satori會(huì)入侵你的路由器，輾轉(zhuǎn)控制大量IoT裝置，繼而取得DDoS攻擊火力；Prowli會(huì)在被駭設(shè)備上植入采礦程序，從而將合法網(wǎng)站的流量導(dǎo)至惡意網(wǎng)站，讓黑客可出售流量、達(dá)到盈利目的；至于VPNFilter會(huì)把HTTPS加密傳輸降級(jí)為HTTP，抹除攻擊蹤跡，讓黑客好整以暇進(jìn)行諸如Rootkit、竊資等惡意活動(dòng)。以受害者自身立場(chǎng)來(lái)看，VPNFilter的嚴(yán)重性顯然最高。

但無(wú)論如何，這些攻擊活動(dòng)的矛頭，都不約而同指向路由器，意謂隨著人們上網(wǎng)時(shí)間愈來(lái)愈長(zhǎng)，且連網(wǎng)裝置愈趨多元化，黑客體認(rèn)到與其瞄準(zhǔn)一般人未必長(zhǎng)時(shí)間使用的個(gè)人計(jì)算機(jī)做攻擊，不如直接針對(duì)路由器下手，如此一來(lái)不管你的連網(wǎng)裝置為何，通通難逃他的魔掌；這般惡意行為的后續(xù)發(fā)展脈絡(luò)，相當(dāng)值得審慎觀察。

其次是某大知名訂房系統(tǒng)遭駭，其服務(wù)器被植入惡意程序，導(dǎo)致業(yè)者在全球的飯店客戶一起遭殃，有10余萬(wàn)名住客的個(gè)資遭竊；其實(shí)在這起事件的不到一個(gè)月前，就已出現(xiàn)頗受矚目的個(gè)資竊盜事件，受駭對(duì)象是兩家加拿大的銀行，不過(guò)情節(jié)稍有不同，因?yàn)楹诳土硗膺€搭配勒索行為，揚(yáng)言如果銀行不支付贖金，就會(huì)把大量客戶個(gè)資公諸于世，據(jù)網(wǎng)絡(luò)防御AI公司Darktrace的研究人員研判，黑客有可能是利用魚(yú)叉式網(wǎng)釣攻擊(Spear Phishing)手法攻進(jìn)這些銀行的系統(tǒng)。

接下來(lái)所談的攻擊事件，苦主一樣是銀行。繼過(guò)去轟動(dòng)一時(shí)的孟加拉央行、臺(tái)灣遠(yuǎn)東銀行等SWIFT遇駭事件后，SWIFT攻擊再度發(fā)生，對(duì)象是智利的Banco de Chile、馬來(lái)西亞央行，但兩者結(jié)局不同，前者因而損失1千萬(wàn)美元，后者在察覺(jué)疑似有SWIFT外匯轉(zhuǎn)帳的異狀發(fā)生后，隨即啟動(dòng)風(fēng)險(xiǎn)控制措施，未讓黑客得逞。

但問(wèn)題來(lái)了，看似應(yīng)該固若金湯的交易接連失守，且以今年的兩起個(gè)案來(lái)看，癥結(jié)都在于先有員工計(jì)算機(jī)遭入侵，才讓黑客建立灘頭堡，有機(jī)會(huì)藉由銀行內(nèi)網(wǎng)的橫向擴(kuò)散，朝向SWIFT系統(tǒng)步步進(jìn)逼；足以顯示，其實(shí)銀行與一般其它企業(yè)、甚至政府機(jī)關(guān)應(yīng)當(dāng)有所體認(rèn)，現(xiàn)今單靠傳統(tǒng)閘道式防御，很難把黑客阻絕于大門(mén)之外，因此必須拋開(kāi)100%有效預(yù)防這種不切實(shí)際的想法，轉(zhuǎn)而做好自己一定被駭?shù)那疤峒僭O(shè)，認(rèn)真思索應(yīng)該如何強(qiáng)化內(nèi)網(wǎng)安全偵測(cè)與應(yīng)變能力，才是正解。

另不容忽略的重大資安課題，便是GDPR法遵。現(xiàn)在大多數(shù)人應(yīng)該都知道，已在今年5月25日正式上路的該法，堪稱(chēng)是有史以來(lái)最嚴(yán)苛的個(gè)資保護(hù)規(guī)則，不僅對(duì)于敏感性個(gè)資的定義范圍甚為廣泛(例如包含IP位址、Cookie)，且形成觸法的可能性很多，比方說(shuō)因?yàn)閭€(gè)資保護(hù)不力而致惡意的第三方竊取，使用歐盟公民個(gè)資但已脫離當(dāng)初約定目的，未配合處理個(gè)資持有人主張的遺忘(刪除)、可攜或更正等應(yīng)有權(quán)利，縱使個(gè)資未外泄但安全防護(hù)的水平欠佳或未完善保存?zhèn)€資的使用記錄，以及一旦爆發(fā)個(gè)資外泄資安事件、未能在規(guī)定的72小時(shí)內(nèi)通報(bào)主管機(jī)關(guān)及因事件受害的當(dāng)事人，只要踩到這些地雷，都可能被認(rèn)為違法。

更可怕的是，萬(wàn)一被歐盟當(dāng)局認(rèn)定違反GDPR，倘若情節(jié)重大，最高可能被裁處2千萬(wàn)歐元(約新臺(tái)幣7.2億元)、抑或年度全球營(yíng)業(yè)總額4%的巨額罰款，罰則之重不僅為全球其它類(lèi)似法案所罕見(jiàn)，且依臺(tái)灣多數(shù)企業(yè)皆偏向中小型規(guī)模的現(xiàn)實(shí)而論，只要不慎挨罰，絕對(duì)會(huì)嚴(yán)重到動(dòng)搖國(guó)本，萬(wàn)萬(wàn)不能不當(dāng)一回事。

在此前提下，許多資安業(yè)者在最近一年多時(shí)間，紛紛以GDPR法遵為主題，舉辦多次研討會(huì)或論壇，意在提醒與歐盟有較多生意往來(lái)的企業(yè)，必須及早從技術(shù)面、管理流程面、組織架構(gòu)面、甚或企業(yè)文化面著手，傾全力做好必要的個(gè)資盤(pán)點(diǎn)工作，從而針對(duì)不足之處，積極強(qiáng)化個(gè)資保護(hù)機(jī)制。

有趣的是，GDPR話題的延燒，也意外給予黑客莫大靈感，進(jìn)而釀成讓企業(yè)哭笑不得的事件。比方說(shuō)不久前有一家保加利亞的資安廠商Tad Group，揭露一種名為Ransomhack的新式勒索攻擊，黑客不像以前入侵后執(zhí)行檔案加密，而是玩得更大，竊走企業(yè)個(gè)資后進(jìn)行勒索，揚(yáng)言企業(yè)若拒不支付贖金，就公開(kāi)這些個(gè)資內(nèi)容，讓該企業(yè)因而吃上歐盟的巨額罰鍰。

基于前述種種事件，顯見(jiàn)黑客攻擊不僅未銷(xiāo)聲匿跡，反而入侵手法更見(jiàn)細(xì)膩、獲利模式更見(jiàn)高明，企業(yè)唯有不斷加強(qiáng)防御，才能明哲保身。