IoT、AI与GDPR为黑客添柴火 资安情势更加暗潮汹涌.doc

《IoT、AI与GDPR为黑客添柴火 资安情势更加暗潮汹涌.doc》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、IoT、AI与GDPR为黑客添柴火资安情势更加暗潮汹涌　　回顾2016、2017年期间，称得上是资安的多事之秋，就算缺乏IT背景的一般普罗大众，可能都对喧腾一时的ATM盗领、证券商集体遭DDoS(分散式阻断服务)攻击勒索，及WannaCry勒索蠕虫等等事件朗朗上口。相形之下，2018年至今已过大半，表面看来，除了欧盟GDPR、台湾资通安全管理法等新的法遵议题外，似乎未出现令一般人高度关注的焦点事件，也许有人因而认为，专家们苦口婆心提醒注意的资安问题，其实不像预期般严重。　　持平而论，对政府或企业等组织而言，与黑客

2、的对抗是一场无休止的战争，不管台面上的涟漪是大或小，可以肯定的是，台面下必定暗潮汹涌，黑客会默默观察人们的应用情境变化，仔细思索新的切入机会、新的攻击武器、新的获利模式，适时发动奇袭。换言之不管当下氛围的演变为何，防守方都没有掉以轻心的理由，更何况现在大家正如火如荼迎接物联网(IoT)、人工智能(AI)、工业4.0等等新世代，举世万物无论是IT、OT(操作科技)乃至一般民生消费应用，十之八九都将连网，意谓黑客的发挥舞台只会愈来愈宽广、而非限缩，政府与企业皆应严阵以待。　　资安专家预期，令不少企业为之恐惧的勒索软件

3、，今后仍将持续进化，变得更加难以预防，因此企业必须认真思索勒索病毒威胁的因应之道。　　况且事实上，2018年的信息安全世界，也绝对称不上平静无波；单单在上半年，便有不少值得密切关注的事件。　　路由器接连遭骇，凸显IoT安全风险　　首先是层出不穷的路由器攻击事件。5月期间，某家台湾品牌的路由器惊传遭骇，肇因于韧体上的漏洞，被窜改DNS设定，可将用户导向黑客掌控的恶意DNS服务器，藉此收集用户的凭证；到了6月，相关事件愈演愈烈，先是惊传多家厂牌的路由器遭受VPNFilter感染，以及Prowli恶意采矿活动肆虐，此后

4、还有号称Mirai的变种「Satori」新殭尸病毒现身，让许多路由器受害。　　上述攻击事件情节不一，灾害程度也不同，例如Satori会入侵你的路由器，辗转控制大量IoT装置，继而取得DDoS攻击火力；Prowli会在被骇设备上植入采矿程序，从而将合法网站的流量导至恶意网站，让黑客可出售流量、达到盈利目的；至于VPNFilter会把HTTPS加密传输降级为HTTP，抹除攻击踪迹，让黑客好整以暇进行诸如Rootkit、窃资等恶意活动。以受害者自身立场来看，VPNFilter的严重性显然最高。　　但无论如何，这些攻击活

5、动的矛头，都不约而同指向路由器，意谓随著人们上网时间愈来愈长，且连网装置愈趋多元化，黑客体认到与其瞄准一般人未必长时间使用的个人计算机做攻击，不如直接针对路由器下手，如此一来不管你的连网装置为何，通通难逃他的魔掌；这般恶意行为的后续发展脉络，相当值得审慎观察。　　其次是某大知名订房系统遭骇，其服务器被植入恶意程序，导致业者在全球的饭店客户一起遭殃，有10余万名住客的个资遭窃；其实在这起事件的不到一个月前，就已出现颇受瞩目的个资窃盗事件，受骇对象是两家加拿大的银行，不过情节稍有不同，因为黑客另外还搭配勒索行为，扬言

6、如果银行不支付赎金，就会把大量客户个资公诸于世，据网络防御AI公司Darktrace的研究人员研判，黑客有可能是利用鱼叉式网钓攻击(SpearPhishing)手法攻进这些银行的系统。　　接下来所谈的攻击事件，苦主一样是银行。继过去轰动一时的孟加拉央行、台湾远东银行等SWIFT遇骇事件后，SWIFT攻击再度发生，对象是智利的BancodeChile、马来西亚央行，但两者结局不同，前者因而损失1千万美元，后者在察觉疑似有SWIFT外汇转帐的异状发生后，随即启动风险控制措施，未让黑客得逞。　　但问题来了，看似应该固若

7、金汤的交易接连失守，且以今年的两起个案来看，症结都在于先有员工计算机遭入侵，才让黑客建立滩头堡，有机会藉由银行内网的横向扩散，朝向SWIFT系统步步进逼；足以显示，其实银行与一般其它企业、甚至政府机关应当有所体认，现今单靠传统闸道式防御，很难把黑客阻绝于大门之外，因此必须抛开100%有效预防这种不切实际的想法，转而做好自己一定被骇的前提假设，认真思索应该如何强化内网安全侦测与应变能力，才是正解。GDPR助攻黑客，竟沦为勒索题材　　另不容忽略的重大资安课题，便是GDPR法遵。现在大多数人应该都知道，已在今年5月25

8、日正式上路的该法，堪称是有史以来最严苛的个资保护规则，不仅对于敏感性个资的定义范围甚为广泛(例如包含IP位址、Cookie)，且形成触法的可能性很多，比方说因为个资保护不力而致恶意的第三方窃取，使用欧盟公民个资但已脱离当初约定目的，未配合处理个资持有人主张的遗忘(删除)、可携或更正等应有权利，纵使个资未外泄但安全防护的水平欠佳或未完善保存个资的使用记录，以及一旦爆发个资外