國立臺灣大學資訊工程學系蕭旭君專訪
COVID-19 疫情壟罩全球,台灣也在今年初首度迎來疫情高峰,在疫情影響下,人們的生活型態出現大幅改變,遠端網路服務需求攀升同時也促使相關資安威脅升溫,究竟疫情帶來的資安問題有哪些?人們又該如何預防呢?
遠距工作帶來的資安風險
談到資訊安全,許多人第一時間想到的可能是大企業面臨的問題,但其實個人生活中也可能隨時遭遇相關威脅不自知,連帶造成後續許多問題,而讓個人生活與工作更加密切的遠端作業則更加深化其中存在的風險。
臺灣大學資訊工程學副教授蕭旭君指出,原有工作型態下為了防止機密外洩,多數企業都會在網路邊界系統設有防火牆、偵測系統等多套措施,內部網路與系統也會部署偵測機制加以重兵防護,即使有惡意程式入侵也能夠迅速發現,或甚至內部網路根本不對外開放,但隨著遠距工作型態出現,迫使企業網路必須接受來自公開網路的連線,也導致原本的防線出現破口。
蕭旭君教授。圖/蕭旭君教授提供
由於必須開放內網給在外員工連接,許多企業會要求員工使用 VPN 連接到內網,儘管 VPN 確實能提供相對安全的連線環境,但這也讓 VPN 變成很明顯的目標,許多報告都顯示面向 VPN 的攻擊大幅增加,2020 前十大常被利用的資安漏洞幾乎都與和 VPN 有關。
遠端作業型態下,員工必須使用許多軟體協助工作,而個人電腦也多有其他用途,由外部連到企業內網的網路節點增加,這一切都使得遠距工作需要防護的面向變的更加廣泛。當企業原有的防護難以延伸到員工自己的網路和設備上,一旦員工在基礎資安防護上出現疏漏,如使用常用密碼登入 VPN,或個人電腦曾經下載過一些惡意軟體,便可能導致潛在的資安隱憂出現。
值得一提的是儘管更不常被視為目標,但國外許多研究都發現,與具有充足資源的大企業相比,疫情可能帶給中小企業更大的資安挑戰,蕭旭君解釋,中小企業可能被看做是容易得手的目標,或成為勒索軟體無差別攻擊下的受害者,或被當成攻擊其他客戶的破口或跳板,對於資源較有限的公司來說要避免受害,最好的方式就是確定自己至少有達到基本資安防護。
除了與大公司有業務往來的上游廠商被當成跳板的『供應鏈攻擊』較難以應對,多數中小企業面臨的攻擊都是來自簡單的地方,像是不要亂點釣魚信件、注意連線加密(HTTPS)、確保密碼不重複且注意洩露、軟體定期更新等,在攻擊者利益導向的目的下,只要不要讓攻擊能夠太簡單侵入,就可以做到有效防護。
「雖然這些都已經講了很多年,但因為容易疏忽還是可能被當成破口。建議企業在有限資源下從簡單地方入手比較容易達成,如果有額外資源還可以做額外防範。」
防疫生活重心轉變
在遠端工作上面臨的資安風險之外,防疫帶來的生活重心轉變也成為攻擊者關注焦點。以網路購物為例,過去數年網購詐騙就已經是 165 全民防騙網上的常客,在防疫提倡維持社交距離情況下,牽動的網購風潮更加推升了這種情況。
疫情之下,網路購物的人大量增加,資安風險也隨之增高。圖/pexels
蕭旭君解釋,網路購物的資安風險主要與個資洩露相關,當攻擊者拿到個資後為了轉換獲利,便可能透過詐騙電話與受害者聯繫,利用獲取的個資取信於人,近一步詐取相關財務,而台灣購物網站過去便經常傳出個資外洩的事例,更別提近期社群媒體上盛行的網路拍賣,在金流沒有受到控管下更加沒有保障。除此之外,疫情也促使許多實體店家展開線上販售服務,在上線時間匆促下,如果程式碼沒有妥當檢查,一旦被攻擊者加以利用,同樣也具有個資洩露風險。
至於經常被拿來討論的 QR Code 簡訊實聯制,雖然大幅提高便利性,但社會上仍有少數質疑可能遭濫用的聲浪存在。蕭旭君認為,從民眾角度來說,難免擔心足跡是否會被收集做為他用,但事實是各式做法都存在不同隱私隱憂,民間版本同樣也存在個資被作為廣宣用途的疑慮,然而實際情況是,所有開發者必須在安全性、民眾接受度跟資安上做出權衡,民眾可以基於公開資訊,自行選擇更傾向的追蹤方式來做好防疫並保障隱私。
因應防疫新興的遠端網路服務,攻擊者利用人們迫切想要吸收疫情相關資訊的心態,散佈假消息到處傳播,甚至假裝疫調騙取個資的情況都時有耳聞。蕭旭君提及,未來可能出國必備的疫苗護照、檢測證明也是國外熱門議題,除了牽涉個人隱私,是否會被偽造、如何防範被偽造也是國際焦點,顯見防疫下的資安議題仍不容小覷。
不存在沒有資安風險的網路服務
說了這麼多,許多人可能會好奇從資安的角度來說,有可能會存在完全沒有資安問題的網路服務嗎?針對這點,蕭旭君表示,以實務角度來說是沒有辦法做到這點,「除非你不上網,那當然就沒有網路資安的問題」。
蕭旭君解釋,在資安攻防中,需要對威脅做出具體假設並針對特定攻擊者進行重點防護,然而實際生活中有太多事情沒有辦法掌控,像是無法控制使用者如何使用系統,一旦行為與預期不同便可能出現意外漏洞。同時資安防護成本有限、對電腦的效能有較高需求前提下無法加上太強大防護,這些都會導致實務上無法防範所有攻擊。在具有太多假設不確定性下,無資安隱憂的網路服務基本上是不可能做到。
「資安攻防中有特定對手,在資訊安全進化的同時,攻擊者也會進化、會成長,就算能防範已知威脅,未來還是會有新攻擊出現。」
網路駭客的攻擊手段也會隨著時間不斷推陳出新,防不勝防。圖/pexels
當然,這並不意味著我們對資安攻擊便只能認份接受,就像生活中的大小意外一樣,只要做好足夠防範並保持靈活想法就能隨時應對處理問題。拿學校遠端教學來說,線上測驗同樣可能為教授們帶來代考問題。在保障考試公平性和學生隱私的權衡中,有些單位使用監考軟體,一些則取消考試改用其他方式評分,或像蕭旭君一樣選擇採取線上考試但讓同學可以翻書找答案。
如上所述,資安防護其實有許多手段可供選擇,蕭旭君強調,實務上資安防護就是風險管控,如何盤點自身弱點並利用手上有限資源進行最佳部署減少風險才是最重要的。只要做好基礎防護提升攻擊難度,在希望獲利的前提下當攻擊成本提高,攻擊者便可能打退堂鼓或轉換目標。
攻擊並不可怕,更令人擔憂的是被攻擊了還處在未知情況,「至少做到被打要覺得痛,才能更好做出接下來的反應。」
將資安防護當成防疫看待
即使未來疫情告一段落,可想見帶起的遠端風潮仍會持續,資安環境提升對未來的影響與重要性無言可喻。對於台灣資安環境,蕭旭君整體還是樂觀看待, 她表示隨著資安被拉升到國安層級,國際上對資安重視度越來越高,台灣產官學也越來越重視,整體投入的資源及人力都有顯著提升。
做為大學副教授,蕭旭君明顯感覺到近年來對資安有興趣的學生越來越多,在政府稽核標準要求提高下,企業方對資安人才的需求也持續升溫,近期教育部舉辦的資安暑期課程參與學生數明顯增加,參與媒合的廠商意願也提高,隨著台灣團隊參加國際資安競賽等正面報導傳出,人們對資安有更多正面應用的印象也提高相關興趣。
台灣由於地理位置特殊,潛在攻擊者特別強,出發點也並非僅出於利益導向,在政治意圖引領下防禦起來更為困難,近年針對關鍵基礎設施的攻擊、大企業的勒索也陸續傳出,蕭旭君認為,未來大家更需要謹慎因應並更重視資安,「資安不只是政府部門或企業的事情,對一般人來說也很重要。」
由於日常較少涉略,許多人對於談及『在個人生活中應對資安』可能會明顯卻步或感覺抗拒,但其實這並不是這麼困難的事情。在個人生活中就像前面提醒大家的一樣,確保網站密碼強度足夠且不重複,盡量減少留下個資機會、連線時注意保護加密、不要打開奇怪信件並關閉自動預覽,這些基礎原則就已經提供足夠的上網保障。
蕭旭君表示,在疫情影響下,現在大家對疫情防護策略較為熟悉,隔離、篩檢、疫調、打疫苗…等,而在她看來,這些防疫概念其實都可以對應到資安防護上,只要簡單想像並比照辦理,做好『防疫』並『增強體魄』,就能做到基本資安防護。
「如何保護自己不受 COVID-19 的侵襲,你就用同樣的策略去確保面對個人資安保護。」
本著作係採用 創用 CC 姓名標示─非商業性─禁止改作 3.0 台灣 授權條款 授權.
本授權條款允許使用者重製、散布、傳輸著作,但不得為商業目的之使用,亦不得修改該著作。 使用時必須按照著作人指定的方式表彰其姓名。
閱讀授權標章或
授權條款法律文字。