【創科廣場】多重手段防供應鍵攻擊 必先強化保安意識

近期發生多宗供應鍵網絡攻擊；2020年底廣泛應用於各大政府及企業的SolarWinds軟件，懷疑被黑客入侵，以至美國多家採用相關供應商軟件的政府機構、企業，高科技公司，紛紛中招，最後被保安公司FireEye分析人員所揭發。

SolarWinds是不少企業用於監察網絡和應用性能工具，不少企業網絡即使保安嚴密，不過軟件愈來愈複雜，開發人員從Github下載源碼開發，或使用第三方的系統軟件，終於變成入侵工具的後門。

企業不少工具軟件，每日也有大量更新，黑客入侵了上游供應商，就可長驅直進。

提防電郵詐騙

香港電腦學會會長孫耀達及專業及事業發展委員會成員許仁強，就最近的事故提醒商界，企業面對攻擊風險正在上升，尤其是針對性攻擊，為了獲取金錢的回報。不少攻擊更是與電郵有關，以往黑客是漁翁撒網發放惡意電郵，如今則扮作內部用戶，再發出假電郵詐騙，更難於防範。

近期，航空業IT服務供應商SITA，也受到供應鏈攻擊，導致數以萬計乘客資料外泄；新加坡航空及國泰航空亦向乘客發出通知，須與SITA的PPS交換乘客資料，部分乘客姓名、會員號碼、座席和飲食偏好，可能已外泄。新航和國泰均不是 SITA客戶，但SITA為全球9成航空公司提供服務，彼此須交換乘客資料作核實用途。SITA未有透露是那家供應商出現問題。

網絡攻擊難防

許仁強說，SolarWinds的網絡監控平台Orion受攻擊後，由於軟件已經獲得默許，毋須經保安系統檢查直接安裝，所以避過所有防護，事件起源就是惡意軟件入侵SolarWinds一名電郵用戶，然後再攻擊Orion更新軟件，植入惡意郵件，通過下載攻擊下游客戶；內藏的木馬程式被下載逾18000次，超過20家公司證實已被入侵。

「供應鍵攻擊比較難防範，企業難以審查上游供應商的保安；情況就有如刺殺皇帝，就找供應皇室膳食的農場，在食品裏下毒。」上遊供應商如果防範較鬆散，就成為後門。

發現入侵FireEye保安營運中心（SOC）分析人員，發現可疑用戶登入，竟同時註冊兩個電話號碼，再致電該用戶求證，原來該用戶只用一個號碼，終於揭發了美國史上最嚴重的入侵。如果黑客不是入侵了FireEye系統，其他受害用戶可能仍蒙在鼓裏。

多重認證防患未然

更麻煩是，遭入侵企業的安系統，幾乎完全沒偵查察覺異常，SOC和SIEM未有發現入侵蛛絲馬迹，甚至未有發覺惡意軟件「回電（Call back）到命令和控制伺服器，可見黑客之隱秘，屬於有組織和經驗攻擊。

許仁強說，企業可考慮採用多重認證，或實行「零信任」（Zero Trust）機制防止入侵。今次黑客是通過了電郵入侵，除了多重認證，亦可登入時發短訊作通知。

他建議企業加強認證供應商的保安和資格，定期教育訓練用戶電郵防範意識，又或進行保安習演，聘請白帽黑客模擬攻擊，以測試保安系統防禦能力，甚至購買第三方保安情報，以更快知悉網上攻擊趨勢。

孫耀達說，企業保護數據有三個重點，包括保護數據的機密性（Confidentiality）、完整性（Integrity）和可用性（Availability），黑客往往是盜取數據，或今次就是修改了數據，再攻擊下游的客戶，甚至以勒索加密程式，令數據完全無法存取。

他說，以往網絡保安主要是防禦從北至南，也就從外圍攻擊，加入防火牆和其他多重防護。從SolarWinds的事態，顯示也須注意從東至南平面攻擊，伺服器之間是否有不尋常活動。

保安意識重中之重

孫耀達同意，網絡攻擊確是防不勝防，往往道高一尺，魔高一丈，而為所有系統加入「零信任」，也涉大量及成本，必須分緩急輕重，集中保護最重要數碼資產。

「網絡保安也要不斷檢討更新，適應經常轉變的形勢，以保持警覺性，不能墨守成規。」用戶對網絡保安的警覺意識，可說是網絡保安的最重要防綫。

FireEye為第一家發現有關SolarWinds供應鏈攻擊的公司，也不斷在網絡蒐集有關情報，以打聽風吹草動作出防範。Microsoft公布Exchange伺服器漏洞之前，網上已有黑客交易攻擊有關漏洞的APT，FireEye早已預知，某些系統重大事故，即將發生；而漏洞公布前，黑客可能早已潛入系統，捷足先登，即使事後再堵塞漏洞，亦無法防止黑客破壞。

果然，漏洞公布不久後，消息公布超過30000個Exchange伺服器遭入侵，不少企業仍未有公布，部分更可能不知自己成受害者。

類似網絡的保安事件，可引發不少其他網絡保安問題，讓黑客潛伏內部電腦，伺機而動發動其他攻擊，癱瘓服務或盜取數據，甚至攻擊下游客戶，所以不能堵塞漏洞，就掉以輕心，必須細心檢驗系統。