星岛日报

【创科广场】多重手段防供应键攻击 必先强化保安意识

2021-03-12 08:15
近期发生多宗供应键网络攻击;2020年底广泛应用于各大政府及企业的SolarWinds软件,怀疑被黑客入侵,以至美国多家采用相关供应商软件的政府机构、企业,高科技公司,纷纷中招,最后被保安公司FireEye分析人员所揭发。

SolarWinds是不少企业用于监察网络和应用性能工具,不少企业网络即使保安严密,不过软件愈来愈复杂,开发人员从Github下载源码开发,或使用第三方的系统软件,终于变成入侵工具的后门。

企业不少工具软件,每日也有大量更新,黑客入侵了上游供应商,就可长驱直进。

提防电邮诈骗

香港电脑学会会长孙耀达及专业及事业发展委员会成员许仁强,就最近的事故提醒商界,企业面对攻击风险正在上升,尤其是针对性攻击,为了获取金钱的回报。不少攻击更是与电邮有关,以往黑客是渔翁撒网发放恶意电邮,如今则扮作内部用户,再发出假电邮诈骗,更难于防范。

近期,航空业IT服务供应商SITA,也受到供应链攻击,导致数以万计乘客资料外泄;新加坡航空及国泰航空亦向乘客发出通知,须与SITA的PPS交换乘客资料,部分乘客姓名、会员号码、座席和饮食偏好,可能已外泄。新航和国泰均不是 SITA客户,但SITA为全球9成航空公司提供服务,彼此须交换乘客资料作核实用途。SITA未有透露是那家供应商出现问题。

网络攻击难防

许仁强说,SolarWinds的网络监控平台Orion受攻击后,由于软件已经获得默许,毋须经保安系统检查直接安装,所以避过所有防护,事件起源就是恶意软件入侵SolarWinds一名电邮用户,然后再攻击Orion更新软件,植入恶意邮件,通过下载攻击下游客户;内藏的木马程式被下载逾18000次,超过20家公司证实已被入侵。

「供应键攻击比较难防范,企业难以审查上游供应商的保安;情况就有如刺杀皇帝,就找供应皇室膳食的农场,在食品里下毒。」上游供应商如果防范较松散,就成为后门。

发现入侵FireEye保安营运中心(SOC)分析人员,发现可疑用户登入,竟同时注册两个电话号码,再致电该用户求证,原来该用户只用一个号码,终于揭发了美国史上最严重的入侵。如果黑客不是入侵了FireEye系统,其他受害用户可能仍蒙在鼓里。

多重认证防患未然

更麻烦是,遭入侵企业的安系统,几乎完全没侦查察觉异常,SOC和SIEM未有发现入侵蛛丝马迹,甚至未有发觉恶意软件「回电(Call back)到命令和控制伺服器,可见黑客之隐秘,属于有组织和经验攻击。

许仁强说,企业可考虑采用多重认证,或实行「零信任」(Zero Trust)机制防止入侵。今次黑客是通过了电邮入侵,除了多重认证,亦可登入时发短讯作通知。

他建议企业加强认证供应商的保安和资格,定期教育训练用户电邮防范意识,又或进行保安习演,聘请白帽黑客模拟攻击,以测试保安系统防御能力,甚至购买第三方保安情报,以更快知悉网上攻击趋势。

孙耀达说,企业保护数据有三个重点,包括保护数据的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability),黑客往往是盗取数据,或今次就是修改了数据,再攻击下游的客户,甚至以勒索加密程式,令数据完全无法存取。

他说,以往网络保安主要是防御从北至南,也就从外围攻击,加入防火墙和其他多重防护。从SolarWinds的事态,显示也须注意从东至南平面攻击,伺服器之间是否有不寻常活动。

保安意识重中之重

孙耀达同意,网络攻击确是防不胜防,往往道高一尺,魔高一丈,而为所有系统加入「零信任」,也涉大量及成本,必须分缓急轻重,集中保护最重要数码资产。

「网络保安也要不断检讨更新,适应经常转变的形势,以保持警觉性,不能墨守成规。」用户对网络保安的警觉意识,可说是网络保安的最重要防綫。

FireEye为第一家发现有关SolarWinds供应链攻击的公司,也不断在网络蒐集有关情报,以打听风吹草动作出防范。Microsoft公布Exchange伺服器漏洞之前,网上已有黑客交易攻击有关漏洞的APT,FireEye早已预知,某些系统重大事故,即将发生;而漏洞公布前,黑客可能早已潜入系统,捷足先登,即使事后再堵塞漏洞,亦无法防止黑客破坏。

果然,漏洞公布不久后,消息公布超过30000个Exchange伺服器遭入侵,不少企业仍未有公布,部分更可能不知自己成受害者。

类似网络的保安事件,可引发不少其他网络保安问题,让黑客潜伏内部电脑,伺机而动发动其他攻击,瘫痪服务或盗取数据,甚至攻击下游客户,所以不能堵塞漏洞,就掉以轻心,必须细心检验系统。

最新回应

關鍵字

热门文章