【创科广场】多重手段防供应键攻击 必先强化保安意识

近期发生多宗供应键网络攻击；2020年底广泛应用于各大政府及企业的SolarWinds软件，怀疑被黑客入侵，以至美国多家采用相关供应商软件的政府机构、企业，高科技公司，纷纷中招，最后被保安公司FireEye分析人员所揭发。

SolarWinds是不少企业用于监察网络和应用性能工具，不少企业网络即使保安严密，不过软件愈来愈复杂，开发人员从Github下载源码开发，或使用第三方的系统软件，终于变成入侵工具的后门。

企业不少工具软件，每日也有大量更新，黑客入侵了上游供应商，就可长驱直进。

提防电邮诈骗

香港电脑学会会长孙耀达及专业及事业发展委员会成员许仁强，就最近的事故提醒商界，企业面对攻击风险正在上升，尤其是针对性攻击，为了获取金钱的回报。不少攻击更是与电邮有关，以往黑客是渔翁撒网发放恶意电邮，如今则扮作内部用户，再发出假电邮诈骗，更难于防范。

近期，航空业IT服务供应商SITA，也受到供应链攻击，导致数以万计乘客资料外泄；新加坡航空及国泰航空亦向乘客发出通知，须与SITA的PPS交换乘客资料，部分乘客姓名、会员号码、座席和饮食偏好，可能已外泄。新航和国泰均不是 SITA客户，但SITA为全球9成航空公司提供服务，彼此须交换乘客资料作核实用途。SITA未有透露是那家供应商出现问题。

网络攻击难防

许仁强说，SolarWinds的网络监控平台Orion受攻击后，由于软件已经获得默许，毋须经保安系统检查直接安装，所以避过所有防护，事件起源就是恶意软件入侵SolarWinds一名电邮用户，然后再攻击Orion更新软件，植入恶意邮件，通过下载攻击下游客户；内藏的木马程式被下载逾18000次，超过20家公司证实已被入侵。

「供应键攻击比较难防范，企业难以审查上游供应商的保安；情况就有如刺杀皇帝，就找供应皇室膳食的农场，在食品里下毒。」上游供应商如果防范较松散，就成为后门。

发现入侵FireEye保安营运中心（SOC）分析人员，发现可疑用户登入，竟同时注册两个电话号码，再致电该用户求证，原来该用户只用一个号码，终于揭发了美国史上最严重的入侵。如果黑客不是入侵了FireEye系统，其他受害用户可能仍蒙在鼓里。

多重认证防患未然

更麻烦是，遭入侵企业的安系统，几乎完全没侦查察觉异常，SOC和SIEM未有发现入侵蛛丝马迹，甚至未有发觉恶意软件「回电（Call back）到命令和控制伺服器，可见黑客之隐秘，属于有组织和经验攻击。

许仁强说，企业可考虑采用多重认证，或实行「零信任」（Zero Trust）机制防止入侵。今次黑客是通过了电邮入侵，除了多重认证，亦可登入时发短讯作通知。

他建议企业加强认证供应商的保安和资格，定期教育训练用户电邮防范意识，又或进行保安习演，聘请白帽黑客模拟攻击，以测试保安系统防御能力，甚至购买第三方保安情报，以更快知悉网上攻击趋势。

孙耀达说，企业保护数据有三个重点，包括保护数据的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability），黑客往往是盗取数据，或今次就是修改了数据，再攻击下游的客户，甚至以勒索加密程式，令数据完全无法存取。

他说，以往网络保安主要是防御从北至南，也就从外围攻击，加入防火墙和其他多重防护。从SolarWinds的事态，显示也须注意从东至南平面攻击，伺服器之间是否有不寻常活动。

保安意识重中之重

孙耀达同意，网络攻击确是防不胜防，往往道高一尺，魔高一丈，而为所有系统加入「零信任」，也涉大量及成本，必须分缓急轻重，集中保护最重要数码资产。

「网络保安也要不断检讨更新，适应经常转变的形势，以保持警觉性，不能墨守成规。」用户对网络保安的警觉意识，可说是网络保安的最重要防綫。

FireEye为第一家发现有关SolarWinds供应链攻击的公司，也不断在网络蒐集有关情报，以打听风吹草动作出防范。Microsoft公布Exchange伺服器漏洞之前，网上已有黑客交易攻击有关漏洞的APT，FireEye早已预知，某些系统重大事故，即将发生；而漏洞公布前，黑客可能早已潜入系统，捷足先登，即使事后再堵塞漏洞，亦无法防止黑客破坏。

果然，漏洞公布不久后，消息公布超过30000个Exchange伺服器遭入侵，不少企业仍未有公布，部分更可能不知自己成受害者。

类似网络的保安事件，可引发不少其他网络保安问题，让黑客潜伏内部电脑，伺机而动发动其他攻击，瘫痪服务或盗取数据，甚至攻击下游客户，所以不能堵塞漏洞，就掉以轻心，必须细心检验系统。