▎顧工控資安 產官學協力拼💪

今天很開心來到大同大學參加台灣數位鑑識發展協會、大同大學資工系與環奧國際舉辦的 #工業控制系統資通安全論壇 ，和大家一起討論數位浪潮興後，資訊化的IT和工業化的OT（Operational Technology，工業操控技術）持續融合，所湧現的各種新產能機會與資安挑戰。

如果看過布魯斯威利演的《終極警探4.0》，應該會對裡面的駭客按幾個鍵就可以癱瘓掉整個城市交通系統、造成社會瓦解的情況感到驚訝與誇張，但這已經是在現實中真實上演的威脅。包括2010年伊朗核電廠內的西門子PLC即被惡意程式Stuxnet入侵，影響核電廠啟動程序；2015年烏克蘭電廠遭到BlackEnergy惡意程式入侵造成該地大停電，以及去年5月，#中油與台塑遭到駭客勒索病毒的攻擊，營運暫時停擺⋯⋯這些網路攻擊或造成加油站癱瘓、地鐵系統停擺、水力發電站事故等，都顯示OT的資安防護早已是不得不面對的現實。

面臨新型態的物聯網發展，傳統資通訊安全產品無法完全對應與解決工控安全問題，OT資訊安全的素養與資安人才都培養都極待加強。

去年（2020），經濟部國營事業委員會也針對6個關鍵基礎設施的十種工控協定進行檢測，檢測結果發現，最大的OT資安風險，就是 #暴露易遭攻擊的服務，比例高達35%；其次則是暴露不安全工控協定，比例則有16%，這都顯示工控系統已成為駭客新興鎖定的攻擊目標！

近兩年特別需要注意的是勒索軟體及相關手法的興起，在2019年3月，全球最大鋁業之一的挪威公司Norsk Hydro，也發生IT網路遭到勒索軟體LockerGoga攻擊，波及製造環境的事件；2019年12月，美國知名資料供應中心CyrusOne遭到勒索軟體攻擊；而就在上個星期，一群使用勒索軟體Revil的駭客試圖勒索Apple要求其買回新筆電產品藍圖，更涉嫌從Apple筆電製造商廣達電腦的網路中竊取大量數據資料，並要求支付天價贖金🙀

這種「勒索軟體即服務（RaaS）」的網路攻擊模式在國外行之有年，近來犯罪手法更逐漸進階到針對大企業的「#針對式勒索」及備份企業資料進行加密勒索的「#雙重勒贖」，可見台灣包括政府與企業單位都面臨越來越嚴重的駭客攻擊風險。

過去一年從科技圈走入立法院，參與國家法律的擬定和政策討論，虹安深刻感覺到在 #資通訊安全 方面，無論是台灣的關鍵基礎設施防護或是政府的資安計畫都還還有很多的努力空間。在前瞻1.0、2.0的資安防護計畫當中雖然花很多資源在改善軟硬體，但專業資安人力培育力道依然相當不足，導致和企業的防禦性資安人才需求產生落差，這也是虹安收到許多業界的夥伴反應最迫切的問題。

總體來說，如何正確的佈署資安防禦的縱深，並強化整體企業資訊防護安全，是政府相關單位的當務之急，這也是我在立法院未來會持續監督的方向。今天在現場和許多前輩與夥伴共同探討了很多維護台灣工控資安的第一線見解與應對方法，一起為台灣資安努力的感覺，真好！

#今天遇到好多資安夥伴
#工業控制安全你我一起

‼️ 勒索軟體駭全台！又傳大企業受害，我國資安拉警報 ‼️

今早美國網路媒體 #BleepingComputer 率先披露（bit.ly/3xejmGi），一群使用勒索軟體Revil的駭客試圖勒索Apple要求其買回產品藍圖，更涉嫌從Apple筆電製造商廣達電腦的網路中竊取大量數據資料，並要求支付天價贖金。

根據該篇報導，#REvil 已在暗網上洩漏了十幾份MacBook組件的示意圖，儘管沒有跡象表明它們中的任何一個是Apple的新產品，但REvil駭客警告說，如果廣達不開始就贖金進行談判，「所有Apple設備的圖紙以及員工和客戶的所有個人數據將在隨後的銷售中發布」。而駭客要求廣達必須在4月27日之前以加密貨幣XMR支付5000萬美元，或者在倒計時結束後支付1億美元。

其實現在 #資安勒索 比大家以為的、檯面上看到的多很多，包括之前宏碁、仁寶都曾經遭到駭客鎖定攻擊並遭勒索贖金。即便是這麼大的公司，資安防護跟稽核都無法滴水不漏、防不勝防，一方面除了駭客的勒索手法與使用軟體持續進步外，另一方面則突顯我國企業資安人才缺乏與資安防護漏洞嚴重的問題。

#勒索軟體（Ransomware）是什麼？它是一種源於密碼病毒學（cryptovirology ）的惡意軟體，除非向駭客支付贖金，否則它會威脅發布受害者的數據或永久阻止對目標檔案的訪問。儘管某些簡單的勒索軟體僅是鎖定系統，從而使技術高超的人不難解除，但更高級的惡意軟體使用一種稱為「加密病毒勒索」（cryptoviral extortion）的技術。它會加密受害者的文件，使其無法訪問，並要求支付贖金以解密。

勒索軟體最早從大概2007年開始出現，近幾年無論是金額或件數都以倍數成長，特別是在去年疫情爆發後，使得線上銷售、宅經濟、雲端服務、遠距教學及工作模式倍增，卻也成為新的網路犯罪溫床。甚至還有駭客組織推出「#勒索軟體即服務」（RaaS）的模式，提供網路攻擊服務。

美國網路安全公司帕羅奧圖（Palo Alto Networks）的網路安全研究人員分析了針對北美和歐洲組織的勒索軟體攻擊，發現為換取解密密鑰而支付的平均勒索贖金，從2019年的115,123美元增加到2020年的312,493美元，暴增三倍！同時，駭客越來越貪婪。從2015年到2019年，勒索軟體的最高需求為1,500萬美元，2020年，這個金額增長至3,000萬美元。

為了提高勒索成功率，駭客也開始持續精進犯罪手法，尤其是一些犯罪集團開始鎖定大企業作為狩獵標的，成為所謂的「Big game hunter」。這些駭客為了確保被勒索的企業有能力且有意願支付數十萬到數千萬美金不等的勒索贖金，從過往漫天撒網劫掠資料、加密勒索的方式，進階到鎖定特定產業或企業的「#針對式勒索」。我們看到仁寶、宏碁跟這次的廣達，以及國外包括蘋果、FedEX、俄羅斯電信、本田Honda等大企業的勒索軟體攻擊，都是屬於這種針對式的手法。

根據奧義智慧共同創辦人叢培侃及趨勢科技台灣區暨香港區總經理洪偉淦在網路上的公開說法，駭客組織為了確保受害者勢必得支付贖金，已經啟動了被稱為「#雙重勒贖」的新作案手法，即發動方式採用APT滲透攻擊，先行潛伏竊取資料，並在加密企業資料之前同步備份，完成後再啟動勒索軟體執行加密勒索，並且威脅不支付贖金就公開企業及其客戶的商業機密甚至個資，以確保受害企業必定花錢消災。

在交付贖金方面，容易使用、加密因此難以追查的 #虛擬貨幣 出現，解決了以往網路犯罪集團最傷腦筋的 #隱藏金流 問題，也間接帶動駭客開始透過勒索軟體加密企業資料的方式，遠端向受駭企業要求以加密貨幣支付贖金，成為犯罪者的保護傘。除了盛行的比特幣（Bitcoin）之外，駭客也常要求以匿名隱私幣的XMR支付贖金，因為XMR無法追蹤交易，因此成為暗網常用的交易媒介。

勒索軟體攻擊的氾濫，凸顯出我國企業資安的長期問題，包括業界長期反應缺乏專業資安人才的培養計畫以及政府資源錯置，如CTF 競賽偏向駭客攻防技術，和實際政府和企業的防禦性資安人才需求有落差，如今就連企業資安防守的課程要找到合格師資也相當困難。如何正確的佈署資安的縱深，並強化整體企業資訊防護安全，是政府相關單位的當務之急。

虹安呼籲，政府與社會應該要對資安攻擊背後的目的以及對於事業體、國家可能造成的嚴重傷害有充分認知，數個公司、數個相似產業的事業體遭受攻擊，除了損失贖金與客戶資料、衝擊股價甚至影響商譽而掉單，都可能導致我國科技產業的長遠危機！

政府既已號稱成立「#資安國家隊」，就應該盡快提出包括應對勒索軟體在內的 #資安解決方案，協助科技產業加強與整合資安防護資源，共同發展最適當的防禦因應措施，以保護我國科技產業與全民的資訊安全不受勒索威脅！

📒參考資料：
1.勒索軟體大轉型，防禦難度提升：黒產供應鏈經營成本高，鎖定有能力付贖金的知名企業
https://www.ithome.com.tw/news/143458
2.不給錢就公布　竊資型勒索橫行
https://www.netadmin.com.tw/netadmin/zh-tw/market/464E17819569476E94344EDEBDEECAD6
3.資安險如何回應 勒索軟體攻擊事件
https://www.aon.com/getmedia/3dd6d44a-a783-43e3-8c89-db5b7a2c97fd/2020-cyber-risk-case-study-CN.aspx
4.加密勒索程式的 特性與特徵
http://tprc.tanet.edu.tw/tpnet2020/training/10909.pdf
5.Largest ransomware demand now stands at $30 million as crooks get bolder
https://www.zdnet.com/article/largest-ransomware-demand-now-stands-at-30-million-as-crooks-get-bolder/
6.Highlights from the 2021 Unit 42 Ransomware Threat Report
https://unit42.paloaltonetworks.com/ransomware-threat-report-highlights/
7.Largest ransomware demand now stands at $30 million as crooks get bolder
https://www.zdnet.com/article/largest-ransomware-demand-now-stands-at-30-million-as-crooks-get-bolder/
8.駭客入侵台灣10大企業！研華慘遭勒索10億　仁寶認栽付千萬贖金
https://finance.ettoday.net/news/1872347
9.天啊，被勒索了怎麼辦？！10大資安鐵則讓你遠離勒索病毒
https://www.uso.com.tw/portal_b1_page.php?owner_num=b1_55912&button_num=b1&cnt_id=13205
10. 獨家／廣達遭駭1／遭REvil入侵資料庫　客戶設計圖全都露
https://www.ctwant.com/article/113305

選舉剛落幕，「北漂」搖身一變，成為近來的熱門關鍵字。全球各界對於專業的資安人才需求孔急，因此，有許多資安從業人員開始思考，到海外從事資安工作的可行性。不過，到海外從事資安工作，除了傳統的北漂到日本或是飄洋過海到美國歐盟等地外，或許有許多資安圈的人也早就發現，南向到菲律賓工作則是另外一個選擇。

菲律賓的觀光博奕產業相當發達，除了對基礎的網路維運人員有大量的人才需求外，因為觀光博奕產業涉及到大量的利益，也成為駭客鎖定的焦點產業。因此，這些觀光博奕業者也需要仰賴許多資安專家協助落實更好的資安防護措施。

不過，到底怎麼樣去菲律賓找資安工作是安全的？怎麼判斷這個工作是合法？非法？甚至是遊走灰色邊緣地帶呢？菲律賓的資安工作到底包括哪些內容？相較於臺灣產業而言，菲律賓的資安工作面對的挑戰又是什麼？又得具備怎麼樣的十八般武藝，才能在菲律賓當地工作游刃有餘呢？

我們很榮幸邀請到現任果核數位資安部經理李柏逸（網路暱稱PD），於2018年12月6日（四）中午12點～13點來到「大話資安」的直播現場，跟我們分享他從2012年開始力行「南向政策」，到菲律賓從事資安工作的產業觀察與不足為外人道的辛酸甘苦。

時間：2018年12月6日（四）中午12點～13點

題目：海外工作與異色產業攻防經驗分享

來賓：果核數位資安部經理李柏逸（網路暱稱PD）

來賓簡介：
本科是不務正業企管人，自稱非典型駭客以及職業流浪漢，於2006年～2012年在臺灣從事相關的資安工作與研究，偏重信用卡網站資料擷取漏洞，關注網頁應用程式防火牆（WAF）偵測繞過、各大入口網站及購物網站轉址漏洞 、網拍賣場防釣機制繞過，也針對網路銀行交易安全機制研究，其他研究內容還包括：垃圾郵件過濾系統驗證繞過漏洞、入口網站安全圖章驗證弱點、Youtube 網站分級驗證弱點、Phplogcon 注入弱點、SIEM管理平臺弱點研究、上網行為管理系統Restore Injection 弱點研究以及網路商城框架安全弱點研究；2012年到海外從事資安工作後，主要工作內容則包括：遊戲網站安全性弱點研究、數據精算與分析以及網路銀行框架安全性弱點研究等。

直播網址：https://r.itho.me/st1206

＃記得打開ＣＣ字幕 ＃DIGI
蔡哥一起參與合作的 5G 影片也上線囉！大家趕快去看看👉 https://youtu.be/XE0C7JjoE98

✔︎ 成為志祺七七會員：http://bit.ly/join_shasha77
✔︎ 訂閱志祺七七頻道： http://bit.ly/shasha77_subscribe
✔︎ 追蹤志祺 の IG ：https://www.instagram.com/shasha77.daily
✔︎ 志祺七七 の 粉專 ：http://bit.ly/shasha77_fb

各節重點：
00:43 未來5G世界，到底長怎樣呢？
01:54 自駕車聯網，交通不再卡？
03:09 想進入全面5G的時代，需要哪些產業支撐呢？
03:47 直擊神秘的5G產業鏈
05:18 臺灣距離5G全面覆蓋還有多久？
06:41 臺灣的5G產業發展，跟他國比算是快還是慢？
07:28 台灣發展5G面臨哪些挑戰？
08:04 臺灣的5G發展策略
09:25 我們的觀點
10:45 提問TIME
10:57 掰比～別忘了訂閱

【 製作團隊 】
｜企劃：＋🐟
｜腳本：＋🐟
｜剪輯後製：絲繡
｜剪輯助理：范范
｜演出：志祺

——

【 本集參考資料 】

→ 【CES現場直擊】5G終於來了！這三大應用最值得期待：http://bit.ly/2m8wnRH
→ 對自駕車來說，5G 網路是必要條件嗎？：http://bit.ly/2kZtm63
→ 5G 產業」大解密！ 2,868 億元規模背後的關鍵元件，竟是這 3 大類台廠 ...：http://bit.ly/2m7E0rA
→ 2020時5G將帶來產業革命？可能還要等等：https://www.gvm.com.tw/article.html?id=68054
→ 甩掉「笨水管」標籤 台灣電信三雄敲響5G戰鼓：http://bit.ly/2mtREWn
→ 陳其邁：台灣在5G時代會是隱形冠軍：http://bit.ly/2m9hE99
→ 3.5GHz 上限設 100MHz，業界：5G 競標會很激烈：http://bit.ly/2mmCLVE
→ 5G 物聯網時代的資安新挑戰：http://bit.ly/2m45qyR
→ 中華電信領航隊擴大5G 試驗場域，「北流來襲」展示多視角直播與8K VR ...：http://bit.ly/2m7Eazc
→ 5G 物聯網時代的資安新挑戰：http://bit.ly/2m45qyR
→ 臺灣行動5G發展戰略大揭露！行政院：2020年將培育4千名5G應用人才，目標4年後打造一個年產值500億元規模的臺灣5G產業：http://bit.ly/2kqhlX4
→ 期待5G直播平台 造福偏鄉師生：http://bit.ly/2m0MvVF
→晶圓代工爭霸戰：半導體知識（前傳）：https://reurl.cc/yyEjGy
→「我國 5G 頻譜整備規劃」諮詢文件：https://reurl.cc/1QYaqG
→即使到了 2020 年，5G 生活很可能依然與我們無關：https://reurl.cc/8l3Z8d
→ 《5G與台灣產業鏈的緊密關係》：https://drive.google.com/file/d/1YqlYL4MJtu5-3TDYtSnfNBTi49-l4lwj/view
→《臺灣5G行動計畫》：https://2030.tw/5G_Taiwan
→ DIGI+方案：https://2030.tw/DIGI_Taiwan
→ 台灣5G行動計畫：https://2030.tw/2lOnD3x
→奈米通訊《矽的美麗世紀》 by 謝錦龍


＼每週７天，每天７點，每次７分鐘，和我們一起了解更多有趣的生活議題吧！／
🥁七七仔們如果想寄東西關懷七七團隊與志祺，傳送門如下：
106台北市大安區羅斯福路二段111號8樓
如有業務需求，請洽：hi@simpleinfo.cc