[HITCON年會] 如何應對日趨嚴重的駭客資訊戰？資安專家教你五招

台灣APT攻擊的情況為亞洲最嚴重，台灣最大資安及駭客技術研討會台灣駭客年會（Hacks In Taiwan Conference, HITCON），這週以「Security of Things」為年度主軸，展開為期六天的活動。繼26 、27日企業場HITCON Enterprise後，28、29日緊接著社群場次HITCON Community登場，在研討會中深入分享駭客密技，台灣資安專家們認為，唯有了解駭客最新的攻擊手法，才知道要怎麼去防禦自己。

HITCON總召蔡松廷指出，台灣是受到資安攻擊很嚴重的國家，HITCON在社群經營非常有經驗，但要改善資安環境的話，只有社群的力量不夠，所以即使舉辦企業場虧錢，也希望能讓更多人了解資安，今年更首次邀請行政院副院長張善政演講，希望政府、企業及社群未來能更緊密合作。

(圖說：HITCON社群場滿座。圖片來源：取自HITCON臉書。)

HITCON社群場總召集人翁浩正表示，邁入11屆的HITCON年會，從2005年的100名參與者，增加至1千名資安人員參與，會中也有來自10個國家的參與者與會。社群場更以物聯網資安為題，舉辦IoT Wargame，每位參與者都拿到一個特製的設備「HITCON nano」，了解嵌入式設備安全的重要，今年也舉辦「Hack2Own」駭客松競賽。這次最大的亮點是，去年獲得DEF CON世界冠軍的PPP戰隊，其中的天才白帽駭客geohot（George Francis Hotz）也應邀來台，向資安界分享他自己所開發的找漏洞工具。

（圖說：HITCON社群場的名牌巧思。圖片來源：取自HITCON臉書。）

到底政府和企業遇到資安威脅時，應該怎麼辦？

1、開放資料反而更安全

26日的「HITCON專家企業資安防禦招式座談會」邀五位資安專家分享，台北市資訊局局長李維斌說，政府的資安預算只占1％，預算十分不足，先前北市府發生駭客攻擊偷資料的事件，台北市長柯文哲了解駭客所偷的資料後，發現這些都是公開在網路上的資料，等於駭客做白工，「柯文哲就指示能開放的政府資料就全都開放出來，反而因此也讓政府資安比較好管理，因為駭客沒什麼好偷的！」

2、改變心態，擁抱白帽駭客

翁浩正指出，企業內部發生資安事件的時候，企業往往是各部門互推責任，但資安部門往往夾在中間，又沒有權限處理，或是有白帽駭客主動提醒企業的漏洞，企業的反應往往是緊張、害怕，怕對方要來勒索。他說，「把駭客當成你的朋友，擁抱白帽駭客，他們可以幫助你處理漏洞！」例如，近期LINE也提出漏洞獎勵計畫，鼓勵資安研究人員回報漏洞，他認為這才是正向循環。

（圖說：HITCON企業場，五位專家談企業如何面對資安威脅。圖片來源：HITCON提供。）

3、了解最新的攻擊手法

台灣駭客年會總召蔡松廷說，Hacking Team最重要的意義是告訴大家資訊戰的時代已經來臨，可以把它想成數位的軍火商，就是提供武器的廠商。在資訊戰裡面，要如何取得優勢和領先？就要購買比別人好的武器。如何在有限預算和資源下，應付資訊戰？他指出，其實中國的兵法可以參考，當人數和資源少的時候，不一定會居劣勢，最重要的是要了解自己。

此外，也要了解敵人，知道他們如何入侵、手上擁有的0day是哪一個、手法為何、利用你網站的哪個漏洞？了解夠多的話，比較容易防禦攻擊，趕快去修補漏洞。HITCON年會會定期揭露最新的手法和漏洞，持續追蹤這些訊息，就知道最新被攻擊的領域、手法和技術在哪裡，比較容易知道要如何布署安全策略。

4、鼓勵企業做漏洞獎勵計畫

帶隊參加網路攻防競賽的HITCON領隊李倫銓說，企業漏洞計畫裡贊助最多錢的企業，大約是每個漏洞五萬美元，讓研究員協助找漏洞，現在越來越多有熱情的研究員和高階資安人向企業送出漏洞通報，但卻找不到通報的管道，打客服電話通常沒有反應，或是企業進而懷疑他們，讓他們通報的熱情化為烏有，這會降低研究員的熱情。

李倫銓說，然而就算企業提高資安預算，也比不過地下黑心產業。知名的黑產像是Hacking team跟別人買每個漏洞的金額可達10萬美元，他們再轉賣漏洞的金額可高達好幾千萬。相比之下，黑產的金額大得多，這些資安人會選擇把漏洞送去哪裡呢？也許企業沒辦法給這麼高的回饋，但至少一定要有通報機制和獎金，這才是解決問題的根本，才能真的打破黑產的結構。

5、別只分內外網，要更細緻區隔網段

台灣威瑞特技術長邱銘彰（Birdman）也說，「企業或資安公司介入經濟活動，是對抗和破壞黑產最好的方法之一。」此外，邱銘彰認為，企業過去保護資安，用隔離內網和外網的方式，但是只分內外網太粗糙，而且對管理員工來說也是不人道的做法，因為員工還是會用手機上網，也有資料交換的需求，到最後反而形成某一台伺服器變成資料交換的集中地。

邱銘彰建議應該更細緻、漸層式的區隔網段，讓每個網段有不同的層級和責任，例如網管要遙控別人電腦只能用實體線接到某台電腦才能使用，這樣才能讓員工更遵守政策，更符合人性，真正做好資安管理。