黃彥棻／《禍駭》：個人、企業到國家，一場打不完的資安戰爭

鳴人選書 28 Jun, 2021

（※ 文：黃彥棻，iThome電腦報資安主筆）

如果你想知道過去十多年來，全世界發生哪些左右世界變局的資安事件，你可以從讀《禍駭：網路犯罪世界的第一手紀實》這本書開始，看看書中的主角們怎麼利用既有的「勒索軟體即服務」打造網路犯罪新創企業，在此同時，也可以了解全世界發生過哪些造成緊張或恐慌，甚至鉅額損失的資安事件。

資安事件的溫故知新

對臺灣大多數的讀者而言，iThome電腦報是一家名不見經傳的小眾媒體，但在企業IT的領域，iThome電腦報卻是第一名的專業媒體。讀者主要來自各行各業資訊、資安、數位相關部門的主管和同仁，報導領域從硬碟、伺服器到軟體開發、雲端／邊緣運算、DevOps，一直到資安管理、數位轉型等等。而從2006年2月農曆年後迄今累計16年資安新聞經驗的我，應該是全臺灣最資深的資安記者。

因為同為資安記者的背景，在我拿到這本由美國華爾街日報、美國CNBC前資安記者凱特‧法茲尼（Kate Fazzini）撰寫、以小說形式呈現各種網路犯罪事件的書稿時，腦海中閃過的是一則則當年熱門的資安新聞，以及各種勒索軟體造成的威脅。

2013年9月，全球第一個加密型勒索軟體CryptoLocker造成全球超過上百萬臺電腦淪陷；
2014年，美國最大家居修繕業者Home Depot爆發超過4千萬張支付卡資料外洩；
2017年5月，因全球數十萬個電腦使用者未能即時更新微軟在當年2月針對SMB通訊協定釋出的修補程式，導致全球超過150個國家的個人電腦感染Wannacry（想哭）勒索蠕蟲——Wannacry加密該入侵電腦的各種檔案文件，並持續感染其他沒有修補SMB漏洞的電腦，繼續加密被入侵電腦中的檔案文件。

書中同時也提到俄羅斯和東歐駭客的橫行，像是2014年開始，羅馬尼亞等東歐國家的駭客便積極開發許多鎖定網路銀行的金融木馬惡意程式，成為許多銀行網路犯罪的幕後黑手。另一方面，在2013年由美國資安情報公司Mandiant（後來被資安公司Fireeye併購）一份正式對外公布、針對APT1網路間諜組織的報告中更指出，中國總參三部二局組成的61398秘密部隊，不論是任務、組織、流量、工具、技巧、資源、能力、甚至於所在地等，都可以證明61398部隊就是APT1組織——即便中國政府「從來不承認」中國有網軍這件事。

書中章節所提到的網路犯罪事件和手法，都可以直接或間接聯想到當年的資安新聞事件，不小心忘了相關新聞細節，還會忍不住Google當年新聞的來龍去脈，看著這本書，就好像又把過去十多年來的重大資安新聞溫故知新一遍。

2017年，南韓首爾的一處網路中心，工作人員正在監看WannaCry的資料。圖／美聯社

資訊單位從花錢的成本中心轉變成營運核心

早期，資訊部門通常是公司最花錢的單位，號稱「成本中心」，就是資訊部門所有的貢獻都算在公司的成本帳，沒有辦法對公司營運帶來正面價值。因此不管在臺灣還是其他國家，經常看到的是業務單位頤指氣使嫌棄公司資訊部門每年花費大筆預算，卻看不到幫公司賺錢。一旦公司財務上面臨直接衝擊時，第一時間想到的解法就是：裁撤這些只會花錢的部門。固定支出變少了，公司財務就可以看到立即的改善。

只不過隨著許多公司的業務服務越來越依賴資訊系統——像是金融業、電商、宅配業等——再加上公司規模越大，就越需要有一套企業支援規畫系統（ERP）與財務會計系統，甚至製造業的工單、生產、設備管理、品管、入庫、出貨等，也都需要仰賴一套MES（製造執行系統）貫穿整個廠區的業務流程，因此，資訊單位的重要性逐漸被重視。

如果資訊部門只是個乖乖依照業務單位需求、被動提供資訊服務的部門，將永遠無法成為企業內的管理核心單位，因此慢慢有些資訊部門主管，會根據公司主要業務流程，從提高業務流程的效率開始，慢慢進行公司的業務流程管理再造（BPM），甚至提供新型態的業務服務。許多企業的官網兼具電商功能，也都依循這樣的演變過程。

隨著企業開始朝向e化和資訊化，資訊部門因此成為貫穿企業業務流程的重要核心部門——資訊部門越能參與企業營運，便越能彰顯自身的價值。資訊部門開始出頭了，各種支援企業營運的IT系統如雨後春筍般的上線，但凡有個新營運點子就得搭配一套資訊系統。被業務單位催急了就得讓系統趕緊上線、提供服務，變成資訊部門的共識。

圖為2018年黑帽大會（Black Hat Briefing）。黑帽大會為為世界各地的駭客、企業和政府機構提供安全諮詢、培訓和簡報。圖／路透社

資安風險已經成為企業必須正視的營運風險

除了系統開發所面臨的各種風險外，書中提到的DDoS（分散式阻斷服務）攻擊，也是常見的網路攻擊之一。

這類網路攻擊的主要目的就是癱瘓服務提供的網站：當網站可以讓一千人同時上線，駭客就會利用傀儡網路針對該網站發動攻擊，創造出同時有二千人要上線的現象。因為網站伺服器無法因應如此大量的連線服務，網站系統就會當機、無法繼續提供服務，原有網站的使用者，也就無法登入該網站使用相關服務。

例如在2017年2月農曆年後的上班日，臺灣券商遭到有史以來首次集體遭DDoS攻擊的勒索事件，全臺79家券商中，先後有十多家券商收到勒索信件，勒索贖金約為新臺幣27萬元至30萬元，其中更有13家券商的網站下單系統實際遭到DDoS攻擊，平均停擺了半個多小時。有人推估該次的DDoS攻擊，其實影響臺灣200億元的股票交易安全。

網路攻擊層出不窮，許多人對於台積電在2018年因為機臺感染Wannacry勒索蠕蟲，導致生產線大當機，造成企業營收從新臺幣78億元下修到52億元的資安事件印象深刻。畢竟台積電常年來一直是臺灣企業的資安模範生，即便如此還是會因為勒索蠕蟲造成產線當機，更讓大家驚訝。一個早該修補的微軟作業系統SMB漏洞、一個台積產線大內網的網路規畫，再加上新機臺安裝軟體過程沒有按照SOP，才會讓內有病毒的新機臺連上公司內部電腦網路，導致Wannacry勒索病毒在台積電竹科、中科和南科廠區大擴散。

除了台積電外，從去年開始，陸續有許多高科技業者，都成為駭客鎖定的勒索對象，從Garmin開始，到仁寶、研華、鴻海、宏碁，甚至近期的廣達和威剛等等，都傳出企業有系統感染病毒，雖然從未明確說明是勒索軟體加密企業檔案系統，事後卻有各種媒體報導，上述企業已因為該病毒造成企業系統的當機或檔案損失，必須透過備份還原的方式，試圖解決企業危機。

網路攻擊層出不窮，台積電在2018年曾發生機臺感染Wannacry勒索蠕蟲，導致生產線大當機，造成企業營收從新臺幣78億元下修到52億元的資安事件。示意圖。圖／聯合報系資料照

這陣子的勒索軟體手法已經有所轉變，從以往亂槍打鳥式的勒索，轉變成針對式勒索軟體，鎖定大型企業、採用APT（進階持續性威脅）手法，駭客在加密企業檔案前，會事先備份一份資料，一旦企業不願意支付高額贖金，駭客會先在網路上釋出部分資料，例如，駭客勒索廣達電腦未成，就在網路上釋出部分蘋果產品的資料，目的就是要受駭企業同意支付贖金，以往，甚至國外還有傳出，駭客集團還會主動打電話給受駭企業的資安人員，要求對方支付贖金的作法。

因為資安風險已經確確實實影響到企業營運，包括商譽損失在內，因此也成為企業必須面對的切實解決的困難。證交所同時在四月底公告，如果上市公司爆發重大資安事件，必須依法公開揭露，迫使企業——至少是上市公司——必須正視資安已經是影響企業營運的重大風險之一。臺灣要求上市公司揭露資安事件的時間雖然比美國證券交易委員會（2018年）晚，但遲到總比不到好。

不只企業重視資安風險，總統蔡英文在2016年當選後，便意識到資安已是無煙硝的戰爭，未來面對的國際衝突，將會是「網路戰爭」先行的戰略。因此2020年便提出「資安即國安」的國家安全戰略方針，在這個基礎下，從組織、預算、軍事、教育各方面去深耕相關政策內涵。2020年第二次連任後，蔡英文也於今年五月，正式對外公開「資安即國安2.0」的政策方針。

不管是國家、企業，甚至是個人，資安已成為每個人都必須在意的風險，而面對這些資安風險最重要的關鍵就是，必須具備「資安意識」，了解各種資安事件的發生原因，以及各種資安威脅對國家、企業和個人帶來的風險與衝擊。沒有百分之百的資安防護措施，因此每個人都必須預設國家、企業和個人都已遭駭的情況下，審慎面對每一個點擊和存取的應用程式。

藉由《禍駭》一書，我們能從時間序列看到重要資安事件的發生與衝擊、企業與產業面臨資安威脅時應該如何應對，甚至對於各種網路犯罪從萌芽到成熟的樣貌，也可以藉由書中不同主角的生活描述，得以略微了解片段。更重要的是，與作者同為資安記者的我知道，這是一個報導門檻相對高的領域，為了喚起企業和使用者的資安意識和落實資安管理，不論是資安事件的新聞報導或相關小說、電影作品的呈現，都是試圖降低讀者和資安領域落差的重要手段。