▎顧工控資安 產官學協力拼💪
今天很開心來到大同大學參加台灣數位鑑識發展協會、大同大學資工系與環奧國際舉辦的 #工業控制系統資通安全論壇 ,和大家一起討論數位浪潮興後,資訊化的IT和工業化的OT(Operational Technology,工業操控技術)持續融合,所湧現的各種新產能機會與資安挑戰。
如果看過布魯斯威利演的《終極警探4.0》,應該會對裡面的駭客按幾個鍵就可以癱瘓掉整個城市交通系統、造成社會瓦解的情況感到驚訝與誇張,但這已經是在現實中真實上演的威脅。包括2010年伊朗核電廠內的西門子PLC即被惡意程式Stuxnet入侵,影響核電廠啟動程序;2015年烏克蘭電廠遭到BlackEnergy惡意程式入侵造成該地大停電,以及去年5月,#中油與台塑遭到駭客勒索病毒的攻擊,營運暫時停擺⋯⋯這些網路攻擊或造成加油站癱瘓、地鐵系統停擺、水力發電站事故等,都顯示OT的資安防護早已是不得不面對的現實。
面臨新型態的物聯網發展,傳統資通訊安全產品無法完全對應與解決工控安全問題,OT資訊安全的素養與資安人才都培養都極待加強。
去年(2020),經濟部國營事業委員會也針對6個關鍵基礎設施的十種工控協定進行檢測,檢測結果發現,最大的OT資安風險,就是 #暴露易遭攻擊的服務,比例高達35%;其次則是暴露不安全工控協定,比例則有16%,這都顯示工控系統已成為駭客新興鎖定的攻擊目標!
近兩年特別需要注意的是勒索軟體及相關手法的興起,在2019年3月,全球最大鋁業之一的挪威公司Norsk Hydro,也發生IT網路遭到勒索軟體LockerGoga攻擊,波及製造環境的事件;2019年12月,美國知名資料供應中心CyrusOne遭到勒索軟體攻擊;而就在上個星期,一群使用勒索軟體Revil的駭客試圖勒索Apple要求其買回新筆電產品藍圖,更涉嫌從Apple筆電製造商廣達電腦的網路中竊取大量數據資料,並要求支付天價贖金🙀
這種「勒索軟體即服務(RaaS)」的網路攻擊模式在國外行之有年,近來犯罪手法更逐漸進階到針對大企業的「#針對式勒索」及備份企業資料進行加密勒索的「#雙重勒贖」,可見台灣包括政府與企業單位都面臨越來越嚴重的駭客攻擊風險。
過去一年從科技圈走入立法院,參與國家法律的擬定和政策討論,虹安深刻感覺到在 #資通訊安全 方面,無論是台灣的關鍵基礎設施防護或是政府的資安計畫都還還有很多的努力空間。在前瞻1.0、2.0的資安防護計畫當中雖然花很多資源在改善軟硬體,但專業資安人力培育力道依然相當不足,導致和企業的防禦性資安人才需求產生落差,這也是虹安收到許多業界的夥伴反應最迫切的問題。
總體來說,如何正確的佈署資安防禦的縱深,並強化整體企業資訊防護安全,是政府相關單位的當務之急,這也是我在立法院未來會持續監督的方向。今天在現場和許多前輩與夥伴共同探討了很多維護台灣工控資安的第一線見解與應對方法,一起為台灣資安努力的感覺,真好!
#今天遇到好多資安夥伴
#工業控制安全你我一起
同時也有6部Youtube影片,追蹤數超過3萬的網紅苗博雅,也在其Youtube影片中提到,#苗博雅 #質詢 #台北市 #網路性勒索 #報復式色情 #N號房 「未經同意散佈私密影像」被害人權益保護,是我本會期選定的焦點議題。 前情提要: https://tinyurl.com/y8dylue6 施政報告時,我簡要向柯文哲市長和市府官員說明我重視的面向。警察局婦幼大隊後續也和我做了討論。 ...
針對式勒索 在 高虹安 Facebook 的最佳貼文
‼️ 勒索軟體駭全台!又傳大企業受害,我國資安拉警報 ‼️
今早美國網路媒體 #BleepingComputer 率先披露(bit.ly/3xejmGi),一群使用勒索軟體Revil的駭客試圖勒索Apple要求其買回產品藍圖,更涉嫌從Apple筆電製造商廣達電腦的網路中竊取大量數據資料,並要求支付天價贖金。
根據該篇報導,#REvil 已在暗網上洩漏了十幾份MacBook組件的示意圖,儘管沒有跡象表明它們中的任何一個是Apple的新產品,但REvil駭客警告說,如果廣達不開始就贖金進行談判,「所有Apple設備的圖紙以及員工和客戶的所有個人數據將在隨後的銷售中發布」。而駭客要求廣達必須在4月27日之前以加密貨幣XMR支付5000萬美元,或者在倒計時結束後支付1億美元。
其實現在 #資安勒索 比大家以為的、檯面上看到的多很多,包括之前宏碁、仁寶都曾經遭到駭客鎖定攻擊並遭勒索贖金。即便是這麼大的公司,資安防護跟稽核都無法滴水不漏、防不勝防,一方面除了駭客的勒索手法與使用軟體持續進步外,另一方面則突顯我國企業資安人才缺乏與資安防護漏洞嚴重的問題。
#勒索軟體(Ransomware)是什麼?它是一種源於密碼病毒學(cryptovirology )的惡意軟體,除非向駭客支付贖金,否則它會威脅發布受害者的數據或永久阻止對目標檔案的訪問。儘管某些簡單的勒索軟體僅是鎖定系統,從而使技術高超的人不難解除,但更高級的惡意軟體使用一種稱為「加密病毒勒索」(cryptoviral extortion)的技術。它會加密受害者的文件,使其無法訪問,並要求支付贖金以解密。
勒索軟體最早從大概2007年開始出現,近幾年無論是金額或件數都以倍數成長,特別是在去年疫情爆發後,使得線上銷售、宅經濟、雲端服務、遠距教學及工作模式倍增,卻也成為新的網路犯罪溫床。甚至還有駭客組織推出「#勒索軟體即服務」(RaaS)的模式,提供網路攻擊服務。
美國網路安全公司帕羅奧圖(Palo Alto Networks)的網路安全研究人員分析了針對北美和歐洲組織的勒索軟體攻擊,發現為換取解密密鑰而支付的平均勒索贖金,從2019年的115,123美元增加到2020年的312,493美元,暴增三倍!同時,駭客越來越貪婪。從2015年到2019年,勒索軟體的最高需求為1,500萬美元,2020年,這個金額增長至3,000萬美元。
為了提高勒索成功率,駭客也開始持續精進犯罪手法,尤其是一些犯罪集團開始鎖定大企業作為狩獵標的,成為所謂的「Big game hunter」。這些駭客為了確保被勒索的企業有能力且有意願支付數十萬到數千萬美金不等的勒索贖金,從過往漫天撒網劫掠資料、加密勒索的方式,進階到鎖定特定產業或企業的「#針對式勒索」。我們看到仁寶、宏碁跟這次的廣達,以及國外包括蘋果、FedEX、俄羅斯電信、本田Honda等大企業的勒索軟體攻擊,都是屬於這種針對式的手法。
根據奧義智慧共同創辦人叢培侃及趨勢科技台灣區暨香港區總經理洪偉淦在網路上的公開說法,駭客組織為了確保受害者勢必得支付贖金,已經啟動了被稱為「#雙重勒贖」的新作案手法,即發動方式採用APT滲透攻擊,先行潛伏竊取資料,並在加密企業資料之前同步備份,完成後再啟動勒索軟體執行加密勒索,並且威脅不支付贖金就公開企業及其客戶的商業機密甚至個資,以確保受害企業必定花錢消災。
在交付贖金方面,容易使用、加密因此難以追查的 #虛擬貨幣 出現,解決了以往網路犯罪集團最傷腦筋的 #隱藏金流 問題,也間接帶動駭客開始透過勒索軟體加密企業資料的方式,遠端向受駭企業要求以加密貨幣支付贖金,成為犯罪者的保護傘。除了盛行的比特幣(Bitcoin)之外,駭客也常要求以匿名隱私幣的XMR支付贖金,因為XMR無法追蹤交易,因此成為暗網常用的交易媒介。
勒索軟體攻擊的氾濫,凸顯出我國企業資安的長期問題,包括業界長期反應缺乏專業資安人才的培養計畫以及政府資源錯置,如CTF 競賽偏向駭客攻防技術,和實際政府和企業的防禦性資安人才需求有落差,如今就連企業資安防守的課程要找到合格師資也相當困難。如何正確的佈署資安的縱深,並強化整體企業資訊防護安全,是政府相關單位的當務之急。
虹安呼籲,政府與社會應該要對資安攻擊背後的目的以及對於事業體、國家可能造成的嚴重傷害有充分認知,數個公司、數個相似產業的事業體遭受攻擊,除了損失贖金與客戶資料、衝擊股價甚至影響商譽而掉單,都可能導致我國科技產業的長遠危機!
政府既已號稱成立「#資安國家隊」,就應該盡快提出包括應對勒索軟體在內的 #資安解決方案,協助科技產業加強與整合資安防護資源,共同發展最適當的防禦因應措施,以保護我國科技產業與全民的資訊安全不受勒索威脅!
📒參考資料:
1.勒索軟體大轉型,防禦難度提升:黒產供應鏈經營成本高,鎖定有能力付贖金的知名企業
https://www.ithome.com.tw/news/143458
2.不給錢就公布 竊資型勒索橫行
https://www.netadmin.com.tw/netadmin/zh-tw/market/464E17819569476E94344EDEBDEECAD6
3.資安險如何回應 勒索軟體攻擊事件
https://www.aon.com/getmedia/3dd6d44a-a783-43e3-8c89-db5b7a2c97fd/2020-cyber-risk-case-study-CN.aspx
4.加密勒索程式的 特性與特徵
http://tprc.tanet.edu.tw/tpnet2020/training/10909.pdf
5.Largest ransomware demand now stands at $30 million as crooks get bolder
https://www.zdnet.com/article/largest-ransomware-demand-now-stands-at-30-million-as-crooks-get-bolder/
6.Highlights from the 2021 Unit 42 Ransomware Threat Report
https://unit42.paloaltonetworks.com/ransomware-threat-report-highlights/
7.Largest ransomware demand now stands at $30 million as crooks get bolder
https://www.zdnet.com/article/largest-ransomware-demand-now-stands-at-30-million-as-crooks-get-bolder/
8.駭客入侵台灣10大企業!研華慘遭勒索10億 仁寶認栽付千萬贖金
https://finance.ettoday.net/news/1872347
9.天啊,被勒索了怎麼辦?!10大資安鐵則讓你遠離勒索病毒
https://www.uso.com.tw/portal_b1_page.php?owner_num=b1_55912&button_num=b1&cnt_id=13205
10. 獨家/廣達遭駭1/遭REvil入侵資料庫 客戶設計圖全都露
https://www.ctwant.com/article/113305
針對式勒索 在 苗博雅 Youtube 的最讚貼文
#苗博雅 #質詢 #台北市 #網路性勒索 #報復式色情 #N號房
「未經同意散佈私密影像」被害人權益保護,是我本會期選定的焦點議題。
前情提要: https://tinyurl.com/y8dylue6
施政報告時,我簡要向柯文哲市長和市府官員說明我重視的面向。警察局婦幼大隊後續也和我做了討論。
後續,警察局制定了新的受理報案SOP:
《處理成年被害人性隱私影像遭侵害案件作業流程》,並訂定了相關的工作指引。
也規劃了一張新的「安全提醒」提供給性隱私影像被侵害的被害人在報案後參考。
爭取到更完善的受理報案SOP是很好的開始,這點應該給予警察局鼓勵。
不過,後續該如何進行教育訓練,讓全台北市八千名警力瞭解新的SOP該如何適用,會是很大的挑戰。
另外,被害人報案後,無論破案與否,在網路上的性隱私影像仍然永遠流傳。需要中央與地方攜手合作,提升下架影像的效率。
針對以上問題,這次質詢,我提醒接下來我會繼續追蹤的重點:
1⃣️ 建立「性隱私影像侵害」案件統計資料,以準確掌握具體辦案成效,提升破案率。
2⃣️ 針對新制定作業程序、工作指引,提出具體教育訓練計畫與目標,每年追蹤成效評估
3⃣️不分被害人是否成年,會同中央儘速提出「加速下架影像」之具體計畫。
----
更多問政影片,請訂閱阿苗的頻道
👉 http://www.youtube.com/c/苗博雅tw
加入苗議員Line好友
👉 https://lin.ee/fIqp8Sm
陳情意見信箱
📪 tcc10717@tcc.gov.tw
陳情服務電話
☎️ (02)2729-7708 #7046
#苗博雅問政報告
#第三勢力第一選擇
#我認真問政
#你幫忙分享
#大安文山苗博雅
針對式勒索 在 苗博雅 Youtube 的精選貼文
#被害人權利保障 #N號房 #網路性勒索 #未經同意散布私密影像 #復仇式色情
「有人拿我的私密照片來威脅我,誰能幫助我?該向誰求助?」
這是許多網路性勒索、報復式色情被害人第一時間的遇到問題。
隨著社群媒體發達,網路交友管道變化多端,使用者年齡也日漸下降。相對的,兒童、青少年遇害的案件也隨之增加。
本會期我以「非經同意散布私密影像被害人權利保障」為問政聚焦專題
(前情提要: https://tinyurl.com/y8dylue6 )
我檢視了現行的教材,發現目前的教材有三大問題:
1⃣️ 內容老舊過時
求助管道沒有更新到最新資訊。甚至還以即時通、MSN等早已停用的網路服務為案例。不符合現今學生需求。
2⃣️ 有關求助管道的資訊太少
小學教材內只強調「不拍、不傳」,完全沒有教學生「遇到狀況怎麼求助」。
3⃣️ 教材內求助資訊混亂
國高中教材開始提及「如何求助」。但內容教條、刻板,且只關注「網友見面被害」的類型,沒有針對「私密影像詐騙勒索」的類型說明。因應方式前後錯亂,學生若依照指示操作,反而會陷入難以蒐證、難以追查到犯罪者的困境。
針對以上三大教材問題,我會持續追蹤,要求改善。同時也會要求學校增加相關內容授課時數,讓學生從小學習如何自我保護、遇到狀況該如何求助。
---
更多問政影片,請訂閱阿苗的頻道
👉 http://www.youtube.com/c/苗博雅tw
記得開小鈴鐺喔🔔
加入苗議員Line好友
👉 https://lin.ee/fIqp8Sm
陳情意見信箱
📪 tcc10717@tcc.gov.tw
陳情服務電話
☎️ (02)2729-7708 #7046
#苗博雅問政報告
#第三勢力第一選擇
#我認真問政
#你幫忙分享
#大安文山苗博雅
針對式勒索 在 快樂大學Happiness University Youtube 的精選貼文
#恐懼 #害怕 #面對恐懼 #sadhguru #快樂大學 #熊仁謙
印度智者薩古魯針對「如何克服恐懼」提出智慧的回答,並用有趣清晰的方式帶領困惑者看清恐懼的幻相。
感謝快樂大學x合作夥伴 Shu-Ting 協助翻譯。
原影片:https://is.gd/IhWh25
原影片頻道:Sadhguru
訂閱快樂大學HappinessUniversity,觀看更多翻譯影片。
-
版權聲明:
快樂大學不持有原影片版權,僅基於教育用途作翻譯分享,若有侵權還請告知,我們將儘速下撤。
-
------------------------------------------------
👉訂閱快樂大學的頻道,讓你的人生變得更快樂👈https://is.gd/BU3x93
👇更多【南方哲學系列影片】別錯過❗
🔥近期人氣No.1影片:停止浪費你的生命【中文翻譯】STOP wasting your life|HU大推影片 https://youtu.be/tMEadGqvWqU
🔶愛情自由:當局迷,旁觀清👀 https://is.gd/imvUwN
🔹分手之後💔: https://is.gd/2UBlhO
🔶焦慮革命:擺脫情緒勒索💪 https://is.gd/zskwzR
🔹成功學,大祕辛👂 https://is.gd/NfmscU
🔶價值觀自由:為何不這樣想💬?https://is.gd/n7Ll2v
🔹人際自由👥:快樂溝通學 https://is.gd/Ex8ZHm
🔶Do it Smart:讓生命不卡卡✊ https://is.gd/SExkcb
🔹職場攻略:別讓薪水限制你🤓! https://is.gd/8K4ycx
🔶科學快樂論:進化論,看人生🧠 https://is.gd/P12Ywp
🔹快樂說書秀🗣 https://is.gd/ga8wng
-------------------------------------------------
🌟想發問?有苦惱?
🌟追蹤IG|日常|問答|直播:mars.kuma
https://reurl.cc/oex7g
👤活動|文章|日常
👤追蹤臉書:熊仁謙・大鼻子哲人
✅課程、影片、直播的最新消息,加入送免費電子書