网络安全事件
20.Feb.2024
避免成为下一个LockBit受害者:应对信息安全攻击的关键措施
上个月遭LockBit 3.0勒索软件攻击的半导体厂,不但被窃取其内部资料,而且是台湾地区首次公司网站直接被挟持,并遭到黑客威胁的事件。但其实全球已发生过多起上市公司遭黑客入侵,造成许多企业及客户信息外流;例如2018年台积电产线中毒大当机、2020年鸿海墨西哥厂的服务器遭勒索软件攻击、2023年包括微星、宏碁、讯连也都遭勒索软件骇入。根据统计,单单台湾地区遭恶意威胁已成亚太之冠。
在进行数位转型的同时,信息及网络安全更是必须面对的课题。近年来,全球许多国家已制定强制性的信息安全法规,包括欧盟网络弹性法案(Cyber Resilience Act)、欧盟无线电设备指令授权法案(Radio Equipment Directive - Delegated Act;RED-DA)、英国产品安全和电信基础设施法案(Product Security and Telecommunication Infrastructure Act;PSTI)。以台湾为例,也于2021年完善规范,对地区内上市公司,需设置信息安全官或信息安全专责单位,其中包括金融、传统产业及电子科技产业。
这些年间,国内外发生的黑客攻击案例,使得工控、软件供应链安全越来越受重视,许多大厂也纷纷寻求信息安全顾问协助,取得IEC 62443系列证书,以降低OT信息安全风险,例如研华 、友讯科技等取得IEC 62443-4-1认证。另外,许多企业倾向采用渗透测试服务,预期通过每年执行的渗透测试,深度洞察关键系统是否存有潜在安全漏洞,从而加以修补,以确保整体网络环境安全无虞。
渗透测试通常优先针对特定的范围与关键的目标,而其他与核心业务无直接相关的次要系统,大多成为有限的信息安全预算下,首要被牺牲对象。然后,这些次要系统虽然重要性不如核心系统,但仍然是黑客可能攻击的对象,而这些未曾接受测试的次要系统,却往往埋下黑客侵入的危险伏笔。随着近年来越来越多国际知名企业遭受到黑客攻击,也使得企业开始有所警觉,必须借助红队演练来检测整个企业网络环境的安全。
为预防及快速反应上述此类信息安全事件,企业内部需要提前建立好信息安全管理流程,完善规划产品的信息安全检测,或在信息安全事件发生后采取正确措施。然而大部分的企业尚未或是没有资源建立这样的机制。在初步阶段,最重要的是能以最有经济效益的方式,快速建立基本信息安全防护能力,防范类似的事件发生,其中最有效的方式之一是通过导入自动化工具并取得国际认证;当信息安全事件发生时,便能及时响应,提早在危害进一步扩大前进行处理。
在进行数位转型的同时,信息及网络安全更是必须面对的课题。近年来,全球许多国家已制定强制性的信息安全法规,包括欧盟网络弹性法案(Cyber Resilience Act)、欧盟无线电设备指令授权法案(Radio Equipment Directive - Delegated Act;RED-DA)、英国产品安全和电信基础设施法案(Product Security and Telecommunication Infrastructure Act;PSTI)。以台湾为例,也于2021年完善规范,对地区内上市公司,需设置信息安全官或信息安全专责单位,其中包括金融、传统产业及电子科技产业。
这些年间,国内外发生的黑客攻击案例,使得工控、软件供应链安全越来越受重视,许多大厂也纷纷寻求信息安全顾问协助,取得IEC 62443系列证书,以降低OT信息安全风险,例如研华 、友讯科技等取得IEC 62443-4-1认证。另外,许多企业倾向采用渗透测试服务,预期通过每年执行的渗透测试,深度洞察关键系统是否存有潜在安全漏洞,从而加以修补,以确保整体网络环境安全无虞。
渗透测试通常优先针对特定的范围与关键的目标,而其他与核心业务无直接相关的次要系统,大多成为有限的信息安全预算下,首要被牺牲对象。然后,这些次要系统虽然重要性不如核心系统,但仍然是黑客可能攻击的对象,而这些未曾接受测试的次要系统,却往往埋下黑客侵入的危险伏笔。随着近年来越来越多国际知名企业遭受到黑客攻击,也使得企业开始有所警觉,必须借助红队演练来检测整个企业网络环境的安全。
为预防及快速反应上述此类信息安全事件,企业内部需要提前建立好信息安全管理流程,完善规划产品的信息安全检测,或在信息安全事件发生后采取正确措施。然而大部分的企业尚未或是没有资源建立这样的机制。在初步阶段,最重要的是能以最有经济效益的方式,快速建立基本信息安全防护能力,防范类似的事件发生,其中最有效的方式之一是通过导入自动化工具并取得国际认证;当信息安全事件发生时,便能及时响应,提早在危害进一步扩大前进行处理。
