經營臺灣資安社群11年的臺灣駭客年會(HITCON)近年來,更將觸角延伸到日本、韓國與中國等。位於東北亞的韓國長期面對來自北韓的威脅,為了確保企業和民眾在網路世界的安全,掌管韓國大部分網路安全的韓國電腦網路暨危機處理協調中心(KrCERT/CC)副研究員朴文範(Park Moonbeom)來臺參加HITCON時,也分享了KrCERT/CC如何確保民眾和中小企業在網路世界的安全。
提供電話直撥188,協助更多人解決資安問題
韓國對於防範網路威脅的意識,幾乎是全亞洲最早萌芽的國家。最佳的證明則是,韓國在十多年前便打造一套電話直播188的電話專線服務,只要民眾或中小企業遭受到任何網路攻擊時,電話直播188,就會有24小時值班的工作人員,協助解決資安問題。朴文範表示,韓國政府因為很早就意識到資安是民眾和企業面臨最嚴重的風險之一,願意在資安相關議題上,投注極大資源和心力,協助民眾和中小企業度過這樣的難關。
朴文範表示,一般CERT組織都是非政府組織,但韓國將KrCERT/CC納入國家網路安全局(KISA)的管理範圍,使得KrCERT/CC具有官方色彩,更能獲得民眾的信任。以韓國KrCERT/CC有700人的規模來看,應該是全球人數最多的CERT單位,其中有超過150人都是技術人員,每年預算則高達10億美元,除了少數大型企業和軍方等機密的網路環境,韓國絕大部分的網路環境都隸屬KrCERT/CC的管轄範圍之內。
面對這麼多的技術人員,主要任務在於分析和監控各種資安風險與威脅,一旦掌握任何資安攻擊情資,都可以即時因應。朴文範表示,面對資安問題,除了KrCERT/CC和政府攜手合作外,全韓國的資安專家、資安公司、社群和韓國的各種駭客等,其實全部都在同一陣線上,一起面對共同的威脅。
像是韓國資安公司NSHC資深研究員Jane Jeongwoo Park則指出,2013年3月20日發生的黑暗首爾(Dark Seoul)320攻擊事件,KrCERT/CC第一時間便號召所有資安公司和資安專家,一起商討解決之道。「在國家面臨資安威脅時,不分政府和民間,砲口全部一致對外,設法找出解決問題的方法。」她說。
也因為KrCERT/CC具備和各種民間組織協調合作、抵禦外侮的能力和默契,加上,KrCERT/CC有能力掌握大部分的網路狀況,朴文範說,在320事件發生後,韓國才能在最短的時間內,陸續恢復銀行、媒體等相關公司的主要系統,在一個月內全數恢復正常運作。
朴文範指出,KrCERT/CC可以在第一時間內掌握最新的網路攻擊和威脅,除了有超過一百多種的系統協助分析和監控外,政府、民眾和一般中小企業一旦發生資安事件,可以直撥188電話專線即時通報資安事件也功不可沒。也就是說,政府、中小企業和民眾可以便利主動通報資安事件的管道通暢,一旦發生任何重大的資安事件,KrCERT/CC幾乎都可以在第一時間內即時掌握。
聯手資安業者,提供中小企業更多免費的資安服務
朴文範笑說:「資安業者在韓國生存的確不容易,」因為政府會出面要求資安業者,一起和KrCERT/CC提供更多可以協助韓國中小企業免於資安威脅的各種免費資安服務。
舉例而言,多數企業都會建置官方網站或者是具備金流交易功能的網站服務,這樣的網站最怕就是被駭客植入惡意連結,當使用者瀏覽網站時,不論是不小心點擊惡意連結而被植入惡意程式,或者是,只是瀏覽網站就在背景程式中被植入惡意程式,都可能讓這間公司遭受到巨大的損失。因此,朴文範表示,KrCERT/CC針對韓國200萬個網站,每4小時進行一次MCF(Malicious Code Finder)網站掃描服務,藉由定期掃描網站的惡意程式和惡意連結,可以大幅減少相關資安風險,確保網路使用者在瀏覽網站時的安全性。
只要是網站,都害怕DDoS攻擊癱瘓網站服務,朴文範表示,KrCERT/CC也和業者合作,提供免費的阻擋DDoS攻擊流量含清洗流量的服務:DDoS Shelter System。也就是說,一旦韓國有網站遭到駭客惡意DDoS攻擊、癱瘓網站服務時,韓國就由KrCERT/CC出面,協調包括電信和各種資安業者,提供免費阻擋DDoS的服務,確保業者的網站不會被駭客癱瘓。
更有甚者,KrCERT/CC甚至聯手資安業者,針對政府和中小企業提供免費的網路防火牆計畫:CASTLE,朴文範認為,透過檢查網路要求(Request)與回應(Response)封包的內容,可以分析該封包是否合乎安全規範,即時攔截駭客針對網站系統或利用各種應用程式漏洞所發動的攻擊行為,除可以確保網站安全,並且保護後端資料庫安全。
而且,KrCERT/CC更早在8年前,自行花1年的時間,研發一套可以偵測各種Webshell的工具WHISTL,可以偵測PHP、.jsp和.asp語法撰寫的網站木馬程式,朴文範說:「WHISTL針對各種WebShell的偵測率高達95%以上。」也成為KrCERT/CC捍衛網路安全的重大利器之一。
和許多資安業者一樣,KrCERT/CC深知,無法只靠自身力量找到所有的漏洞,朴文範表示,KrCERT/CC也自行推出找漏洞計畫(Bug Bounty Program ),最高獎金達5千美元,目的希望讓更多資安專家找到漏洞後,願意提供給KrCERT/CC,讓他們進一步可以協助受駭單位修補漏洞、提高資安防禦能量。