在開春後的第一波上班日,2月2日和2月3日包括元大證券等10家券商都有收到勒索信並且遭到DDoS攻擊,當天攻擊流量只有800Mbps,就癱瘓券商網路下單系統;第二波2月7日則有群益證券等4家券商,收到勒索信並遭到DDOS攻擊,當天最大攻擊流量則有2Gbps。
不論是券商提供警覺積極參與協防,或者是ISP提供相關的DDoS防護服務,甚至是提供DDoS攻擊的樣態或封鎖國外IP,最終目的,除了確保臺灣券商的網路下單平臺可以正常運作外,也必須要可以確保投資人權益。金管會認為,若以結果論來看,券商和ISP業者的DDoS聯防行動,算是一起成功的行動。
主管機關、ISP業者和券商聯手協防DDoS
金管會資訊處處長蔡福隆表示,金管會除了第一時間通報行政院資安處並保持密切聯繫外,也要求臺灣主要的電信ISP業者協助券商共同面對這次的DDoS攻擊,像是中華電信和台灣大哥大則對其券商客戶提供流量清洗的服務,遠傳電信則協助券商客戶封鎖來自國外攻擊IP的服務。
至於,證交所也承金管會的指示,找系統整合業者開發一個監控系統,可以自動判斷和比對臺灣券商網頁內容和服務是否正常運作,如果出現不正常現象,系統也會自動發送簡訊但電子郵件通知,藉此取代人工檢查網站和網頁是否正常運作。
行政院資安處處長簡宏偉則指出,因應券商遭到駭客的DDoS攻擊,政府也啟動二級或三級資安事件通報應變機制,NCC(國家通訊傳播委員會)監控整體網路狀態,並且聯繫各大ISP業者協助券商提供流量清洗等DDoS防護服務,「就整件事情的通報應變而言,從政府主管機關到業者等,都保持良好的互動狀態。」他說。
中華電信身為臺灣最大的ISP業者,該公司資安處處長洪進福表示,其中有超過20家的券商都委由中華電信提供DDoS的防護服務。也因此,這第二波的券商DDoS攻擊的戰爭中,中華電信能否順利阻擋駭客的攻勢,其實也攸關超過20間臺灣券商網路下單服務能否維持正常運作,更重要的是,攸關臺灣投資人權益能否受到確實的保障。
台灣大哥大企業用戶事業群企業產品暨營運管理處副處長魏政賢指出,雖然2月7日並沒有券商客戶遭到攻擊,但是協防的10多家券商和金融業者都不敢掉以輕心,因為,從駭客的勒索信件看來,2月13日還可能會有第三波DDoS攻擊,「吾恃敵之不來,恃吾有以待之。」他認為,只有做好準備才有能力正視威脅。
初步聯防成功,未來仍有潛在隱憂
金管會表示,這次Armada Collective模仿犯鎖定攻擊的臺灣券商,非常像是採用亂槍打鳥的方式進行,看起來並沒有一份事先鎖定的攻擊名單,知道哪些券商已經寄過勒索信、哪些券商發動過第一波DDoS攻擊,哪些券商則是必須要發動第二波更高武力威嚇實力的攻擊。
雖然金管會認為,這次業者和ISP的聯防是成功的,但還是有一些隱憂需要持續關注。金管會表示,以第二波遭到的2Gbps攻擊流量來看,其實是很小流量的警告式攻擊,但已經讓臺灣證券業者雞飛狗跳。金管會認為,未來如何讓臺灣業者和ISP對於這類的DDoS攻擊可以有更快速更好的防護能力,是未來需要持續精進的地方。
再者,金管會坦言,這次的DDoS攻擊的確已經有機會提高成國家安全層級的議題,加上攻擊流量只可能越來越大,未來電信業者對於包括DDoS在內的網路威脅防護能力,到底應該是由業者各行其是,還是由國家出面整合,推出一個國家級的DDoS防護機制,是可以進一步思考的方向。
最後,金管會認為值得關注的是,如果發動DDoS攻擊的IP來自臺灣內部,如何有效阻擋,將會是一大考驗。金管會進一步指出,今天的DDoS攻擊主要是來自海外的IP位址,但是,駭客掌握全球各地的傀儡電腦(Botnet),未來如果是利用臺灣的傀儡電腦對臺灣券商發動DDoS攻擊時,如何做到有效防護,是ISP業者和券商等各個企業必須嚴肅面對的議題。
相關報導