知名物流業者的部分資訊系統於2024年7月8日遭受了一次重大駭客攻擊,導致其資訊服務中斷,影響範圍廣泛。此次事件不僅對物流業務產生了嚴重影響,也突顯了資安防護的重要性。創曦資訊科技的資安團隊關注本次事件,並進行了深入分析。
在偵測到攻擊後,該物流業者的資安部門立即啟動了相關防禦機制和備援作業,並與外部資安公司技術專家協同合作處置此次事件。資料彙集後,將通報政府執法部門與資安單位,並保持密切聯繫。
針對本次事件創曦資訊科技之事件分析
駭客可能通過遠端方式以內外部混合模式進行滲透,針對核心資訊系統的機敏資料等目標對網站、應用程式進行突破,攻擊時間無法確定但推測使用動態IP及繞過防禦機制(WAF)等方式執行。
根據公告,駭客對部分資訊系統發起了網路攻擊,可能涉及分散式阻斷服務攻擊(DDoS)或入侵網路邊界設備(如防火牆、路由器)。
資安部門偵測到系統異常,說明有監控系統在運行,可能偵測到異常流量或未經授權的訪問企圖。
在偵測到異常後,資安部門啟動了防禦機制和備援作業,可能包括隔離受感染的系統、啟動備用伺服器、阻斷惡意流量以及檢查和修補漏洞。
事件發生後,公司迅速聯繫了外部資安公司,顯示內部資安團隊需要外部專家支援,以應對複雜的攻擊手法,進行深入調查和修復。以下是我們整理的攻擊入侵分析圖:
圖一:本次資安事件之入侵路徑分析
針對此次事件,我們建議可強化以下幾點資安措施:
(1)威脅情資及弱點管理能力,確保即時更新和分析最新威脅情報。
(2)加強資安防禦策略,進行詳盡的資安檢測。
(3)建立多層式資安防禦策略,確保資安防護側重於預防,而非事後偵測及回應。 我們也推薦參考 Cyber Defense Matrix 來進行防禦策略的設計,Cyber Defense Matrix(資安防護矩陣)是一種結構化的框架,用於幫助企業理解和實施全面的資安防護措施。該矩陣由五個防護功能和五個資產類別組成,旨在提供一個全方位的視角來識別、保護、偵測、回應和恢復資訊資產的安全性。此次事件凸顯資安規劃中針對系統進行詳盡的威脅識別(Identify)及規劃有效的多層式防禦(Protect)之重要(如下圖)。
圖二:本次資安事件以Cyber Defense Matrix分析潛在的資安弱點所在處(Gap)
創曦資訊科技具備紅隊演練及滲透測試團隊,我們的成員具備OSCP, OSWE, OSWP及CREST等檢測資格,能夠協助客戶對其關鍵資產進行威脅識別並規劃保護措施。
資安保護應該側重於預防,而非待事情發生後才進行偵測及回應。我們也同時提供ISO27001導入的顧問服務能夠協助各類行企業預防此類資安事件。
而針對本次事件可由以下ISO27002之控制項目出發進行相對應的管控:
- A.12.6 技術弱點管理:識別和修復技術弱點,確保系統和應用程式不易受到攻擊。
- A.14.2 安全測試:在系統開發和維護過程中進行安全測試,包括滲透測試,以確保系統安全性。
- A.15.2 資訊安全在供應商關係中的應用:確保供應商遵循相同的資安標準,包括進行滲透測試和安全評估。
- A.16.1 資訊安全事件管理:建立和維護資安事件管理流程,包含模擬攻擊和紅隊演練,以測試和改進事件應對能力。
- A.18.2 符合性:確保組織遵循資安法規和標準,並定期進行評估和測試。
創曦資訊科技具備完整的資訊安全規劃能力,能夠協助客戶強化資安防護,確保企業資訊安全不受威脅。這次的知名物流業者資安事件提醒我們,預防是資安的關鍵。我們承諾將持續為客戶提供最新的資安資訊及防護措施,共同應對未來的資安挑戰。
