Embedded Files
近期資訊安全事件分析
114年9月底韓國發生了一件非常嚴重的資安事件,負責管理1600個韓國政府部門資訊系統和服務的韓國國家資料中心NIRS,9/26晚間在更換不斷電系統鋰電池的過程中,一組卸下的電池突然起火,歷時22小時才徹底撲滅,總共有384組UPS電池和電池周圍740臺伺服器被燒毀。
火災發生時,NIRS關閉了647個政府線上業務系統,其中47個系統有災難復原系統,352個系統每日備份,248個系統只有月底備份,這248個系統最近一次備份是8月底,意味著如果這些系統有損毀要還原,9月份的資料都損毀了。
更慘的是這647個政府線上業務系統,完全受損的系統有96個,95個還可以靠備份復原,但第96個-政府雲端硬碟G-Drive,本來是為了提供公務員安全的線上檔案儲存空間,完全沒有備份異地存放,之前還宣導公務員把工作資料存在G-Drive,不要存在辦公室的個人電腦,事發當時有858TB資料,包括韓國政府人事管理部門8年工作資料,全部損毀。
針對這個案子,iThome有解析三大關鍵疏失,包括(1)UPS鋰電池已經超過10年保固期還在使用,(2)UPS和伺服器設在同一間機房,沒有採取隔離鋰電池區域設計,外包商也可能沒有依照標準斷電程序操作,(3)一級關鍵系統前三天只有一半復原,而且存放大量資料的系統完全沒有備份異地存放。
這個案子很值得金融機構借鏡,內外部稽核人員於辦理資訊作業查核的時候,建議可以注意一下主機房或通訊機房的UPS電池是鋰電池還是鉛酸電池,是不是還在原廠保固期間;如果是採用鋰電池,UPS是否集中設置在獨立的防火區域,並且與伺服器隔離;有沒有引進針對鋰電池的專用滅火系統,防止鋰電池失火後難以滅火導致災情蔓延。此外,營運衝擊分析有沒有落實地做,有沒有確實盤點所有系統的備援系統和備援措施都有建立,而且要設想最壞的狀況來演練,確認各項業務都可以在最大可容忍中斷時間內復原。
另外,科普一下,新聞中提到「當前資料中心普遍使用的二氧化碳滅火系統(如FM-200環保氣體滅火系統),對鋰電池這種起火源的效果有限」,主要是因為鋰電池的電解液有很多是自帶氧氣,所以用二氧化碳滅火的效果不好。新聞另外提到「必須大規模灑水澆灌該區域,或將電池進入水中冷卻」,這部份是有待商榷的,因為鋰電池遇水會產生劇烈的化學反應,甚至進一步爆炸,所以一般鋰電池起火,通常只能把四周的東西搬開,看著讓它燒完,不然就是想辦法降溫,但水不能灑在鋰電池上。
日期:114-12-19
113年10月起國外發生多起大型企業客戶資料外洩的資安事件,都跟Salesforce平台的使用有關,駭客組織發動兩次大規模的攻擊行動,主要受害企業分別在114年8月及114年6月間曝光,FBI因此於114年9月發布了一份通告,通告原文對駭客手法講得還挺清楚的,值得花點時間閱讀。
先講114年8月曝光的這起資安事件。許多國際大型企業有使用Salesforce的雲端CRM平台管理其客戶資料,這些企業有些同時使用一個叫Drift的聊天機器人產品,他們把Drift嵌入企業的網站或APP,用它來跟客戶對話互動,而這些在Drift的對話記錄,就透過Salesforce OAuth憑證,串接到Salesforce的CRM平台進行記錄,讓企業的銷售部門和客服部門可藉此追蹤潛在客戶。然而,在114年8月間駭客入侵了Drift的雲端環境,竊走了大量企業的OAuth憑證,並利用這些OAuth憑證竊取這些企業客戶在Salesforce CRM平台的資料,受害企業大概有700多家,裡面有好幾家資安業者,包括Cloudflare、Palo Alto Networks,都有證實他們的客戶資料有外洩,只是被竊取的資料範圍究竟有多大,是只有與潛在客戶的行銷對話紀錄,還是有其他正式客戶資料,新聞並沒有明說。
嚴格來說,這個資安事件並不是Salesforce本身核心平台漏洞所造成,而是企業與第三方應用整合的OAuth憑證被濫用。Drift不是核心資通系統、第一類電腦系統,也不太算是存取機敏資料的廠商,這些企業在遴選聊天機器人的時候,可能覺得只是用在行銷對話不重要的小工具,沒想到竟然會成為攻擊者竊取企業核心CRM的後門。
所以「金融機構資通系統與服務供應鏈風險管理規範」第4條要求資通系統與服務委外前應「分析委外項目之資訊安全風險(如:可能受影響之資訊資產、流程及作業環境)與委外可行性,並依據分析結果擬訂資訊安全要求 」是有它的道理的,查核時可以確認一下受查單位對資通系統服務委外前分析評估作業的落實情形。
Salesforce有個機制,允許企業客戶整合第三方的connected app,以OAuth Token方式存取企業在Salesforce的instance,這就是為什麼Drift可以存取這些企業在Salesforce的CRM instance的原因。當然,第三方的connected app要拿到OAuth Token,必須經過企業的授權,但駭客卻用社交攻擊手段,突破了這層控管。
在114年6月曝光的另一起攻擊行動,駭客利用語音釣魚的社交攻擊手段,冒充受害企業的IT支援人員,誘騙企業Call Center人員說要關掉一個自動產生的Ticket,需要Call Center人員授權一支connected app程式,存取他們企業的Salesforce instance,當然,這支connected app是駭客控制,而且還是用Salesforce的試用版帳號註冊的,以致無法追蹤撰寫者的身分。駭客藉由這支connected app查詢匯出受害企業在Salesforce環境的敏感資料。有好幾家大型企業的客戶資料都因此外洩,像Google、Cisco、安聯人壽、愛迪達、迪奧、LV都陸續發布資料外洩訊息。
所以,如果您的機構有跟第三方合作,允許第三方以API方式存取內部資料,查核時可能要進一步確認,對需求方的驗證,如果只有API Key或Access Token,是否足夠?有沒有對需求方的IP進行限制,還要監控資料存取情形,如果有持續大量資料存取,就應該要告警。
日期:114-12-19
簡介
主持會計師擁有30年金融檢查與稽核經驗,具有會計師執照、ISO/IEC 27001:2022主導稽核員證照 。
經歷
金融監督管理委員會檢查局,督導及辦理銀行、證券、保險、信用卡機構、財金公司、聯徵中心、信用合作社、郵局等資訊業務查核;電子支付機構、證券商、投信公司、外商銀行在台分行、產壽險公司一般業務查核。
中央存款保險公司檢查處,辦理銀行、信用合作社一般業務及資訊業務查核。
致遠會計師事務所,辦理一般企業資訊業務查核及電腦審計。
資誠會計師事務所,辦理一般企業財務及稅務報告簽證審計。
專長
金融機構檢查與稽核,涵蓋會計編表、內部控制、資訊安全、個資查核等面向。
Page updated
Report abuse