台灣企業為何會成為駭客們眼中的肥肉?

台灣企業喜歡用嘴巴講很重視資安、已有做好資安防護!

最近幾個月來,台灣企業的資安事件頻傳,像是宏碁、技嘉、東元等上市公司也都紛紛中招,這還是台灣現在有法規要求上市公司遇到資安事件時必須揭露之後的事,實際上有發生更多案例是不為人知的!

以前台灣最受駭客青睞的產業應該就是:

  • 線上遊戲業者,最常遇到被駭客DDoS,要求付錢才停止攻擊
  • 電子商務業者,最常遇到客戶資料被盜取,導致客戶容易被詐騙

後來駭客越來越多,在粥少僧多的情況下,也開始擴展新的目標,針對難攻但有錢的上市公司進行攻擊勒索,但出乎駭客意料之外的是:台灣企業的資安防護很弱,不難攻呀!

於是乎駭客們「吃好倒相報」,台灣企業就變成駭客們眼中的一塊大肥肉了!

為什麼會出現這麼令人意外的發展呢?就我個人的多年觀察,原因很簡單:

  • 台灣企業只有在填寫調查表時,才會寫得很正面、很重視資安
  • 實際上根本就不重視IT人員,很多企業甚至沒有專職IT人員
  • 連專職的IT人員都沒有,更別說會有資安的專業相關人員
  • 很多企業主會誤認為有買防火牆、防毒軟體就夠安全了
  • 很多企業沒有特別規劃網路架構、針對重要設備做多重防護

確實企業生存不易,想省錢是很正常的,但有些錢是真的不能省(例如資安),台灣員工對於3C資訊設備都有一定的操控能力,所以像是智慧手機、NAS、IPCam等等設備都會使用,也都能讓這些設備運作,因此很多企業主就會覺得員工會處理就好,不必再請專職IT人員!

然而,企業主很容易忽略的是,可以用不代表沒問題,尤其是像網路架構、資安防護、系統維運等需要深入學習的專業技能,並不是員工兼職做做就可以,若是員工在這方面真的那麼強,員工應徵的工作職位就會是專職的IT人員或資安人員了~

可惜的是,很多企業都要等發生資安事件、被駭客勒索或資料外洩後才願意去面對,此時遺失的重要資料和商譽的損害都已經無法挽回,若是能早日重視資安、做好防護,應該會更划算吧!

現代人喜歡使用NAS,但不懂如何做好資安防護!

很多人由於喜歡用手機到處拍照、錄影,或是使用更好的數位設備來拍影片、當網紅,而由於這些照片、影片的素材檔案巨大(因為解析度越來越高),除了使用雲端硬碟之外,大多數人還會購買NAS來做為儲存的設備(包括許多中小企業也都會用NAS做為重要的資料儲存設備)。

不過我相信大多數人也不曉得要如何有效規劃NAS的使用,以及做好相關的資安防護(所以有不少人是因為NAS被勒索病毒攻擊後,付錢換回資料),我看到的大多數人只會在意:

  • 儲存空間有多大?能不能擴展?
  • 網路傳輸效能有多快?能不能擴充?
  • 磁碟存取效能好不好?能加快取嗎?
  • 能不能用來做這個?做哪個?功能越多越好…

是不是想把NAS當成便利商店的員工來操才甘願?

我不評論別人的用法好還是不好,對我來說,NAS就是單純的儲存設備而已,因為它的CPU再好也比不過標準的伺服器主機,就算是Intel的CPU也大都只是Celeron或ATOM等級的,而且大都只有一顆CPU。

此外NAS的系統雖然也是使用Linux,但都是屬於輕量型的Embedded Linux(幾年前我有查過是用Debian Linux,現在不曉得是否一樣),實在不適合用來運作負載太重的服務(例如電子商務、虛擬主機等等)。

再加上它們都能透過Web介面管理、新增軟體套件和服務,所以很多人會自己加裝了很多軟體、啟用很多服務後,再來嫌NAS效能很差…

我自己是這麼使用NAS的:

  • 主要是用來儲存冷資料和暖資料
  • 會依不同對象和用途來區分至不同台NAS
  • 重要的NAS資料還會另外不定期做冷備份
  • 不定期將不重要的冷資料清除,或是移至冷備份的硬碟中
  • 不開啟QuickConnect之類的遠端連線,並關閉防火牆的UPnP
  • 不使用NAT、PAT對外開放連接埠,除非有特定需要
  • 大多數服務僅予許VPN連線後才能使用

不只是上市公司才要做好資安防護,這些企業和個人也要小心!

早期的駭客鎖定有能力支付贖金且資安防護較弱的遊戲業者、電商業者,後來才針對有能力支付贖金、但防護能力較強的大型企業,像是金融業者、上市公司等,但許多企業受到攻擊後,會逐步改善資安防護,所以駭客也會找尋新的目標進行迂迴攻擊,例如上市公司的中上游供應商。

隨著駭客們把攻擊目標放寬至主要目標(例如上市公司、電商平台)的中、上游供應商之後,我個人認為底下的這些人也都要小心會被駭客盯上:

  • 物聯網的相關廠商
  • 半導體企業的相關供應鏈廠商
  • 精密製造業的相關供應鏈廠商
  • 軟體開發廠商,尤其是CRM、ERP、電子商務相關的廠商
  • 系統整合商,許多中大型企業的軟硬體設備都是向SI採購的
  • 網站託管廠商,像是WebHosting、VPS等相關的廠商
  • 擁有NAS等重要資料儲存設備的個人,例如網紅等

想了解更多關於資安的事?歡迎來報名我開的課~