【資訊安全】一個400人公務機關 這樣密訓白帽駭客團! - 今周刊
在今天看見明天
熱門: etf推薦 退休金 00939 通膨 存股推薦
投資理財
保險稅制
產業時事
職場生活
今周大耳朵 Podcast
富足今周起
幸福熟齡
ESG永續台灣
專題報導
今選頻道
存股助理
今周學堂
訂購優惠
活動報名

一個400人公務機關 這樣密訓白帽駭客團!

一個400人公務機關 這樣密訓白帽駭客團!

鄭閔聲

科技

蕭芃凱攝影

1180期

2019-07-31 11:37

「我們這樣出去比賽,一定被『電』好玩的,真的要參加嗎……。」去年十二月,財政資訊中心資安健檢與數位鑑識團隊突然被上級要求組隊,代表財政部參加台灣駭客年會(HITCON)主辦的企業資安防禦大賽。接獲指令當下,距離比賽只剩不到兩周的時間。

財政部資安團隊

當時,這個由財政資訊中心、關務署、台灣銀行、國有財產署等單位人員合組的團隊,成軍剛滿兩年,從來沒有「外出走跳」的經驗;這場攻防戰又是要與技術赫赫有名的中華電信、工研院等單位,共同接受HITCON高手挑戰,「大家的第一個反應就是恐懼,沒人敢自願加入。」團隊隊長、財政資訊中心綜合規畫組副組長朱國華回憶。

 

「不出去看看,怎麼知道高手在玩什麼?就算成績不好,當做學習就好。」在朱國華一番努力說服下,好不容易才湊齊了五位參賽代表;由於事態緊急,他們連隊名都沒空想,僅以毫無驚喜的「財政部資安團隊」名義出賽,結果竟以黑馬之姿在六隊當中獲得亞軍,僅次於中華電信,「我們還是不敢說自己多厲害,但那次比賽後,確實多了一點信心。」朱國華說。

 

這支原本沒什麼知名度的財政部資安團隊,是財政資訊中心主任陳泉錫二○一六年到任後,為重建公務機關內部資安技術自主能力,協調其他單位指派資訊技術能力較佳的公務員共同組成。他們被賦予的任務十分明確:扮演財政部的「白帽駭客」,想辦法找出財政部各機關尚未發現的資安弱點,並提前因應修補,以降低來自外部的惡意攻擊風險。

 

財政資訊中心負責集中管理財政部轄下所有的實體伺服器,以及中央地方稅務、海關進出口等機敏資料;模擬攻擊,並非這個以「保管」為主要職責的單位業務。

 

由於並非編制內單位,這批「實習白帽駭客」平時就和其他公務員一樣負責分內業務,每周壓縮個人工作時間,抽出兩個下午「集訓」。儘管十八人加入戰隊前,都已是各單位的頂尖技術人員,但普遍缺乏資安實務經驗,因此必須從入門的「資安檢測基本常識」、「資安事件處理流程」學起。

「訓練內部技術人員成為白帽駭客,是為了強化資安委外可能的不足。」陳泉錫指出,公務機關資訊系統,會定期委託合作廠商執行弱點掃描、滲透測試;但他認為,長期由相同廠商評估資安防護,難免因習慣產生盲點,況且發動網路攻擊就像解數學題,不會只有固定一條路徑,讓不同思惟模式的團隊嘗試入侵同一套系統,才能更全面審視系統安全性。

 

跳脫外包廠商的慣性視角

接受各單位預約  年揪272個漏洞

 

資安除了講究技術能力,更重視實務經驗,因此這支戰隊有了基本資安認知以後,就開始接受財政部各所屬單位「預約」,到府進行資安健診服務。光是一八年,就執行了三十七個網站的滲透測試,發現二七二個外包廠商沒發現的漏洞。

 

「有時發現的,不是系統或程式漏洞,而是登入管理問題。」朱國華舉例,他們曾替某個單位做滲透測試,發現管理權限介面上寫著登入帳號是「電子信箱」,由於財政部人員對機關信箱位址形式很熟悉,輕鬆取得帳號後,再透過密碼推理,就滲透登入系統;這個漏洞對外部資安服務廠商而言,不易察覺,但難保不會成為針對性攻擊的破口。

 

由於資安工作需要累積實務經驗,白帽駭客更必須經常接觸各種不同的技術與新知,因此當HITCON邀約財政資訊中心參加資安攻防戰時,陳泉錫立刻答應讓這批祕密培訓兩年多的生力軍,出門見見世面。

 

這場資安攻防戰,形式類似國際間常見的駭客團體賽,每隊開賽時,都會取得一套包括外部網站、內部網路、雲端資料庫,但處處暗藏漏洞的資訊系統管理權限;事先得知漏洞所在的主辦方,會模擬外部惡意駭客,不斷對系統發動攻擊,試圖竊取資料或讓網路服務停擺。若資料遭竊或服務中斷,團隊分數就會下降;能快速找出漏洞、讓系統維持運作的團隊,分數就會上升。

 

上午九點半比賽一開始,財政部資安團隊的系統就面臨來自四面八方的侵襲, 讓五人疲於奔命尋找漏洞,分數也遠遠落後給領先集團。

 

但因為想起過去替其他單位做滲透測試、發現密碼安全性不足的經驗,他們拿到系統權限的第一件事,就是一口氣更改所有預設的帳號密碼,以免系統遭駭客植入惡意程式。因為這個動作,讓財政部資安團隊度過最初的兵荒馬亂,成功阻擋可能的未授權登入攻擊,分數穩定上升。

 

比賽進入下半場,有位手持隨身碟的妙齡女子,主動走近財政部資安團隊詢問:「需不需要工具?」當下忙得不可開交的朱國華只隨口回了句「不用了,謝謝。」就繼續進行手邊工作。賽後經大會說明才得知,這位女性模擬的是「社交工程」資安威脅;她手中的隨身碟,其實帶著病毒,「碰到這種在公務機關不常遇到的狀況,就是我們回去可以加強演練的項目。」朱國華說。

 

公部門想掌握資安技術自主能力,當然不能只靠少數精英,唯有「全民皆兵」才能眾志成城;而基礎程式能力,是理解資安的最低門檻。陳泉錫到任後,就要求財政資訊中心新進人員,一律先接受六個月的程式寫作專班訓練,結訓後回到各單位服務,還必須負責維護既有資訊系統,或自行開發小型系統,以免荒廢所學。兩年來已經有二十六人完成訓練。

 

新進成員一律要上程式課

全民皆兵  實現資安自主

 

「我剛到職的時候,資訊中心四百多個人,幾乎沒人有coding(程式寫作)能力。不懂coding,你就沒辦法review(檢查)廠商的程式漏洞,也不知道廠商設計系統的報價合不合理,發生資安問題,只能兩手一攤等廠商來救。」陳泉錫分析,唯有公務人員理解程式,公部門才能自行規畫資安防護,並有效監督外包廠商,實現「自主」目標。

 

「未來,資安人才會很值錢。」陳泉錫認為,當資安逐漸受到重視,各行各業對資安人才的需求也將快速成長,公部門除了引進新血,更應該重視內部養成,他希望透過每年度的「新人訓練」,逐步強化單位技術自主性,「只要組織成員能力提升,資安工作就會更強健。」陳泉錫下了這個結論。

 

財政部資安團隊
祕密訓練兩年的財政部資安團隊,首次參與企業資安攻防戰,就獲得預期之外的佳績。(圖片/財政部財政資訊中心提供)

 

延伸閱讀
「指尖上的防衛戰」 每月台灣受3千萬次以上網路攻擊 資安已成一成戰場
「指尖上的防衛戰」 每月台灣受3千萬次以上網路攻擊 資安已成一成戰場

2019-07-31

不想當受駭者 你做到保護個資七件事了沒?
不想當受駭者 你做到保護個資七件事了沒?

2019-07-31

政府打造國家級駭客殘酷舞台 讓頂尖人才成科技發展骨幹
政府打造國家級駭客殘酷舞台 讓頂尖人才成科技發展骨幹

2019-07-31

駭客盜走20萬筆個資上網出售 人力銀行回應了
駭客盜走20萬筆個資上網出售 人力銀行回應了

2019-07-19

谷歌、臉書乖乖把錢匯入「他的」帳戶 東歐駭客「代收」廣達38億驚奇
谷歌、臉書乖乖把錢匯入「他的」帳戶 東歐駭客「代收」廣達38億驚奇

2019-07-12