HW2 : CYBERSEC 2021

Group content visibility: 
Use group defaults

今年高興能夠參加2021台灣資安大會,有許許多多的廠商到此準備發表他們全新的資安方案與成果。對於第一次參加此類活動的我可以說是收益許多,畢竟能夠提高對於日常生活方面的電子產品上的資安意識。雖然這次我只有參加5/4那一天的上午講座以及展場參觀,但不影響我對此展覽得出的心得。

首先,是很榮幸親眼看見總統對於資安的關注而參與該展覽的開幕。

其次是聆聽樂天國際銀行的總經,佐伯和彥的演講(第一次聽日文演講還不錯——雖然有人幫他翻譯,但略懂他想講的)。他主要講解的是存在於銀行業的資安問題並分析他們的原則。

“「防範金融犯罪時,如何有效阻止網路犯罪,是非常重要的一件事。」在虛擬空間(Cyberspace),也就是以網路為平臺的人造空間中,會有危及電腦網路安全的犯罪行為,比如,來自電腦外部的不法入侵,竄改或破壞數據,或是洩露資訊,電腦病毒感染等。然而,在這個透過網路連結各種事物的世界,如果沒有將網路安全做好保障,會直接影響到我們每個人的日常生活。

10年前,當時還在日本樂天銀行的佐伯和彥,整理出一張結構圖,是針對銀行業,駭客會鎖定的3大攻擊目標。他提到,銀行主要系統的伺服器(Main System Server)是駭客最大的目標,也是許多網路犯罪者最先攻擊的部分。

另外兩大攻擊目標,一個是銀行職員所使用的電腦,他提到,通常駭客會假冒社會人士,來侵入或攻擊銀行職員的電腦。另一個則是顧客所使用的載體,如手機、電腦,駭客會透過釣魚網站或是電腦病毒,對顧客端的載體進行攻擊。佐伯和彥表示,在防範政策上得有對應的作法,主要系統的伺服器會有伺服器的資安防範對策,對於銀行職員也有相關對資安防範對策與教育,就連顧客端也必須進行網路犯罪教育。

佐伯和彥更進一步揭露日本樂天經營純網銀20幾年的經驗中,歸納出防範網路金融犯罪的2大基本原則。

首先,「讓網路犯罪者或攻擊者會消耗的成本,大於他們所能夠得到的利益,就能有效遏止駭客入侵攻擊,這是樂天純網銀最大的原則。」佐伯和彥強調。

他進一步解釋,當銀行談到資安防範或是網路犯罪時,通常會想到防洗錢(AML),或是如何做好資安的防備等作法。可是,回歸到上述的基本原則時,會發現不管是洗錢還是網路犯罪,都只有兩大切入口,一是加害者的帳戶,另一個是被害者的帳戶。

佐伯和彥強調,駭客會分別從加害者帳戶或被害者帳戶入侵,唯一的防備方法只有一種,「那就是設法讓帳戶不要有任何動作產生」,這是防範網路犯罪的最大方法。他舉例,比如,樂天純網銀發現有人設法入侵或侵佔被害者帳戶時,銀行就要想辦法凍結該帳戶,讓被害者的金錢不會往其他不明的帳戶流動。或像是一旦發現某帳戶有洗錢的行為出現時,銀行也要設法阻止,避免讓金錢流向打算洗錢的帳戶。

樂天純網銀在阻止網路犯罪上,基本有3項動作。佐伯和彥表示,第一項是不斷的隨時檢測加害者或被害者的帳戶;第二項是評斷帳戶是否正常運作;第三項則是,萬一發現有任何不正常的營運時,銀行就會實行各項措施並加以阻止。

他坦言,在這整個過程中,銀行方得花上許多心力、時間與金錢來阻止犯罪產生。不過,相對的,這些從外部透過網路攻擊銀行的犯罪人士,也必須要消耗很大的成本,來破解銀行的防治方法。佐伯和彥表示,讓網路犯罪者消耗大量成本才能獲得利益,對於他們來說是一項不划算的行為,這也是樂天純網銀採取的重要原則,透過這樣的方式來減少駭客想攻擊銀行的企圖。” 

總結

多年以來普遍認為駭客會採取針對重要帳號的入侵作為他們的原則所以才設下各種保護措施來保護帳號。但實際上實現他們的目的的方式不侷限於一種——攻擊防禦能力低下的低層帳號或中層也可以達成效果(畢竟不會有人想說真的會攻擊他們嘛,就沒放什麼心思在防護那邊)。所以防護還是全方面做好會比較好(然後還有定期檢查,畢竟有漏洞還是比較麻煩)。

 

參考資料

https://www.ithome.com.tw/news/144184