監委認維護學術網路資安有「五大問題」 促教育部檢討 【資安日報】2022年12月19日,連網裝置成MCCrash殭屍網路病毒入侵的目標、駭客鎖定食品業者發動BEC攻擊 | iThome
監委認維護學術網路資安有「五大問題」 促教育部檢討 - 政治 - 自由時報電子報 https://bit.ly/4agr85v
2024/03/14 12:35
〔記者楊丞彧/台北報導〕基隆市教網中心2022年12月發生殭屍網路病毒資安事件,監察委員賴鼎銘、王麗珍、葉宜津調查後指出,基隆市該次殭屍網路事件應於在時限內以適當事件等級通報,惟不僅延宕通報時間,又低估事件等級,復未向上申請支援,導致事件衝擊時間拉長及無法進行溯源鑑識,確有違失。監委另指出,不少資訊組長由體育及語文等專長教師兼任,基層存在「五大問題」。學術網路資安實有「末端麻痺」之虞,主管機關教育部責無旁貸,應該檢討改進。
基隆市教網中心2022年12月發生殭屍網路病毒資安事件,監察委員賴鼎銘、王麗珍、葉宜津申請自動調查,並進一步針對國中小資安管理通盤檢討。監察院教育及文化委員會、交通及採購委員會聯席會議今(14)日審查通過調查報告,明確指出基隆市政府教育局在事件通報、復原及根因查明方面均有疏失;教育部則未正視資訊及資安業務之困境,要求教育部及相關單位強化相關配套。
賴鼎銘、王麗珍、葉宜津今發布新聞稿指出,基隆市本次殭屍網路事件造成防火牆瀕於崩潰,嚴重影響該市教育網路及教學活動,應依「資通安全事件通報及應變辦法」在時限內以適當事件等級通報;惟基隆市教網中心不僅延宕通報時間,又低估事件等級,復未向上申請支援,導致事件衝擊時間拉長及無法進行溯源鑑識,確有違失;而TACERT(台灣學術網路危機處理中心)未善盡審核職責,亦有檢討空間。
監委進一步說明,本案經訪談全國56名國中小基層資訊組長,發現不少資訊組長由體育及語文等專長教師兼任,不僅在專業背景及後天教育訓練方面尚待提升,更亟需縮短城鄉資源差距。
調查委員歸納發現,基層存在課程減授嚴重不平等、缺乏資安事件高發時期支援機制、事件通報與教學不能兼顧、專業匱乏及職務混淆等五大問題。例如,有教師反映18堂課之外還要負責網管,或是管理設備數量上千台等等,再再凸顯基層教師僅處理日常排查及維護即已分身乏術,遑論處理資安事件,顯見學術網路資安實有「末端麻痺」之虞,主管機關教育部責無旁貸,應該檢討改進。
調查委員最後補充,資安事件的管理和應處不僅止於事態控制,更應注重深入的根因分析及持續改進,避免風險持續未受控管。但在基隆市個案方面,迄今未能查明殭屍網路的感染方式及橫向移動途徑等技術手法,將難以防堵類似事件再次發生。
此外,調查委員指出,基隆市府教網中心及各校雖有辦理第二或第三方資安稽核及驗證,但監院調查發現相關稽核發現絕大多數都與殭屍網路風險無關,顯見資安稽核並未發揮應有功效。因此,教育部應與資安署合作研謀改善措施,以符合「資安是不斷精進的風險管理」之精神。
監委認維護學術網路資安有「五大問題」 促教育部檢討 - 政治 - 自由時報電子報 https://bit.ly/4agr85v
基隆教網中心遭殭屍網路攻擊延宕通報 監院促檢討 | 政治 | 中央社 CNA
【公告】因近期發生大量網路攻擊事件,將擴大設備封鎖範圍,敬請配合。
基隆市政府教育處-處務公告- 【公告】因近期發生大量網路攻擊事件,將擴大設備封鎖範圍,敬請配合。 https://bit.ly/3T8O6EE
事由:因近期發生大量網路攻擊事件,嚴重影響本市教育網路及學術網路正常服務。為維護其他使用者正常使用之權益,自111年12月29日19:00起,基隆市教網中心將擴大設備自動封鎖範圍,遭到封鎖之IP將無法進行上網,並且不會自動解鎖(包含DWC 200、DSA 6100等IP分享設備);請下轄學校資訊組長於確保受感染裝置恢復正常後,來電教網中心解鎖,敬請配合。
基隆市政府教育處-處務公告- 【公告】因近期發生大量網路攻擊事件,將擴大設備封鎖範圍,敬請配合。 https://bit.ly/3T8O6EE
依中華民國112年1月16日基府教學貳字第1120202464號函續辦。
本次殭屍網路攻擊事件說明如下:
一、本次殭屍網路攻擊,有別於過往由外部受感染裝置大量對內部網路攻擊之方式,而是由內部受感染裝置對外部問題IP進行連線接受攻擊指令後,於短時間內發送大量異常連線封包對外部IP發動攻擊,導致教育網路中心防火牆無法負荷所致;此次攻擊事件初步經由內部連線IP封鎖管理後,教育網路中心主要連線服務及防火牆功能即恢復正常,並通知轄下學校清除受感染之裝置。
二、部分轄下學校反映其連線裝置未有存取不當網頁內容,應屬遭誤判封鎖一事,實屬誤解。不當網頁阻擋為針對有內容疑慮之外部網站進行封鎖,並非封鎖內部IP;本次防火牆封鎖管理,為防火牆自動偵測受感染之裝置對外部問題IP進行連線時,對內部受感染裝置IP進行自動封鎖一事顯有不同,併此敘明。
三、另有部分轄下學校反映IP遭封鎖後致學校無線網路無法連線之情形,應屬學校於校內自行架設無線AP,而該AP所使用之IP遭到封鎖後所致。目前市立學校新規劃之AP架構,每個裝置連線會採用獨立IP進行連線,若其中有單一裝置受到感染,僅會針對該裝置IP進行封鎖;而校內自行架設之無線AP採所有連線裝置共用單一IP進行連線,故該共用IP若遭到封鎖,則相關連線裝置均無法使用;若貴校無自行架設未經授權AP,則不受影響。
四、本次事件經由IP封鎖管理與轄下學校努力清除受感染裝置並解除封鎖後,攻擊情況已明顯緩和。
(市網中心資安組長許愈綸112/3/15)
基隆市建德國中 | 最新消息 https://bit.ly/3x1mABn
--------------------------------------
監委認維護學術網路資安有「五大問題」 促教育部檢討
監委認維護學術網路資安有「五大問題」 促教育部檢討 - 政治 - 自由時報電子報 https://bit.ly/4agr85v
2024/03/14 12:35
〔記者楊丞彧/台北報導〕基隆市教網中心2022年12月發生殭屍網路病毒資安事件,監察委員賴鼎銘、王麗珍、葉宜津調查後指出,基隆市該次殭屍網路事件應於在時限內以適當事件等級通報,惟不僅延宕通報時間,又低估事件等級,復未向上申請支援,導致事件衝擊時間拉長及無法進行溯源鑑識,確有違失。監委另指出,不少資訊組長由體育及語文等專長教師兼任,基層存在「五大問題」。學術網路資安實有「末端麻痺」之虞,主管機關教育部責無旁貸,應該檢討改進。
基隆市教網中心2022年12月發生殭屍網路病毒資安事件,監察委員賴鼎銘、王麗珍、葉宜津申請自動調查,並進一步針對國中小資安管理通盤檢討。監察院教育及文化委員會、交通及採購委員會聯席會議今(14)日審查通過調查報告,明確指出基隆市政府教育局在事件通報、復原及根因查明方面均有疏失;教育部則未正視資訊及資安業務之困境,要求教育部及相關單位強化相關配套。
賴鼎銘、王麗珍、葉宜津今發布新聞稿指出,基隆市本次殭屍網路事件造成防火牆瀕於崩潰,嚴重影響該市教育網路及教學活動,應依「資通安全事件通報及應變辦法」在時限內以適當事件等級通報;惟基隆市教網中心不僅延宕通報時間,又低估事件等級,復未向上申請支援,導致事件衝擊時間拉長及無法進行溯源鑑識,確有違失;而TACERT(台灣學術網路危機處理中心)未善盡審核職責,亦有檢討空間。
監委進一步說明,本案經訪談全國56名國中小基層資訊組長,發現不少資訊組長由體育及語文等專長教師兼任,不僅在專業背景及後天教育訓練方面尚待提升,更亟需縮短城鄉資源差距。
調查委員歸納發現,基層存在課程減授嚴重不平等、缺乏資安事件高發時期支援機制、事件通報與教學不能兼顧、專業匱乏及職務混淆等五大問題。例如,有教師反映18堂課之外還要負責網管,或是管理設備數量上千台等等,再再凸顯基層教師僅處理日常排查及維護即已分身乏術,遑論處理資安事件,顯見學術網路資安實有「末端麻痺」之虞,主管機關教育部責無旁貸,應該檢討改進。
調查委員最後補充,資安事件的管理和應處不僅止於事態控制,更應注重深入的根因分析及持續改進,避免風險持續未受控管。但在基隆市個案方面,迄今未能查明殭屍網路的感染方式及橫向移動途徑等技術手法,將難以防堵類似事件再次發生。
此外,調查委員指出,基隆市府教網中心及各校雖有辦理第二或第三方資安稽核及驗證,但監院調查發現相關稽核發現絕大多數都與殭屍網路風險無關,顯見資安稽核並未發揮應有功效。因此,教育部應與資安署合作研謀改善措施,以符合「資安是不斷精進的風險管理」之精神。
監委認維護學術網路資安有「五大問題」 促教育部檢討 - 政治 - 自由時報電子報 https://bit.ly/4agr85v
---------------------
殭屍網路是什麼?原理與種類詳細介紹,關鍵4招預防攻擊
殭屍網路是什麼?原理與種類詳細介紹,關鍵4招預防攻擊 https://bit.ly/3IDI9uo
用殭屍網路發動DDoS攻擊輕而易舉,傳垃圾訊息、竊取資料、癱瘓服務等造成巨大損失。防守遠遠不夠,告訴你善用CDN Log與告警機制有多重要!
什麼是殭屍網路?誰都可能是受害者
殭屍網路(Botnet)是指眾多連接網路的設備,受到駭客、電腦病毒或是木馬程式入侵,使惡意人士可以以C&C(Command & Control)的方式遠端控制大量受到入侵的設備,進而構成「殭屍網路」(Botnet),發動惡意攻擊。
由於殭屍網路影響的設備並不只局限於可以連接網路的電腦,甚至包含了智慧型手機、家庭路由器、網路監視攝影機等。並且隨著物聯(IOT, Internet of Thing)日益興盛,大量可以連接網路的設備也隨之增加,除降低了殭屍網路建構的難度外,也提高了一般使用者的設備被殭屍網路感染的風險。
恐怖的殭屍網路,被感染將毫無察覺!
「Botnet」會被翻譯為「殭屍網路」也與其特性有關。一般使用者其實難以察覺自己的設備受到感染,因為它並不像傳統的電腦病毒或勒索軟體,讓人感受到電腦有明顯異常,或是檔案無法開啟等,受到感染的裝置可以繼續正常運作,系統的執行速度也不會受到太多影響,因此,受到感染的裝置就像個殭屍一樣,外面看起來無異狀,但其實早已經受到感染,任由駭客擺佈。
⬛延伸閱讀:網站趨勢!滿足速度、資安、一站式管理的 CDN 架構如何運作?
殭屍網路不只能發動多種攻擊,甚至能挖礦!
由於駭客控制受感染的裝置後可以進行的惡意攻擊不勝枚舉,並且隨著時間進步也迭代更新出各種不同的使用方法,從簡單的傳送大量機器人電子郵件,到近期進行比特幣的挖礦,都可以做到,當然也有駭客會利用惡意攻擊來獲取特定的利益。
分散式阻斷服務攻擊(DDoS)
大部分的殭屍網路都具有可以執行DDoS任務的能力,大量受到感染的裝置向被攻擊的目標傳送海量的請求,使其因收到過多的請求導致服務過載,無法回應正常的請求。同時,這些攻擊也會佔用服務的大量頻寬,若佔滿頻寬也會使被攻擊的目標產生「回應無法正常傳送」的情況。
⬛ 網站必看關鍵指標、攻擊分析懶人包:掌握10項專業級監控報表 ╳ 學習流量分析方法!
大量傳送垃圾訊息
大量散播訊息可以作為一種服務,讓有心人士以金錢購買此服務來大量傳遞想要散播的訊息。另外,殭屍網路自身也可能透過傳送大量釣魚郵件,誘使使用者開啟附加檔案,增加受到感染的裝置。
竊取資料
駭客可以透過殭屍網路竊取受到感染裝置的各類敏感訊息,包含您所使用的帳號密碼、信用卡資訊、受感染裝置上儲存的資料等,都有可能是被竊取的目標。
殭屍網路挖礦
過去曾經出現過一個名為ZeroAccess的殭屍網路,主要利用受到感染的裝置,執行比特幣挖掘及其他的惡意任務進行獲利,據研究人員估計,其規模龐大到每年足以獲利數千萬美元。
⬛ 延伸閱讀:WAF是什麼(Web Application Firewall)?傳統防火牆不管用了?
殭屍網路與DDos攻擊及關鍵事件
殭屍網路與DDoS的關係可以說是密不可分,殭屍網路一次可以控制多台設備的特性與DDoS本身的攻擊原理本身不謀而合。
Mirai Botnet
2016年Mirai botnet 開始受到世人關注。知名網路安全專家Brian Krebs 的網站遭到Mirai Botnet進行超過620Gbps的DDoS攻擊,自2012起Brian Krebs都會記錄網站受到的攻擊,而此次的攻擊量是以往的攻擊的三倍。
法國知名伺服器代管商OVH也公布一起針對其客戶的Mirai Botnet的DDoS攻擊事件,估計同時有超過145,000個裝置發起攻擊,並且產生高達每秒1.1Tbps的攻擊,並且持續了大約7天。
DNS服務提供商Dyn受到了1.5Tbps的攻擊,使得許多大型知名網站都無法開啟,包含Airbnb、GitHub、HBO、 Netflix、Twitter、PayPal以及Reddit等。
從以上案例可得知殭屍網路在DDoS方面的規模與力道是不容忽視的,並且在作者開放原始碼後,任何稍具能力的人都可以建立自己的殭屍網路,並且輕鬆地執行DDoS任務。
⬛延伸閱讀:境外網站進軍中國該使用中國CDN嗎?
如何預防受到殭屍網路感染?
相信沒有人希望自己的裝置成為殭屍網路的一員,以下告訴你如何避免裝置受到感染:
1.不使用預設密碼、並且使用高強度的密碼
預設密碼或是過於簡單的密碼在面對入侵時形同虛設,因為惡意軟體常常使用預設密碼與常見密碼來進行暴力破解,使用高強度的密碼,可以提升自身裝置的安全性。
2.即時套用系統與韌體更新
有時候裝置的更新並不一定是有新的功能,而是針對一些發現的漏洞進行修正與預防。即時套用可以保護您的裝置受到有心人士利用裝置的漏洞進行攻擊。
3.避免接觸來源不明的網頁、軟體
不明的釣魚網站與免費的盜版軟體都有可能潛藏風險,為了使自己的電腦不受到侵害,使用者也必須注意,讓自身有安全使用裝置的習慣。
⬛ SOC託管:24/7技術支援,真人回覆;事件分析、威脅監控,攻擊無機可趁
殭屍網路
如何預防殭屍網路攻擊?
殭屍網路演變至今已經是個難以遏止的生態,縱使我們可以使自己的裝置不受到感染,也不一定能夠避免自己架設的網站或伺服器不受到殭屍網路的群起圍攻。 有方法可以預防殭屍網路的攻擊嗎?以下這邊提供一些建議:
確認防火牆的配置,並且檢查是否有不應開啟起的網路服務與通訊埠。
檢查防禦系統是否將系統與韌體更新,並且確認攻擊識別的資料庫等是否都是最新版本。
定期檢視網路設備是否有異常活動。
確保網路防禦機制可以正常運作,並且考慮若無法是否需要添購可以用於緩解攻擊的設備,或是使用第三方的服務進行DDoS緩解。
⬛ 延伸閱讀:這篇就夠!DDoS是什麼意思?有哪些類型?OSI對照!完全解析
善用CDN的Log與告警機制,主動式防禦DDoS攻擊
DDoS攻擊已越趨普遍且防不勝防,這也是越來越多的網站採用防禦型CDN服務的主要原因,一舉了解決網站加速與網路攻擊問題。但DDoS防禦可不只清洗中心與WAF這兩個明星而已,許多網站資安人員可能沒發現,Log與告警機制也是預防DDoS攻擊不可或缺的利器。
完整Log事件紀錄,每項資訊都重要
在事件查詢(Log)當中您可以查看到每一個訪問的完整資訊,包含了域名、URI、IP、國家、觸發規則、http code、請求表頭、請求耗時、源站耗時等等。
Http code、請求耗時與源站耗時以及Upstream status可以協助您判斷目前用戶的訪問是否正常,以及源站的回應是否正常。而透過訪問的IP與表頭是否存在異常,再輔以監控面板的外部訪問做觀察,則可以查看目前是否有異常的訪問量。
詳盡的請求資訊與專業資安人員的分析技術,可以幫助您更全面的了解攻擊發生的情況,並能事先預防。
⬛ 延伸閱讀:WAF防火牆全攻略!攻擊型態破解、防禦邏輯與佈署策略解析
使用進階搜尋,分析異常流量
在事件查詢(Log)當中,您可以使用進階搜尋(Filter)功能找出想查看的資訊,例如,符合某些條件時,訪問的域名、URI、客戶端 IP及表頭等等的相關資訊。
例如:部分異常訪問會在表頭當中缺少一些常見的表頭,例如:accept-encoding、accept-language、user-agent。這些表頭在一般正常的瀏覽器訪問的情況下,都會帶有的Request header,若有大量異常的訪問時,訪問並不會帶有這些表頭,或是表頭的內容有異常,此時,您可以考慮設置WAF規則進行阻擋。
另外您也可以從來訪的IP國家查看是否有異常的攻擊,若您的來訪用戶大部分都是來自亞洲地區,但是異常流量卻來自於歐美國家,也可以考慮針對該國家進行限制訪問。
運用告警機制,Layer 7 攻擊即時阻攔
當您在使用ApeiroCDN時,您可以藉由告警配置,來掌握Layer 7的攻擊情況。
ApeiroCDN可設定訪問頻率發出警告,阻擋殭屍網路發動的攻擊。
以此圖為例,我們可以設置一個當域名10分鐘內有超過1000次訪問便會觸發的告警,若有域名受到大量惡意訪問達到閾值時,告警觸發後便會通知您。
而在接收到告警通知後,您可以透過監控面板以及事件概覽(log)查看攻擊的趨勢,以及是否有異常的Log,再針對攻擊設置WAF規則阻擋攻擊。
可以透過監控面板的部分搜尋受到惡意攻擊的域名,並且查看此域名的訪問量、source IP、http code等等的細部資訊。若需要查看更詳細的訪問紀錄,您可以使用事件概覽(log)的功能,來查看每一筆訪問的詳細資訊與請求表頭,以掌握攻擊者的攻擊模式。
⬛延伸閱讀:CDN躍上網站資安主流:選擇CDN廠商必問的4個技術問題!
ApeiroCDN管理平台可見外部請求趨勢,異常流量立即辨識。
ApeiroCDN管理平台可見外部請求趨勢,異常流量立即辨識。
ApeiroCDN管理平台可見域名請求數、來源IP、Http狀態碼回應次數等趨勢分析,幫助判斷是否遭受攻擊。
ApeiroCDN管理平台可見域名請求數、來源IP、Http狀態碼回應次數等趨勢分析,幫助判斷是否遭受攻擊。
ApeiroCDN管理平台可查看每一筆請求的完整資訊,擋下多少殭屍網路攻擊都看的到。
ApeiroCDN管理平台可查看每一筆請求的完整資訊,擋下多少殭屍網路攻擊都看的到。
DDoS的攻擊往往變化多端且不容易預測攻擊時間,因此提前設置異常流量的告警對於用戶是非常重要的,唯有在第一時間查看到異常流量上升,並且迅速應對進行阻擋,才能夠確保一般用戶永遠都有最佳的使用體驗。殭屍網路是什麼?原理與種類詳細介紹,關鍵4招預防攻擊 https://bit.ly/3IDI9uo
山海公民拆樑行動-罷免基隆市長謝國樑 https://bit.ly/3wUPvXT
留言列表