「駭客最愛攻擊的大型企業」:專訪雄獅旅遊、數聯資安,如何面對旅遊業前所未有的資安挑戰?
左:數聯資安總經理李明憲、右:雄獅資訊總經理林秉忠。圖片來源|李復盛攝影
旅行社面臨的資安威脅是什麼?比起信用卡號,駭客更想偷顧客個資、交易資料
雄獅資訊總經理林秉忠說,「資安已經是所有企業經營的必要項目了,資安為什麼會變越來越重要?因為顧客資料變成了『黑金』,早期資安危險是偷信用卡號,現在的資安則是竊取你的訂單資料,直接去面對消費者詐騙,所以駭客都想要顧客資料,在這樣的黑金時代當中,資訊安全是所有電子商務或者是企業經營數據的顯學。」
雄獅資訊總經理林秉忠表示,資訊安全是所有電子商務或者是企業經營數據的顯學。圖片來源|李復盛攝影
雖然資安是一門不分企業的必修學問,但在專業人士眼中,雄獅的狀況更加複雜,是駭客最喜歡嘗試攻擊的對象之一,數聯資安總經理李明憲指出:「雄獅在我們的認定中屬於多元渠道的大型服務產業,擁有線上通路、實體通路和經銷商通路。這與金融產業類似,金融業不僅有網路銀行,還有實體銀行通路,甚至包括保險代理商等。這些行業的共通點是擁有大量的個人資料和交易數據,且面臨廣泛的攻擊風險。」
數聯資安總經理李明憲指出,多元渠道的大型服務產業如雄獅旅遊,就是駭客最喜歡嘗試攻擊的對象之一。圖片來源|李復盛攝影
數聯資安是遠傳電信旗下的公司,了解此類大型服務企業的背景,因此對這些行業的營運模式有深入的了解。針對被攻擊範圍管道多元的企業,數聯資安能夠提供專業的建議和解決方案,協助企業加強資安防護。
雄獅集團聯手數聯資安有2原因 完整防護資訊安全
2017年旅遊業界遭受一波資安攻擊,雄獅也在受害名單之中,從此開始了與數聯資安的合作,防範交易資料跟個資資料遭駭客竊取。
雄獅資訊林總經理表示,會選擇數聯資安有2個理由,「首先,數聯資安本身擁有廣泛且足夠的防護能力。其次,數聯資安作為遠傳電信的相關企業,對網路環境非常熟悉,這也是我們非常重視的一點。」雄獅與數聯資安的合作從小規模防護開始,逐步擴展到現在的全面性防護。
目前,雄獅已經部署了SOC(Security Operation Center)資安監控服務和XDR多維度偵測與回應,還有WAF(網路防火牆)和DAM(Database Activity Monitoring,資料庫監控閘道器)等多種防護措施。
當雄獅網站發現入侵跡象時,數聯資安會全天候24小時隨時通知雄獅,每季收集網路系統資安日誌,從約200億筆資料中進行分析,找出風險並給予資安等級,經過分析,約有200多筆會被判定為疑似攻擊或高風險事件。
雄獅與數聯資安自2017年開始合作。圖片來源|李復盛攝影
偽冒網站、釣魚網址是民眾容易被詐騙的方式
數聯資安李總指出,現在資安威脅方式很多元,雄獅是非常知名的品牌,很容易變成偽冒對象,駭客可能仿冒雄獅的網站,讓民眾在假網站留下個資甚至是金融交易資料進行詐騙。
另外還有一種常見手法是消費者收到email或是簡訊,被引導點進和雄獅網頁很像的詐騙網站,操作時留下駭客想要的個資資料。這種攻擊類別基本上跟雄獅沒有直接關聯,唯一有關連的是詐騙網站長得很像雄獅網頁,或者網址很接近雄獅網址。
偽冒網站、釣魚網址猖獗。圖片來源|Shutterstock
數聯資安如何去預防這類的資安攻擊?數聯資安李總說,「我們的機制會每天針對全球新註冊的網址,分析有沒有跟雄獅比較相似的,把這些疑似偽冒的網站抓出來之後提供給客戶。至於詐騙簡訊的短網址,若與雄獅網域名稱關聯性不大,就會再進一步針對網頁內容檢測,例如利用機器人掃描這些網頁,如果有提到『雄獅旅遊』四個字,很可能就是偽冒。」
李總認為,資安的挑戰就是「防禦範圍太廣」,因此每個議題都要關注,都要提出對應的解決方式,這是整個大環境對於資安防護的共同挑戰。
駭客近期利用下游廠商攻擊 供應鏈管理成為重點
事實上,資安不只是自己的企業要做好防護,上下游供應鏈也需要具有資安意識。數聯資安李總表示:「當目標行業防護得很好,讓駭客不好入侵,這兩年就常常發生駭客攻擊供應鏈廠商的例子,入侵資安相對不足的上下游廠商之後,假裝透過正常交易再進到目標公司的網路,是這兩年所有行業都陸續面臨的資安攻擊類別。」
雄獅已加強供應鏈之間的資訊安全,重視與下游廠商之間API串接的設計、安全檢查和加密。數聯資安李總補充說明,「首先,在程式設計階段就要確保與下游廠商的連通不易被偽冒。其次,交易的加密機制必須完善,即使資料被攔截也無法解密。最後,供應鏈廠商也需自我保護,否則容易成為駭客攻擊的目標,進而對合作廠商構成風險。因此,供應鏈管理也是重點之一。」
這兩年許多公司面臨到的資安威脅是駭客藉由攻擊供應鏈廠商,再擴大入侵上下游公司網路。圖片來源|Shutterstock
俄羅斯駭客集團 DDos攻擊直接癱瘓網站
還有一種駭客攻擊也令企業頭痛,就是從2024年俄羅斯駭客組織針對台灣公營和民營企業頻繁發動的DDos癱瘓式攻擊,造成網頁沒辦法對外服務,這對旅遊業的影響很大。「民眾沒辦法連上企業網站,就會產生無法交易的經濟損失,而且台灣法規規定,遭遇資安事件時上市櫃公司必須發布重大資訊,對企業形象也會有一些損傷。」雄獅資訊林總坦言:「DDos癱瘓式攻擊是很麻煩的,也要靠數聯資安幫我們擋下來,我們要防小偷(資料外流)也要防強盜(遭到癱瘓)。」
DDos攻擊指的是讓整個網站癱瘓、當機無法使用,能造成實際的經濟損失。圖片來源|Shutterstock
數聯資安面對DDos攻擊,採取的方式是對外進行流量清洗,把攻擊流量擋掉,留下正常流量;對內做好程式設計跟WAF防護措施,雙管齊下,基本上對這類的攻擊就可以比較放心。
AI成為雙面刃 生成式內容讓詐騙更簡單 資安更需精準防守
因應AI世代,AI能不能幫助填補資安漏洞?數聯資安李總指出,AI其實是雙面刃,駭客能拿AI來製作他們的武器,資安公司當然也要利用AI來做防護措施。「幾年前資安產業就已經盛行AI,以前我們叫做『機器學習』,透過AI工具在第一階段去找異常行為,如果是靠人工或一些規則去辨識出哪些是正常哪些是異常,能抓的有限。所以我們以前就開始使用machine learning機器學習找異常行為,使用得非常普遍。可是這兩年流行的是生成式AI,直接幫你產出內容、腳本甚至程式語言,這部分的話防守方的壓力就變大了,因為駭客產出攻擊工具就更簡單了。」
李總以國外駭客製作的釣魚信件為例,以前可能因為信件含有英文或是簡體字而露出馬腳,但是利用生成式AI指定當地語言,結合時事和生活資訊就能寫出以假亂真的釣魚信件內容,更容易讓民眾誤點下去。
不肖分子也能利用生成式AI製作詐騙信件、詐騙內容,民眾須提高警覺。圖片來源|Shutterstock
從數聯資安的角度來看,現在也能利用AI更精準防守,「除了辨識第一階段攻擊行為,第二就是我們透過生成式AI轉換成能跟內部工程師、外部客戶更有利互動的內容,提升查找跟反應的速度來應對駭客攻擊。」
定期更換密碼 民眾保護個資的基本步驟
在生活中,也有一些基本的行為準則能保護個資;數聯資安李總提醒「常常交易的網站,每組帳密最好都不一樣,如果在每個網站都留一樣帳號密碼,假設有一間業者被駭,帳密被竊取,駭客就會拿這組帳密去其他網站試試看,很容易就試中了。我知道實行上有困難度,不過像iphone還可以用自動產生高強度密碼及密碼APP結合生物辨識來幫助管理。」
雄獅資訊林總也補充:「比較簡單的方式就是善用『忘記密碼』,是一個解決密碼記不起來的方法,每次密碼都不一樣也更安全!」
雄獅網站也在評估無密碼的會員登錄方式,包含生物辨識和FIDO2(Fast Identity Online,網路識別標準)等認證,從內部到外部,將每個環節的資安風險降至最低,保護所有顧客的個人資訊。
每個網站設定不同組帳密,是最基本的資安防護措施之一。圖片來源|Shutterstock