用駭客邏輯抵擋駭客 「人」比「工具」更重要

重訂架構、資安教育 穩紮基礎防護能力

「原本企業IT應有的技能，首要應著重在基礎架構運行效能與穩定度，為應用系統提供更好服務品質。近年來則是在駭客頻繁攻擊下，才逐漸轉向外部來的資安威脅處理。」果核數位營運長許武先指出。尤其是DDoS（Distributed Denial of Service）與APT（Advanced Persistent Threat）攻擊，始終是遊戲產業最大的挑戰。前者的目的大多是為了勒索金錢，後者則是以竊取有價資產為主。但是遊戲公司提供的服務項目產值並不高，先進的資安防禦解決方案卻價格不斐，若非實際遇到問題，大多不會主動導入建置。

▲果核數位營運長許武先提醒，台灣產業普遍欠缺對於資訊安全的認知，尤其是企業主，必須先認同資安的價值，才能捍衛營運機密不被竊取。

為了降低潛在的風險，遊戲橘子決議從管理面著手，重新配置公司網路架構，依照部門別與業務性質區分為不同網段，如此一來，不同網段之間彼此就無法直通；在妥善規劃過的架構之下，即使不依賴工具也可算察覺異常狀況。接下來則是執行內部教育訓練制度的建立與推廣，對此遊戲橘子投入相當多資源，延續至今所有新進員工皆必須接受資安訓練與測驗，且每隔一段時間會透過電子報、資安講習宣導更新觀念，如此運行多年後果然奏效，通常在災害發生前可及時被發現。

有效阻止目標式滲透資安技術為首要關鍵

「近兩年就曾發現過我認為是真正的APT攻擊。」許武先指出。事件當事人是遊戲程式研發營運主管，收到一封附加競爭對手遊戲產品技術架構資料的郵件，所幸多年來的資安教育訓練建立警覺心，即使郵件附加檔案相當吸引人，該營運主管也沒有貿然開啟，而是轉寄至IT部門請資安人員先行查看，因此發現是利用真實文件資料夾帶惡意程式的目標式攻擊。

其實研發人員的姓名、聯絡方式等資訊，外界即使要取得都不容易，駭客竟還能明確地發送給負責該職務的主管，顯然對遊戲橘子的組織架構相當了解。他認為，駭客攻擊會演變為APT，勢必經過長期蒐集累積，彙整成為可挑選攻擊目標的資料庫，搭配低調、隱匿地攻擊技巧，逐漸建立駭客地下經濟。

面對APT這類非典型攻擊行為，資安廠商也相繼設計專屬設備協助企業端因應。「我們當然也有測試過此類方案，經評估後目前仍未採用，主要因素並非方案技術無效，而是考量昂貴價格後的效益不足，且隨著過去遊戲橘子在資安方面的投資，內部資安人員本身已具備相等技能，更何況，欲降低資安風險，還需搭配基礎架構、管理制度，才會發揮綜效，工具只是輔助措施。」許武先說。

是否需要聘雇專屬資安人員，對多數一般企業而言仍是兩難。他進一步說明，抵擋駭客入侵當然是最終目標，但企業主的考量還包括，若聘請的資安人員技術能力很高明，勢必懂得繞過與隱藏痕跡，如此一來，萬一被駭客所利誘吸收、或根本就是名非法駭客，恐為企業帶來更大災難。因此至今有許多公司不願意設立資安人員，此時專屬設備即是較合適的解決方案，否則極有可能被駭客滲入而不自知。

憑藉資安實戰經驗 獨立營運提供服務

其實遊戲橘子不只是知名的遊戲公司，本身也是二類電信商，提供機櫃、頻寬、雲端平台等基本IDC服務，讓同業租用。之所以會有雙重身份，許武先表示，主要是發現遊戲產業確實普遍存在伺服器代管的需求，並非遊戲軟體業者不願意投資興建資料中心，而是IT管理面的專業技能本非擅長，遇到問題經常不知如何處理。因此遊戲橘子在去年開始集團發展業務轉型下，將IDC業務獨立成立「果核數位」，專注提供同業或更多其他產業IT所需的各項服務。

目前果核數位的資安服務，除了既有資安監控中心（SOC），亦包含Anti-DDoS、滲透測試、原始碼檢測服務。「其中，原始碼檢測採用的是HP Fortify，主要是過去在遊戲橘子內部即已導入，如今果核數位也持續跟HP合作，提供白箱檢測服務。」許武先說。但滲透測試服務則非採以商業工具進行，而是內部培養的資安技術人員，由擁有台灣相當稀少的滲透測試專家證照（Licensed Penetration Tester，LPT）的高手親自執行，畢竟制式的工具無法模擬駭客行為，還是得人力介入才得以發現問題。

此外，對於果核數位團隊本就熟悉的遊戲應用程式，更提供深度檢測服務，不管是App遊戲、線上遊戲皆可。由於遊戲產品的資安考量較資訊系統不同，必須留意像是金額與點數可能會在用戶端被竄改的問題，畢竟遊戲執行方式，是用戶端從伺服器下載相關資訊，可能會被外掛軟體暴力破解，並非源自程式本身的Bug或漏洞，而是在程式撰寫時，較著重在整合運行的穩定度與執行效能，缺乏考量是否將成為破解環節。許武先強調，「我們以往只有在遊戲橘子內部測試自家產品，檢測是否可能被外掛、修改遊戲參數、點數等，如今的果核數位自然可發揮既有的優勢，為其他遊戲公司的產品提供檢測服務。」