美國奧勒岡州健保署（Department of Human Services，DHS）年初遭網釣攻擊，造成64.5萬名居民個資外洩。該部門本周三以郵件通知受影響的民眾。

奧勒岡州健保署今年一月遭網釣攻擊，有9名員工不慎開啟郵件，點入郵件挾帶的惡意網站連結。這些員工於隔天起分別通報，健保署並在1月28日前確認所有受影響帳號並予以關閉。根據安全小組調查，雖然沒有惡意程式植入到員工桌機或筆電，但確認網釣攻擊已經造成資料外洩。

在外部安全公司的協助下，奧勒岡州健保署調查從1月8日到28日，估計有200萬筆電子郵件及報告附件遭駭，影響64.5萬人。外洩資訊包括居民姓名、住家地址、生日、社會安全碼、案號、個人健康資訊和其他DHS計畫使用的資訊。其中外洩的個人健康資訊，包括健康保險可攜及責任法案（HIPAA）涵括的受保護健康資訊（Protected Health Information）。至於這些資訊是否被存取或遭非法使用則不得而知。

奧勒岡州三月底曾公佈此事，不過當時只估計有35萬。本周三（6月19日）的公告則是個別通知受影響的民眾，DHS並為這些民眾提供身份盜竊外洩監控服務及受害保險。

資安公司Intezer發現了一種名為HiddenWasp的惡意軟體，讓駭客得以遠端控制受感染的系統，HiddenWasp專門感染Linux平臺，由使用者模式Rootkit、木馬以及初始部署腳本組合而成，研究人員表示，這個惡意軟體疑似由中國駭客創造。

Intezer指出，HiddenWasp與其他常見的Linux惡意軟體不同，HiddenWasp目的不是將用戶的電腦變成挖礦機開採加密貨幣，或是進行DDoS攻擊，而是單純用於遠端控制。HiddenWasp可以操作本機檔案系統，上傳、下載並執行檔案，執行終端命令等動作。

HiddenWasp組成複雜，作者從各種公開可用的開源惡意軟體中，像是Mirai和Azazel rootkit等專案借來大量程式碼，並且與其他中國惡意軟體存在一些相似之處，特別是與近期Alphabet旗下的資安子公司Chronicle，發現的Winnti惡意程式Linux變種類似，而這個Winnti變種則是中國駭客的著名工具。

雖然有不少惡意軟體也會拼湊使用來自於其他專案的程式碼，但研究人員從中找到一些線索，發現HiddenWasp與名稱為Adore-ng的Linux中文開源Rootkit存在一些關聯，而且雖然HiddenWasp可能由中國駭客開發，但是惡意軟體本身卻是在中國境外創建與營運，有趣的是HiddenWasp檔案曾被上傳至惡意軟體分析網站VirusTotal中，使用的路徑包含了一間中國鑑識公司的名字。

HiddenWasp的植入載體（Implant）被託管在ThinkDream位於香港的伺服器中，研究人員提到，HiddenWasp是整個攻擊手法的第二階段工具，用來感染受害者已經受損的系統，他們無法得知駭客傳播HiddenWasp的方法。現在有證據顯示，可能已經有受害者受到HiddenWasp控制，且進行過大規模偵查活動，目前HiddenWasp正處於活躍的狀態，而且所有主要的防毒軟體都檢測不出來。

研究人員提到，HiddenWasp看起來是有針對性的惡意軟體，但無法肯定是受到國家資助的攻擊計畫，但可以確定的是，HiddenWasp的目的，不是執行採礦或是DDoS攻擊這種可以快速獲取利潤的短期目標。

要防止Linux系統受到HiddenWasp的攻擊，可以封鎖Intezer提供的C&C IP位置，而他們也提供了YARA規則，讓系統檢測在記憶體中執行的程序是否包含HiddenWasp植入載體。另外，研究人員也提供了一個快速檢查系統是否遭到感染的方法，就是搜尋系統中的ld.so檔案，當系統中不存在任何包含/etc/ld.so.preload字串的檔案，則系統可能受到感染，因為HiddenWasp的植入載體會對ld.so實例進行補丁，以便從任意位置執行LD_PRELOAD機制。

安全專家發現組態不當的伺服器、雲端服務及儲存系統，包括SMB檔案共享、Amazon S3等，導致高達23億份薪資、信用卡、醫療資訊等極端機密資訊公開於網路上，可能使用戶遭身份濫用、惡意程式攻擊或財務損失等風險。

安全廠商Digital Shadows的Photon 研究小組，偵測到的曝光資料分佈於SMB檔案共享、組態不當的網路儲存（NAS）裝置、FTP與rsync伺服器，以及Amazon S3 儲存貯體（bucket）。研究人員說，這次發現的曝險規模，要比去年4月發現的還要高出7.5億份。

從洩密的服務類型來看，從SMB伺服器曝險的資料比例最大，FTP及rsync伺服器各佔20%和16%。若以地區來看，美國受害最嚴重，有超過3.26億份檔案曝光，居次的法國和日本，則各以1.51億及7,700萬份檔案分居歐亞之冠。

這些資料許多可不是普通資訊，而是極敏感的資料，包括470萬份醫療檔案，如DICOM 醫療影像檔，其中的440萬筆資料可能已經曝光。有些X光及掃瞄檔案還附有患者個人姓名、出生日期與保險資料，可讓駭客讀取隱私資訊、竊取身份、甚至從事網路犯罪。

研究人員還發現一家英國IT顧問公司讓21萬筆用戶檔案不慎曝光，當中包括用戶全名及密碼。另有個人用戶存放相片、護照掃瞄檔、銀行明細單等資訊的伺服器，也公開於網路上。

這些資料不僅是曝光，有的更已經遭到駭客染指。研究人員發現有1,700萬筆檔案已被勒索軟體加密，當中還有不少備份資料。而其中有200萬份是遭到5月間肆虐的MegaLocker變種NamPoHyu的毒手。

不過安全公司也發現業者今年在資料控管表現上，比起去年也有所進步。例如去年11月Amazon推出Block Public Access功能後，使S3資料外洩的檔案數由1,600萬份降到2000份以下。此外，在GDPR上路後，荷蘭及盧森堡資料曝光率也大幅減少。研究人員並指出，若缺乏良好的使用者教育，再好的安全技術也是枉然。

資訊安全防護已經不再分企業的規模，即使是小型公司也可能遭受攻擊，因此思科系統工程經理Michael Lin認為，想要強化自身的資訊安全，企業可從美國國家標準與技術研究所（NIST）推出的資安框架（Cybersecurity Framework，CSF）著手，盤點企業的資安現況，找出需要優先著手改善的面向，他在Cisco Connect TPE大會上，講解企業應該怎麼運用上述的資安框架。

Michael Lin認為，企業必須隨時保持警戒，不能再存有僥倖的心態，認為攻擊不會發生在自己公司中。他引用了思科前執行長John Chambers曾經說過，世界上只有「已經遭駭」和「還不曉得已經遭駭」2種公司。由這樣的態勢，說明企業必須實踐資訊安全，同時也是在落實資訊的風險管理。

著手改善企業安全，需先規畫可行措施

然而，想要確實改善資訊安全，並非一蹴可幾，而是要透過妥善的規畫，公司的防護能力才能逐步有效得到強化。Michael Lin舉出了自己幫小孩架設樹屋與買車的例子，突顯事前規畫和評估的重要性。他因為在建置樹屋時事先進行相關的評估，並確認計畫的可行性再行動工，如今這個屋子已經完工多年，仍然相當堅固。

而在買車的例子中，所搭配的保險包含了最基本的責任險、全險，以及車碰車理賠保險項目等，這也導致車主所需付出的成本落差很大。因此，Michael Lin說，企業首先要問自己的是，要如何有效的管理公司的資安風險，於潛在的損失和進行防護的花費中，取得平衡？換言之，Michael Lin認為，企業必須評估自身的能力，規畫相關的資安防護措施才會有意義。

利用CSF資安框架，找出企業應強化的弱點

之所以Michael Lin建議企業參考美國國家標準與技術研究所的框架，他不只引用了美國現任總統川普與前任總統歐巴馬的說法，強調該框架對美國整體資訊安全的重要性，也指出CSF受到日本、英國、義大利、以色列等國政府採用。因此，這個框架的實用性已得到驗證。

CSF針對資安的5大面向進行探討－－包含了識別與列管資產、採取的防禦措施、偵測威脅機制、攻擊因應，以及災害復原等。Michael Lin表示，企業可針對CSF列出的項目，進行現況的檢視，進而找出風險較高之處，再予以安排改善時程。

企業在盤點內部各項目的安全程度之後，便從最迫切需要改善的Tier-1著手，挑選要改進的項目。而非一口氣將未達到Tier-4等級的項目（Tier-2和Tier-3），予以同時進行。

要值得留意的是，Michael Lin說，資安無法一次到位，更因為企業的資源有限，不是想強化什麼就進行，必須評估要先改善的項目，甚至會出現無法一體適用的情況。因此，Michael Lin除了鼓勵資安人員立即開始著手找出適合公司的計畫之外，也要讓高層主管參與其中，甚至最好可以找資安公司討論，使得改善企業資安防護的計畫能如期實現。