資安威脅升溫，從「極光行動」到比特幣勒索病毒「WannaCry」：群體智能是否有解？

戰略與國際研究中心（Center for Strategic and International Studies, CSIS）透露，2017年全球網絡犯罪成本在445億美元至6080億美元之間。這個數字比起2014年估計的全球最低成本高出1000億美元。

本文目錄

在2009年，由於「零日漏洞（Zero-day Exploit）」造成的「極光行動（Operation Aurora）引起世界轟動，而類似的駭客活動也不段的在世界每個角落發生。

[註*1]：零日漏洞：通常是指還沒有修補程式的安全漏洞，而零日攻擊或零時差攻擊（Zero-day attack）則是指利用這種漏洞進行的攻擊。提供該漏洞細節或者利用程式的人通常是該漏洞的發現者。零日漏洞的利用程式對網路安全具有巨大威脅，因此零日漏洞不但是駭客的最愛，掌握多少零日漏洞也成為評價駭客技術水平的一個重要參數。

極光行動

極光行動發生於2009年12月，Google隨後在2010年1月公佈事件的發生。Google聲稱遭到疑似來自中國方面的系統入侵並竊取重要資料。極光行動的佈局十分巧妙，透過精心策畫達成了網路攻擊。此種攻擊後來被稱為進階持續性滲透攻擊(Advanced Persistent Threat, APT)。

除了Google之外，包括Adobe、Juniper Network、摩根史坦利、Yahoo及賽門鐵克自身都是極光行動的受害者。

一般來說，駭客攻擊對象，包括國防及國防供應鏈廠商、人權組織、非政府組織與IT服務業等等，舉凡有價值的資料集散地都可能成為駭客的攻擊標的。值得注意的是，駭客組織似乎可以掌握相當多零日漏洞。

Fortune世界五百強企業中從事資訊安全係數的公司賽門鐵克（Symantec）在2012年發布的安全報告表示，2010年初對Google發動攻擊的「極光行動」(Operation Aurora)組織可能還沒絕跡，仍然持續在活動。

類似的大規模病毒攻擊事件在近年仍持續發生，例如去年轟動全球的比特幣勒索病毒WannaCry。

去年肆虐的比特幣勒索病毒—WannaCry

如去年大肆橫行的勒索軟體「WannaCry」即在全球影響了逾 23 萬台電腦裝置，無論是贖金或重要檔案被綁架所造成的損失都難以估計。

WannaCry被認為利用了美國國家安全局的「永恆之藍」（EternalBlue）工具以攻擊執行Microsoft Windows作業系統的電腦，並向受到「綁架」的電腦索要比特幣。

駭客組織「影子掮客」（The Shadow Brokers）在2017年4月14日發布了一批從方程式組織（Equation Group）洩露的工具，其中便包括「永恆之藍」；而方程式集團據信是隸屬於美國國家安全局的組織團體。

修復該漏洞的安全修補程式已經於此前的2017年3月14日發布，但目前仍不是所有電腦都有進行安裝。

此病毒也重創臺灣，爆發初期，受到感染的電腦使用者於PTT、Dcard等社群發文，而後臺灣媒體在2017年5月13日對此新聞作出大篇幅報導。

隨後於2018年8月3日台積電也曾發生成立以來重大資安事件，造成竹科、中科與南科廠區停工，此次事件肇因為新機台在安裝軟體的過程中發生操作失誤。3日安裝新機台時並未將此機台於連結網路前先隔離確保無病毒，造成「WannaCry」變種病毒進入公司網路，令機台當機或是重複啟動。

「一般來說，反病毒解決方案忽略不檢測 WannaCry（勒索軟件）是很常見的；但如此的話，當前的市場只有效的獎勵供應商之前重疊的範圍，導致重復成本這種低效率的市場現象，這就是典型的公用品悲劇。」PolySwarm 團隊認為。

[註*2]：PolySwarm創立資安專家與企業的橋樑，旨在創建能更高效地辨識網路威脅的平台，透過代幣作為誘因來實現更安全的網路生態。所有PolySwarm創始人和聯合創始人都來自Narf Industries, LLC的成員。Narf Industries，LLC是一家資訊安全公司，專門為政府和大型企業提供量身定制的解決方案。

Narf專注在在資安、區塊鏈和密碼學研究領域，此前為國土安全部（DHS）完成了基於區塊鏈的身份管理項目，並代表DARPA完成了幾個同態加密項目。

此次受到感染的機台與自動搬運系統，以及相關的電腦系統，主要是使用Windows 7卻未安裝修正軟體於機台自動化介面，以致受影響的機台無法運作以及部分自動搬運系統無法正常運作。

除了病毒攻擊猖獗，常見的「DDoS（阻斷伺服器服務）攻擊」以及企業內普遍使用的 IoT 物聯網裝置都是經常被忽略的資安漏洞，隨著大數據時代與資料市場的普及，也讓駭客有了更龐大的利益誘因去組織攻擊事件。

隨著區塊鏈開啟了資產化、萬物代幣化（Tokenization），也有許多企業開始探索將數據庫、珍貴的資料代幣化的可能，因此在未來資安層面的發展顯得更為重要。但是對企業組織來說，想建構一套資安防護網，無論軟、硬體都得投入龐大的成本，更不用說中小型企業礙於成本考量，不只沒有專業的資安人員，有些甚至是使用家用等級的路由器，這也促使駭客、病毒攻擊變得更為簡單。

這也讓企業的資安需求成本逐年高升，Polyswarm的 CEO Steve Bassi 向動區表示：

「現今的企業主要依賴反病毒訂閱、動態威脅情報、配套式動態分析引擎等特定組合，來對付持續發展的網絡惡意活動。用戶必須考慮每個解決方案的優缺點，並依照自己的狀況選擇相對適合的組合。」

面對大量的資安威脅，群體智能能否有解？

資安威脅的辨識或徐能透過群體智能，Swarm intelligence（群體智能, SI）來屏除，但是挑戰在於：缺乏誘因讓資安專家很難達到「群體智能」的效果全盤地去找出可能的潛在威脅。

[註*3]：群體智能（SI）是分散的、自組織的系統的集體行為，自然或人為的，該概念普遍地被用於人工智能的作業中。這樣的概念是由由Gerardo Beni和Jing Wang於1989年在細胞機器人系統的背景下提出。

談到群體智能，必須先理解個體在群體中的行為而不是個體的孤立行為，提倡的事群體能完成單個智能體所不能完成的事。以蟻群覓食為例，螞蟻在搜尋食物和從食物源返回時，只要他們循著信息素濃度最高的痕跡，就能通過利用信息素找到通往食物源的最短路徑，這也構成了當年AlphaGo能夠擊敗棋王的關鍵因素。

PolySwarm的 CTO Paul Makowski 認為：

「現今的企業主要依賴防毒訂閱、動態威脅情報、配套式動態分析引擎等特定組合，來對付持續發展的網絡惡意活動。用戶必須考慮每個解決方案的優缺點，並依照自己的狀況選擇相對適合的組合。當前的市場模式不利於提供廣泛的威脅覆蓋的解決方案。」Makowski說道。

PolySwarm 將培育一個由數以千計由世界各地的資安專家分別開發「微引擎」（防毒引擎）設法分析新威脅，與現有的防毒軟體如卡巴斯基或賽門鐵克等運用傳統病毒簽名資料庫負責處理大眾常見的威脅，組成廣泛覆蓋的防毒生態系統。

其中 PolySwarm的市場參與機制「懸賞」，是用戶透過其端點的防毒軟體向 PolySwam 網絡發送「懸賞」請求，要求防毒引擎或微引擎對待確認「工件（artifacts）」的潛在威脅，提出是否為惡意攻擊的判斷。不只如此，市場機制設計為在提出判斷的同時，必須拿出相應的代幣賭注來支持其判斷的信心程度，避免任意的猜測，降低無效判斷產生的雜訊。「專家」開發的微引擎再做出正確判斷後獲得代幣獎賞，也能透過成功參與競爭來為自己建立威望。

有鑒於市場對資安人員需求的持續上升，透過區塊鏈的代幣經濟，獎勵對生態系統提出有效判斷而提供價值的參與者，PolySwarm 的市場設計使得全球的資安專家能夠不受地域限制參與病毒檢測競賽。

當安全專家倍提供合理的收入來源。市場經濟足以提供誘因時，誠實工作（相對於駭客攻擊）得以獲得不受限制的獎勵，專家們互相競爭使得互聯網更加安全。

病毒攻擊（木馬、勒索、間諜等）的趨勢不論數量與規模看似只增不減，企業對網絡威脅防護需求的上升，也代表著需要更多的資安從業人員更同加強防護，而這種眾包式的市場設計或許是面對現下威脅更有效的解決方法。