【资安周报第61期】自家下单平台遭DDoS攻击，防护费用竟要全民买单？

很多券商和金融业者在2月13日应该悄悄松了一口气，因为这一天，原本是冒名Armada Collective（西班牙无敌舰队）骇客集团宣称，要针对还没有支付7个～10个比特币赎金的券商，继续发动年后的第三波DDoS（分散式阻断式）攻击。

因为2月7日该集团的确有针对券商再度发动第二波的DDoS攻击，因此，不论是主管机关像是金管会、证期局、证券交易所和行政院资安处等，以及各大ISP业者，全部都不敢掉以轻心、严阵以待。直到2月13日股市收盘的下午一点半为止，金融业主管机关并没有接到任何遭到DDoS攻击的通报，大家才略为松一口气。这整件事情，最终可以视为Armada Collective的模仿犯，验证“发动Tb级大流量DDoS攻击的事件，从来没有发生过。”

根据金管会透露，全台79间券商中，总共有19间券商收到勒索信件，而iThome从金管会、证交所以及其他各个公开管道所搜集到的资讯，总共有13间券商遭到实际的DDoS攻击，不同券商面对这次攻击的态度，其实也是台湾券商对于资讯安全态度最真实的一次展现，但各界若不能从这起事件得到一些经验和教训，就完全浪费这次获得全国各界关注的资安事件可以带来的正面效益。

大型券商客户人数多，不敢忽略网络下单平台安全性

从这次受到影响的券商和更大范围的金融业者来看，骇客主要是攻击券商的网络下单平台。虽然根据金管会的统计， 网络下单包含手机 App的下单，已经超过整体下单金额的一半以上，按理来讲，既然网络下单是一个重要的下单平台，各家券商应该会相当重视平台的稳定与安全性。

事实上，对于大型券商来讲，的确会愿意将心力和资源放在网络下单平台的稳定度和安全性上，因为客户规模大，有许多投资理财具有高度自主性的投资者，也习惯透过网络下单平台下单，大型券商通常不会忽略相关的安全议题。

但对于中小型的券商而言，因为通常有配合的投资大户，这些大户基本上都是小型券商的顶级VIP，券商都会直接请这些大户到贵宾室下单，大户只需要下指令就会有专人服务，往往也会享有特殊的下单折扣。

因为这些大户的下单才是小型券商赖以生存的主要客户，对于这些中小型券商而言，多数使用网络下单都是“小额”的散户，面对多数券商都有网络下单服务而不得不跟进推出网络下单平台，但对小型券商而言，都只是聊备一格的下单管道而已，专人、大户的下单方式，才是小型券商最主要的营运模式。

金控的券商和大型券商都愿意投资DDoS防护

因为台湾券商有不同的产业结构，一般而言，从银行或金控为主的券商体系，整体的资安都会和银行以及金控绑在一起，基本的DDoS防护清洗都已经是这些券商营运的预设值，因为是以整个金控作为资安评估和规划的基础，所以，对于相关的资安投资相对具有比较大的投资报酬率。

以某金控为例，因为先前资讯部门才刚刚搬家，据了解，该金控也趁著搬家之际，将所有的网络核心路由器和各种网络安全设备等，也都趁机一并升级，而这类DDoS的流量清洗服务，也早就是金控资安服务的必需品之一。

这次该金控旗下的证券业者，虽然没有收到勒索信也没有遭到DDoS的网络攻击，但在第一波攻击事件发生后，在当天也立即请相关的网络设备业者到现场重新检视相关的网络安全性，以防成为下一波被锁定攻击的对象时，但无法有即时应变之道。

相较于以银行金控为主的券商，有比较完善的资安规划，另外一种以券商为主的业者，也多是从股市农历春节封关后，先后收到骇客勒索信件以及遭到DDoS攻击的受骇业者之一。

这些受骇业者中，有营业规模排名前十名的大券商，也有规模较小的券商。凭良心而言，多数的大型券商，在面对这类的DDoS攻击时，态度相对正面积极，即便这几年股市交易量逐年萎缩，券商的获利也不如以往，但多数的大型受骇券商除了有报警、通报外，也都会在第一时间寻求ISP电信业者的协助，设法导入DDoS流量清洗服务，以避免在第二波攻击来临后，无任何招架之力。

毕竟，这些大型券商除了营收规模大，最主要是这些券商的客户数也相对多，其中，更不乏是习惯使用网络下单的散户投资者，加上，金融是一种讲究“信任感”的产业，如果一间遭到骇客攻击威胁的券商，无法有任何应变之道，甚至最后只能双手一摊，对骇客的威胁竖起白旗投降的话，所有的散户投资人都将弃这样“不负责任”的券商而去。

小券商认为，政府应该义务协助解决DDoS威胁

多数受骇券商在面对这次的勒索信以及DDoS攻击时，大多展现合格的因应之道。但是，其中也有听闻，在十九间收到骇客勒索信的某一间小型券商业者，并不愿意支付导入DDoS流量清洗的费用，甚至认为，这应该是政府要帮忙付钱才是。

该小型券商业者表示，既然大规模券商遭到DDoS攻击已经是国安层级的议题，政府就应该要强制ISP电信业者，去协助这些受骇券商解决这类遭到DDoS攻击事件，“为什么券商还要自己付钱清洗DDoS攻击流量呢？”该小型券商说道。

虽然只传出有某间小型券商有这样的说法，该券商在坚持不支付流量清洗的费用下，也因为并没有所谓的第三波DDoS攻击而侥幸逃过一劫，但凭心而论，这种小型券商的心态十分可议。

这间小型券商面对自己的网络下单平台安全不愿意自己顾，有出事疑虑时，就回头要求政府务必出手相救，甚至觉得政府应该要出钱，也应该强迫ISP电信业者，要“免费”帮忙这些受骇券商业者度过难关。这种，“有钱自己赚，但出事政府就得帮忙”的贪小便宜心态，不仅是券商中的老鼠屎，更是人人得以诛之。”

假设真的有第三波的DDoS攻击时，该小型券商因为没有支付DDoS流量清洗费用，导致整个网络下单平台瘫痪、无力回天之际，是不是又要券商公会再度跳出来帮忙背书，对外宣称“券商网络下单平台出事，并不是券商资安做不好，一切都是因为骇客发动的DDoS攻击太强大”的错呢？

其实券商还是要面对一个无法忽视的议题就是，为什么只有800Mbps和2Gbps的DDoS攻击流量，就可以瘫痪台湾的网络下单平台？对券商而言，的确所有的对外带宽，都是为了维持日常的下单业务才购买的，面对这种DDoS攻击，业者不管买再大的带宽都不够的情况下，如何搭配好的流量管理措施，和流量清洗与SDN等服务，提供更稳定的网络服务，将是每一间券商的年度考验之一。

在肯定多数券商、主管机关和ISP业者愿意面对DDoS攻击带来的威胁，即便是熬夜加班，也都有做好应该有的因应对策，在这样的勒索威胁过后，也让台湾的券商有机会真正意识到，当券商提供越来越多网络服务时，包括如何因应DDoS在内的网络攻击，已经是每一间券商在落实更好的客户服务时，无法忽视的重点。