攻擊與防禦思維

看完 Roamer 大大的「駭客想得和你不一樣！」一文，有頗深的感觸。

「為什麼這麼多單位通過了資安認證後，卻還是被黑得很慘。」
首先「通過資安認證」跟「被黑得很慘」沒有太大關係，沒有通過驗證的單位也有沒被黑過的。怎解釋呢？我想得從資安認證的目地說起了。絕大部分資安認證的目的是為了「絕對安全」嗎？是真的為了把「資安做好」嗎？但是，通過認證後卻都異口同聲的說：我們的資安防護很安全。

突然想起馬雲的一句話：「西方人的智慧，是看見別人看不見的東西；東方人的智慧，是看見當作沒看見。」

這邊大概整理一下 Roamer 大大的：

一、「攻擊者積極，防守者消極」
這點是極重要的一環，也是非常貼近現實的。在「我不是教你使詐」一文中就提及了，每年攻方都有大補丸，較於防守方或 IT 人員默默不聞或遮耳閉眼，兩相比拼，一漲一消，高下立判。
況且，消極攻擊者只要學會一、兩招，就能吃遍天下了，掛馬的還是玩掛馬、DDoS的還是慣用DDoS、偷資料的還是默默協助異地備援、惡意郵件攻擊的仍舊發著釣魚郵件、竄改網頁的仍舊樂此不彼地爭奪排名。
對於防守者來說，就得承受玲瑯滿目、五花八門的招數，充斥了各種威脅與損失。
消極的攻擊，就要積極的防守。攻擊者若積極，哪防守的該如何呢？

二、「木桶理論」
這是個很爛的理論，坦白說我不太喜歡，且它會讓人有誤解。或許「木桶比喻」、「木桶概念」比較恰當。因為用「理論」是必須很嚴謹的，木桶的容器根本是不可能把水保護好的，水還會蒸發掉，木片有毛細孔，即便木板密封，水還是會不見，當把水放到木桶中保護，根本就是個錯誤，也讓許多人對其有誤解。做資安第一件事就是要慎選容器，否則，疊床架屋的結果會很慘，再多的緩和、補救、強化、防禦措施都沒有用的。聽說，現在很多人還希望大家把水放到雲端裡，當然不是不行，但是不是所有的水都要放到雲端呢？慎思。

三、「風險的變遷」
這跟第一點是大致相同的，正因為不積極，當然也就更不會注意風險的變化，還有的甚至存在防火牆無敵論、入侵防護神化論，直到被打到痛處。
外在風險變化，通常也是防禦調整重點，如何掌握花三分力氣，得到七分功效，在於你的敏感與即時防禦調整。
另外，區分不同輕重緩急等級的安全區域也是很重要的一個防禦觀念。把七分的力氣花在重點區域上，來求得九分九的安全性，這是快速有效率的一個方式。上軌道後再慢慢增強防護力道。
重點防禦絕對不是資安速成，否則，一不小心留下其他路或通道，哪，後果不堪設想。

四、「商業邏輯問題」
這類問題主要是「人」疏忽造成的問題，也得靠「人」來發現問題。所以主要的問題就是「為何有人會造成這問題」、「誰會利用這問題」，從這兩方面著手通常可以獲得解決。
但是，要徹底解決確不太容易，像是一些交易平台(B2C、C2C)衍生的詐騙問題，光靠資料流的層面是無法解決的，還需要金流、物流方面的配合，但這已經橫跨好幾家公司了。或許，還得要法令的配合才行。

五、「未知弱點」

這點，不可否認是很艱困的一點。重點在於「未知弱點揭漏」的時刻，相關單位是否有足夠的敏感度能夠知悉，或收到一手訊息。有時即使知道問題，也無法予以關閉系統，因為有營運或其他考量，畢竟 IT 往往是支援單位，IT 也只能＠＊％＃＆。
關閉系統或停用該功能，通常可以達到有效的因應。否則，IT 往往也只能先施以緩和、修補措施，設法最終再完成強化、防禦作業了。

這裡再殘酷的補上兩腳：

六、「資安打手」
有些單位的資安工作從來不是應付外來攻擊者的，是用來對付內部異己人士、砸自己人腳、凸顯自我官威的...資安亂象，族繁不及備載。或許前面一句話寫得太重，應該說七分對內三分對外吧。政治角力介入凌駕專業之上，這邊就不敘述太多，打開電視就一堆了。

七、「有發生啥事嗎」
我不認為都是以上的原因，通常一再被黑跟這篇文講得差不多。甚至，根本也沒探究問題的成因，只把問題的表象做到復原工作；外面可能全世界都知道他們家出事了，可是他們家可能無人知悉，或只有該系統管理者知道；系統管理者怕究責就自我進行復原，但，根本問題仍然沒解決。最後，發生啥事了嗎？

原來，這才是最高智慧。