2010年4月18日 星期日

攻擊與防禦思維

看完 Roamer 大大的「駭客想得和你不一樣!」一文,有頗深的感觸。

「為什麼這麼多單位通過了資安認證後,卻還是被黑得很慘。」
首先「通過資安認證」跟「被黑得很慘」沒有太大關係,沒有通過驗證的單位也有沒被黑過的。怎解釋呢?我想得從資安認證的目地說起了。絕大部分資安認證的目的是為了「絕對安全」嗎?是真的為了把「資安做好」嗎?但是,通過認證後卻都異口同聲的說:我們的資安防護很安全。

突然想起馬雲的一句話:「西方人的智慧,是看見別人看不見的東西;東方人的智慧,是看見當作沒看見。」

這邊大概整理一下 Roamer 大大的:

一、「攻擊者積極,防守者消極」
這點是極重要的一環,也是非常貼近現實的。在「我不是教你使詐」一文中就提及了,每年攻方都有大補丸,較於防守方或 IT 人員默默不聞或遮耳閉眼,兩相比拼,一漲一消,高下立判。
況且,消極攻擊者只要學會一、兩招,就能吃遍天下了,掛馬的還是玩掛馬、DDoS的還是慣用DDoS、偷資料的還是默默協助異地備援、惡意郵件攻擊的仍舊發著釣魚郵件、竄改網頁的仍舊樂此不彼地爭奪排名。
對於防守者來說,就得承受玲瑯滿目、五花八門的招數,充斥了各種威脅與損失。
消極的攻擊,就要積極的防守。攻擊者若積極,哪防守的該如何呢?

二、「木桶理論
這是個很爛的理論,坦白說我不太喜歡,且它會讓人有誤解。或許「木桶比喻」、「木桶概念」比較恰當。因為用「理論」是必須很嚴謹的,木桶的容器根本是不可能把水保護好的,水還會蒸發掉,木片有毛細孔,即便木板密封,水還是會不見,當把水放到木桶中保護,根本就是個錯誤,也讓許多人對其有誤解。做資安第一件事就是要慎選容器,否則,疊床架屋的結果會很慘,再多的緩和、補救、強化、防禦措施都沒有用的。聽說,現在很多人還希望大家把水放到雲端裡,當然不是不行,但是不是所有的水都要放到雲端呢?慎思。

三、「風險的變遷」
這跟第一點是大致相同的,正因為不積極,當然也就更不會注意風險的變化,還有的甚至存在防火牆無敵論、入侵防護神化論,直到被打到痛處。
外在風險變化,通常也是防禦調整重點,如何掌握花三分力氣,得到七分功效,在於你的敏感與即時防禦調整。
另外,區分不同輕重緩急等級的安全區域也是很重要的一個防禦觀念。把七分的力氣花在重點區域上,來求得九分九的安全性,這是快速有效率的一個方式。上軌道後再慢慢增強防護力道。
重點防禦絕對不是資安速成,否則,一不小心留下其他路或通道,哪,後果不堪設想。

四、「商業邏輯問題」
這類問題主要是「人」疏忽造成的問題,也得靠「人」來發現問題。所以主要的問題就是「為何有人會造成這問題」、「誰會利用這問題」,從這兩方面著手通常可以獲得解決。
但是,要徹底解決確不太容易,像是一些交易平台(B2C、C2C)衍生的詐騙問題,光靠資料流的層面是無法解決的,還需要金流、物流方面的配合,但這已經橫跨好幾家公司了。或許,還得要法令的配合才行。

五、「未知弱點」

這點,不可否認是很艱困的一點。重點在於「未知弱點揭漏」的時刻,相關單位是否有足夠的敏感度能夠知悉,或收到一手訊息。有時即使知道問題,也無法予以關閉系統,因為有營運或其他考量,畢竟 IT 往往是支援單位,IT 也只能@*%#&。
關閉系統或停用該功能,通常可以達到有效的因應。否則,IT 往往也只能先施以緩和、修補措施,設法最終再完成強化、防禦作業了。

這裡再殘酷的補上兩腳:

六、「資安打手」
有些單位的資安工作從來不是應付外來攻擊者的,是用來對付內部異己人士、砸自己人腳、凸顯自我官威的...資安亂象,族繁不及備載。或許前面一句話寫得太重,應該說七分對內三分對外吧。政治角力介入凌駕專業之上,這邊就不敘述太多,打開電視就一堆了。

七、「有發生啥事嗎」
我不認為都是以上的原因,通常一再被黑跟這篇文講得差不多。甚至,根本也沒探究問題的成因,只把問題的表象做到復原工作;外面可能全世界都知道他們家出事了,可是他們家可能無人知悉,或只有該系統管理者知道;系統管理者怕究責就自我進行復原,但,根本問題仍然沒解決。最後,發生啥事了嗎?

原來,這才是最高智慧。

5 則留言:

Alex 提到...

你的結論很有意思,我有幾點想法也提供給您作為參考:
1.木桶理論-水會蒸發其實不也代表員工流動性很高,或是未做好外包廠商的要求與管理,所造成機敏資訊的外洩呢,畢竟這第八層防禦我還沒看到做好的,而這也是很現實,且大家卻很避諱談的問題。
2.為什麼這麼多單位通過了資安認證後,卻還是被黑得很慘-我想最大的原因是,大多數企業未有專職的資安人員,而資訊安全和一般系統一樣都是需要設計與維護的,大多數這樣的工作責任都交給不專業的人去負責與執行,否則又是外包出去,我想這樣的現實問題去104查閱一下就可以知道這樣的人力需求狀態,而政府與金融體系的態度更是如此。
3.新版個資法擺在立法院多久了,從這裡就可以看到政府對於資訊安全的態度如何,若政府不帶頭開始作,底下這些企業又如何會重視資安呢,在各國都在建立專職的資安單位時,中華民國政府又作了什麼呢?
4.很多後門不也是程式設計師無意間創造與發展出來的嗎?很多單位為了專案進度,犧牲掉這一塊的大有人在,而這些公司又是專門承接各種外包標案,加上在資安部分驗收僅止於報告,有多少人驗收時會去測試或是有能力去驗收資安這一塊呢?
5.從一個國家與社會對資訊安全人員的需求與法令要求,即可知道這個國家對於資訊安全的防護能力,期望這個世界依舊美麗,世界依然和平。

Crane_Ku 提到...

嗨!!張貼意見有審閱機制,讓您貼了好幾次文。因為,老是有廣告的張貼,應該是 Bot 自動化的機制吧!所以設了審閱機制。

roamer 提到...

其實「為什麼這麼多單位通過了資安認證後,卻還是被黑得很慘」在立論上就有問題了,只是也不好當面吐臭罷了。
通過資安認證只代表達到了及格、勉強可接受的程度,跟所謂的安全還有很大一段距離,這點不管在證照或是驗證上都相同,只可惜太多單位習慣為驗證而驗證了,連要達到及格標準都得靠這種近似作弊的方式來達成,哪來的安全性可言...XD

ps.感謝Crane大大補充,我可以把這篇文章的Link加到我的本文中嗎?^Q^

Crane_Ku 提到...

Roamer大大,盡情服用吧~~

Gary 提到...

根據ISO 27000一系列的規範,通過其認證,充其量不過是代表該 "認證範圍" 有相關資安制度且持續運作。

因此,不能表示及格、勉強可接受的程度,跟所謂的安全更是沒有絕對關連性。

另外,請特別注意"認證範圍",媒體總以XX機關/OO公司通過認證,也許其範圍僅限於某一機房又或者某一系統,通常不是整個機關或公司。