臉書安全長Alex Stamos在第20屆黑帽駭客大會。(攝影/黃彥棻)

許多資安研究員花費全部的心力,針對刁鑽的零時差漏洞作研究,也有許多資安和IT人員認為,有能力破壞一個完整系統的駭客,才是真正能力高超的資安高手。

但是,對於社群媒體臉書的安全長(CSO)Alex Stamos而言,臉書和多數企業面臨的資安困境是一樣的,「日常系統調校出錯對企業造成的風險,其實比零時差漏洞對企業帶來的風險更高。」Alex Stamos在第20屆黑帽駭客大會開場演講中如此強調。

Alex Stamos表示,過去20年來,各種資安攻擊手法和威脅變得更多樣性,要對抗如此多樣性的資安威脅,也必須培育更多樣性的資安人才來因應。

他不僅鼓勵更多資安研究人員站出來,可以針對資安防禦作更深入的研究,畢竟,「要能有效的防守,就必須要理解駭客如何攻擊、如何利用各種漏洞。」他說,臉書更是提供了100萬美元的網路防禦獎金( Internet Defense Prize),希望可以鼓勵更多的資安研究人員,在網路安全防禦的領域上,做更多具有原創性的研究。

設定錯誤對企業帶來的傷害遠大於零時差漏洞

Alex Stamos表示,黑帽駭客大會過去20年來,揭露了許多資安漏洞,也促進許多資安交流,但他認為,要如何面對下一個20年的資安威脅,並不是專注許多刁鑽難解的攻擊手法,「平常絕大多數對企業帶來的傷害,往往是來自最平常無奇的簡單問題。」他說。

他舉例,當使用者在臉書、銀行以及賭博網站上,都使用相同的帳號及密碼時,只要其中一個,像是賭博網站的帳號密碼遭到駭客外洩,甚至是賭博網站,直接在黑市販售使用者帳號密碼時,駭客就可以在其他網站,輸入所取得的相同帳號密碼,進行資訊拼圖,進一步來取得使用者更多的身分資料,達到身分竊取的目的。

Alex Stamos更直言,在黑市中,甚至會同時有十多名駭客,設法接管某一個使用者的帳號密碼,更可見身分竊盜的熱門程度。

Alex Stamos表示,雖然零時差漏洞對企業帶來不少實質傷害,但在現實世界的情況卻是,每天都有數千人面臨身分竊盜的資安威脅,這樣的傷害其實遠遠大於零時差威脅帶來的衝擊。

簡單的設定問題衍生的威脅,也可能遠比刁鑽的零時差漏洞的威脅更大,像是雲端服務設定錯誤就是其中一例。

早在10年前就有公有雲服務,很多業者利用虛擬化的技術,提供安全的公有雲服務,但許多企業的IT人員卻宣稱:「這些雲端公司帶來的基礎建設即服務(Infrastructure-as-a-Service)是不安全的、不利企業使用。」

實際上,Alex Stamos認為,對於想用雲端服務的企業而言,要面臨的資安問題,其實是配置錯誤(Configuration Mistakes)和脆弱的憑證管理(Poor Credential Management)議題,往往不是這些雲端公司所使用的虛擬化技術的漏洞問題。但過去十年,這種「公有雲服務不安全」的誤解,讓許多企業錯失讓系統上雲端,可以對公司帶來發展的機會;對公司資安人員而言,則是花過多心力解決被過度強調的資安議題。

雖然沒有完美、百分之百安全的資安解決方案,但已有許多看來不完美的資安解決方案,仍然可以讓這個世界變得比較安全,因此,Alex Stamos認為,要解決問題最好的方式就是,不管是什麼樣的資安解決方案,就是打造一套標準化的作業程序,讓每一個應該有的設定和步驟都確實到位,就可以發揮這套資安解決方案最大的效能。

解決資安問題,要從防禦性資安研究和多元化人才下手

近年來,許多人對於有能力入侵、破壞系統的駭客,我們很容易陷入一種情境就是,認為這些有破壞系統能力的人是比較聰明的人。

但事實上,Alex Stamos並不認同這樣的觀點,他指出,有能力找出系統漏洞的人,往往具有分析複雜系統的思惟和能力,但這並不意味著,有能力找出系統弱點的人,就比打造這個系統的人聰明,甚至於,當這些破壞系統的人,如果在同樣的限制中,不見得有能力和打造這套系統的人一樣,可以打造出這麼一套完善的系統。

他也進一步表示,不論是透過企業內部或外部的溝通,都不會是因為找到更多的軟體漏洞,而使得這套軟體變得不安全,反而是要透過打造一套更彈性的架構、減少駭客攻擊接觸的介面,甚至於透過寫程式的技巧,以降低軟體的不安全性。

為了解決這樣的資安問題,Alex Stamos認為,要從防禦以及多元性兩方面下手。他表示,有好的防禦一定要先懂得什麼是有效的攻擊,因此,不論是黑帽駭客大會或者是其他地方的發表內容,都有助於我們增進對系統的了解,可以了解系統哪邊不安全,未來可以進一步打造更安全、更可信任的系統。

只不過,Alex Stamos表示,目前防禦領域的弱點和展示相關的資安研究,研究者少、相關的獎勵也少,為了鼓勵更多人願意投入防禦領域的資安研究,所以臉書更宣布了一項高達100萬美元的獎金「Internet of Prize」,希望可以吸引更多人一起參與資安防禦的研究。

「除了防禦之外,多元化人才的問題,也是資安社群應該要共同面對的議題。」Alex Stamos說道。他指出,資安防禦不只是技術上的防禦。

臉書日前,也推出一個捍衛數位民主專案(Defending Digital Democracy Project),就是透過和外界的合作,來確保世界各國民主投票機制的安全性,並在美國兩黨及哈佛大學貝爾中心(Belfer Center at Harvard University)的合作下,和許多會員分享民主進程中,更多關鍵領域的分析資訊。

最終的目標就是希望,透過這樣的分享機制,有助於協助這些國家、組織,進一步打造可以透過一連串和不同組織彼此之間對話的機制,藉此了解並解決彼此對於安全的需求,做到直接分享相關資安資訊和內容的機制。

要實現資安產業確保安全的目標,要保護讓這個世界更安全,需要更多元化、不同背景、不同思惟模式的人才,也要讓他們發揮應有的潛力。

所以,臉書在資安教育課程上有大幅的投資,不僅贊助了CTF搶旗攻防賽(Capture the Flag)及黑客松(Hackathons),也和一些r00tz Asylum以及CyberPatriot等年輕人的組織合作,提供更多資安基礎課程和相關的體驗。

除此之外,臉書也和GodePath合作,針對包括紐約市立大學、霍夫斯特拉大學、梅里特學院、密西西比州立大學、加州大學聖貝爾納迪諾和維吉尼亞理工學院等單位,推出網路安全相關的課程,希望吸引更多學生對資安有興趣,也會提供相關的實習機會,等他們畢業後,也會提供相關的全職工作機會給這些學生。

除了讓多元化的人才可以成為下一代網路安全人才的一份子是重要的事情之外,另外一件非常重要的事情就是,也必須要設法讓現在已經在資安業界和社群的人才,可以繼續留下來,那就必須要能夠打造一個開放並歡迎更多人共同參與的環境,讓更多不同多元化人才和多元觀點的人願意留下來,並且獲得應有的尊重。

Alex Stamos表示,現在我們有機會讓下一個20年發展的更好,除了發展更安全的技術確保人們過的更安全外,臉書也願意扮演拋磚引玉的角色,讓防禦性的資安研究以及多元化的人才可以受到重視並獲得好的發揮。


Advertisement

更多 iThome相關內容