圖片來源: 

周峻佑攝

以各種強韌資安技術與防護措施為主軸的HITCON Pacific 2018大會,12月13日在臺北文創大樓舉行,針對因應時下的資安情勢,資深資安專家Shin Adachi認為,與其著重在如何防守,面對攻擊發生之後的恢復能力(Resilience)更為重要,若要做到,首先必須先做到我們應該做到的事情,藉此減少曝露在危險的機會,才能將防護資源集中因應難以預測的攻擊上。

基本上,有些攻擊事件已有前例或是徵兆可循,因此Adachi認為,企業能夠事先採取行動,免於受害。他舉了一本依據實際發生在1986年的駭客攻擊事件,並且於1989年出版的小說《杜鵑鳥的蛋》(The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage)為例,表示縱使隨著科技不斷進步,然而當時出現的駭客攻擊手法,我們卻仍然常會看到,類似這本小說的情節,在現今的環境中發生。

《杜鵑鳥的蛋》一書講述故事的內容,提及了駭客利用GNU Emacs上的movemail弱點,進行內部網路的滲透,進而取得LBL系統的管理者權限。然而,這是早在80年代出現的事件。

替代不安全機制的兩難,如何在彈性與安全之間取得平衡?

在強化身分驗證的流程中,多因素驗證(MFA)發展了多年之後,是現在相當普遍的做法,Adachi舉出社群網站Reddit今年6月遭駭的事件,因為採用了簡訊做為第2驗證程序,而讓駭客有機可乘,滲透並竊取Reddit部分用戶的資訊。但他也指出,美國國家標準技術研究所(NIST)早在事件發生的1年多前就強調,這種方式執行進階身分驗證具有資安風險,建議企業停止使用,因此,Adachi認為,Reddit若在得知NIST發表研究結果後,就開始著手防範,或許有機會逃過一劫。

在這種使用簡訊為多因素驗證的做法導致攻擊事件之後,難道改用Token驗證就會比較安全嗎?其實也不盡然。Adachi提到了8月底時,前臉書資安長Alex Stamos踢爆,Google推出的Token裝置Titan,該公司沒有開誠布公,這款產品並非自己生產,而是委由中國的飛天誠信公司(Feitian)製造,因此可能潛藏被植入後門的問題。雖然沒有直接的證據顯示,這些Token確實在製造過程中遭到竄改,不過Stamos認為,企業還是寧可謹慎一點,不要使用比較好。

而這種已經遭到揭露的資安風險,卻可能因為我們實務上提供彈性,延緩停用、替換較為安全的做法,導致這些問題長期存在,但難道沒有更好的做法嗎?Adachi以兩大瀏覽器業者在處理Symantec濫發憑證的問題為例,他們都計畫性於今年階段性停止信任該業者發出的憑證,其中,Mozilla基金會原本計畫Firefox 63完全停用相關憑證,但該版本10月推出時,基金會以用戶還沒有準備好為由,暫緩執行。導致使用Firefox的用戶,曝露在這個風險中1個多月,直到最近推出的64版,Firefox用戶才終於受到這樣的政策保護。

這樣的情況,Adachi認為並不完全是軟體廠商的事情,事實上企業長期採用特定版本軟體,並未意識到軟體生命周期將至,該時間點一過,這些軟體不再得到原廠支援,將會變得極為脆弱。像是網站常用的PHP,其5.6與7.0版,前者將被支援到今年的12月31日,而後者則是剛過生命周期,PHP網站不再維護,Adachi也詢問在場的聽眾,仍有不少人表示,公司網站還在使用上述版本的PHP軟體。

緊接在2020年1月,我們即將面對產品生命周期結束的功能或是軟體,還包含了老舊的TLS 1.0與1.1版,以及目前市占率最高的作業系統Windows 7等,Adashi認為,我們應該及早正視相關現象,並加以因應。不過,卻也可能因為廠商的緣故,讓人裹足不前,像是最近1809版Windows 10更新,出現用戶升級電腦資料遺失的情況。

然而,這樣的問題,我們應該歸咎是軟體業者的問題,還是其實只是我們沒有學到任何教訓?Adachi提出了勒索軟體為例,他認為事實上維持恢復力最好的方法,就是落實備份,如此一來,無論勒索軟體如何加密電腦裡的檔案,使用者不致因此就面臨要付錢給駭客,還是尋求資安專家拯救資料的窘境,而這樣道理,也適用於企業升級軟體上,即使過程中出現任何狀況,也能快速復原生產力。

知恥進乎勇,從攻擊事件裡學習與強化自身防護不足

Adashi認為,其實我們應該要從曾經發生過的事件裡,發現自己所缺乏的部分,進而增加企業自己的恢復能力。他以今年7月20日時,日本產業技術總合研究所(簡稱產總研或AISC)發表的攻擊事件報告為例,該單位自2017年10月,2度受到攻擊,而且,他們的系統管理員直到第2次攻擊出現後,在今年的2月才終於發現遭到駭客入侵。不僅電子郵件與雲端服務被駭,員工的憑證遭竊,內部伺服器資料也受到異常存取等。

因此,產總研的報告裡,也指出他們網路架構與管理的缺陷,並且該單位規畫要進一步加以強化的措施,包含了導入多因素身分驗證機制,網路隔離措施,增加內部網路通訊監控,以及強化委外廠商的管理,甚至重新檢討現有的緊急應變措施等等。Adashi認為,這樣公開單位遭到攻擊事件,並且提出改進的方法,避免墨守陳規,其實也是企業或組織增加自我恢復能力的關鍵。

雖然,在現實環境裡,我們無法百分之百防範攻擊事件,像是分散式阻斷流量攻擊(DDoS)、垃圾郵件、硬體出現的漏洞,以及人為疏失等等,也難以阻絕委外廠商和雲端服務業者出錯。尤其是企業許多的業務委外,以及日趨複雜的供應鏈,都是現在必須正視的趨勢,因此,Adashi說,企業也許要導入零信任的概念,並且做到前述我們應該做到的事情,從其他單位出現的攻擊事件裡,了解應該如何加以保護自己,這些都是企業想要增強恢復力的不二法門。

Adashi也引用了孫子兵法攻謀篇第三,強調企業資安攻防的心法上,能不輕易被駭客攻擊打倒,保持恢復力,還是要知己知彼才行。反之,則必然每戰必敗。


Advertisement

更多 iThome相關內容