今年臺灣資安大會規模更勝以往,在這次活動裡面,我對其中一個議題感受最為深刻,那就是內部威脅管控。在最後一天,有兩場課程著重在此,分別是由精品科技資安顧問陳伯榆的「資安是攻守交替後的完美結合」,以及國際產業安全協會台灣分會會長楊博裕的「外賊易擋、內賊難防:從史諾登案看內部威脅管理的盲點」。

在陳伯榆的分析裡面,他先從內部威脅的影響與來源談起,接著,透過三個層面來實際示範侵入狀況。首先是針對在內部環境可用來竊取與入侵的各種裝置,做了簡單的介紹,然後將測試的電腦接上Teensy這套USB開發板,來模擬USB鍵盤,讓作業系統以為只是接上鍵盤,而迴避電腦周邊裝置控管(如果單是禁用USB儲存裝置),但實際上,我們可從這裡執行指令,像是PowerShell、WMIC(WMI command-line)。

若是轉用USB Rubber Ducky的軟體彈頭來進行改寫,整合到Teensy上,即可執行許多惡意存取行為,因此,此種透過人機裝置介面(Human Interface Devices,HID)來進行實體滲透的手法,不可不防。

他提出的第二個例子,則是針對桌面與應用程式虛擬化這類VDI環境,探討進行滲透的可能性。雖然基於這樣的架構,理論上,使用者只能夠執行限定的應用程式,而無法觸及應用程式背後的系統與桌面環境,但其實單靠這樣的隔離,其實,在作業系統和應用程式的部份,還是有一些可乘之機,需特別當心。

例如,在微軟Office應用程式的使用上,因為可在開啟檔案時,可連帶執行Office VBA程式碼,因此,可先在其他電腦編輯DOC或DOCX檔,而置入可存取作業系統層次的程式碼,像是執行命令提示字元的執行檔cmd.exe,於是,當使用者登入企業的VDI環境、執行Word,並且開啟這個檔案時,就能藉此開啟命令提示字元,趁機從事其他不被允許的動作。

另一個情境是關於Windows的「相黏鍵」,原本是為了便利使用者的鍵盤操作,若是針對Shift、Ctrl、Alt、Windows等按鍵連按5下,就會跳出視窗來詢問你是否啟用這個功能。

但在VDI環境裡面,執行任何一支Windows圖形介面的應用程式,即可透過這種出人意表的方式,切換到作業系統的控制臺,然後再從上面路徑列,切換到虛擬機器硬碟的任何一個資料夾,並且打開Windows檔案總管,等於進入一般使用者不該操作的部分。

陳伯榆的第三個展示,則是透過可側錄電腦螢幕、內建記憶卡儲存能力的轉接線,在公司電腦受到公司監控的狀態下,透過這種方式,員工可將操作電腦畫面,透過這種方式擷取為圖檔,將不得外流的機密取出。

而楊博裕對於內部威脅管理的議題,則是以轟動全球的史諾登案為例,說明當前安全管理的迷思,並且呼籲各界,應從威脅來源與潛在傷害等兩個因素來全面衡量,確認是否做好相關的措施,而非基於刻板印象來判定敵友關係,而經歷史諾登案之後,我們應該學到的教訓是,不要低估內部威脅,對於效率與安全的取捨應該更為謹慎,否則我們可能會因為提升效率與成本節約,而在安全性的部份,付出難以想像的代價。

而造成這個後果的源頭,可能是你相當信任的部屬或同事,對方可能懷有不滿的動機,或者也有可能是在不知情的情況下,被他人利用,無論如何,這都會重重破壞企業內部信任。

作者簡介


Advertisement

更多 iThome相關內容