在2019年一開始,我們發表的專題報導是今年的資安趨勢10大預測,技術編輯羅正漢和周峻佑針對資料外洩、物聯網、工業控制系統、身分識別、網路基礎設施、網站安全等重大議題,發表相關的事件回顧與未來展望,資安主筆黃彥棻針對法規遵循與資安認證的部份,提出精闢的分析,而我負責的主題,主要是軟體供應鏈與硬體安全。每一位作者都花了不少時間,耙梳2018年發生的資安新聞,因為2019年可能會面臨到的各種威脅,絕大多數應該都會基於過去出現的事件,而繼續蔓延、惡化,或是改頭換面再重新上陣、記取失敗教訓而演化成更隱匿、分散的狀態,當然也有可能徹底捨棄舊技倆,而採用顛覆的手法,從眾人意想不到的層面攻入。

當正面交鋒卻無法取得優勢時,旁敲側擊的確是許多駭客採取的手段。除了許多IT人員熟知的橫向移動(Lateral Movement),從攻佔合法使用者的電腦或網路、系統登入,逐漸靠近重要主機,針對進行線上交易的電子商務網站,也能進行「側面」攻擊,而非採取硬碰硬的方式破解。

例如,我們看到有惡意程式從網站信用卡交易的過程當中,側錄消費者的信用卡交易資訊,接著就能透過這些偷來的身分、帳號密碼、卡號,購買更多資料與惡意程式技術,獲得豐富的「裝備」,之後,再繼續發動攻擊、持續自我壯大。

這樣間接侵入的策略,讓我想到日本漫畫《Hunter X Hunter獵人》有一集劇情當中,兩位主角就以「從旁掉包」的方式,從側面突圍,順利從能力高強的敵人手中逃脫,因此,對駭客來說,這也是不正面衝突卻能奏效的作法。

而面對側面攻擊日益盛行的態勢,針對軟體供應鏈的攻擊事件近年來也不斷增加,簡單來說,在應用程式開發流程的「上下游」,都有可能面臨惡意程式的植入。這像是以前在地理課本讀到的河流侵蝕現象,除了側面侵蝕,也有向源侵蝕和向下侵蝕等兩種情況。就軟體安全而言,駭客朝向源頭與深層的方式進逼,也成為大勢所趨。

舉例來說,就漏洞濫用的威脅而言,防守方和攻擊方過往都從「成品」本身,也就是針對已經上線、發布出去的應用程式,予以審視,然而,現今的程式開發環境十分開放,駭客現在也開始盯上這個相對較不設防的脆弱環節,伺機動手,而這種從軟體開發過程就滲透進去的攻擊,的確也會增加整體防守的難度,因為戰線已不再只是正面衝突的最前緣,而是老早就埋伏在內部了,能在你毫不知情、毫無防備的狀態下,偷偷進行各種控制,例如,複製機密或個資、盜轉網路銀行存款,或是綁架個人電腦、伺服器,轉而攻擊他人網路服務。

而這種往源頭、底層深入的攻擊態勢,也讓我想到好萊塢電影駭客任務(The Matrix)三部曲當中,主角Neo努力回到所謂的萬物之源(The Source)的情節,當中暗喻了攻擊者除了針對末端的種種防禦機制與漏洞之餘,若能設法潛入原始程式碼(Source Code),也是顛覆現有防線界限的重大關鍵(反之亦然,但要確保這方面的安全,防守方須付出的代價也不少)。

整體而言,2019年的資安態勢仍是治絲益棼的局面,想要做好相關防護,對於治標和治本的手段都必須靈活運用,積極掌握各種突發狀況,隨時準備應變之餘,也要持續提升基本控制的能力,畢竟每一個環節都有出錯的可能性,而且,每一個接觸的使用者、設備,都有可能是他人冒名頂替,或是本身就懷抱著不良居心,在每個組織、機構都在面臨數位轉型的挑戰之際,該有的安全措施必不可少,該時時監控的功夫也不能省略。

作者簡介


Advertisement

更多 iThome相關內容