資安威脅朝側面、源頭進逼

在2019年一開始，我們發表的專題報導是今年的資安趨勢10大預測，技術編輯羅正漢和周峻佑針對資料外洩、物聯網、工業控制系統、身分識別、網路基礎設施、網站安全等重大議題，發表相關的事件回顧與未來展望，資安主筆黃彥棻針對法規遵循與資安認證的部份，提出精闢的分析，而我負責的主題，主要是軟體供應鏈與硬體安全。每一位作者都花了不少時間，耙梳2018年發生的資安新聞，因為2019年可能會面臨到的各種威脅，絕大多數應該都會基於過去出現的事件，而繼續蔓延、惡化，或是改頭換面再重新上陣、記取失敗教訓而演化成更隱匿、分散的狀態，當然也有可能徹底捨棄舊技倆，而採用顛覆的手法，從眾人意想不到的層面攻入。

當正面交鋒卻無法取得優勢時，旁敲側擊的確是許多駭客採取的手段。除了許多IT人員熟知的橫向移動（Lateral Movement），從攻佔合法使用者的電腦或網路、系統登入，逐漸靠近重要主機，針對進行線上交易的電子商務網站，也能進行「側面」攻擊，而非採取硬碰硬的方式破解。

例如，我們看到有惡意程式從網站信用卡交易的過程當中，側錄消費者的信用卡交易資訊，接著就能透過這些偷來的身分、帳號密碼、卡號，購買更多資料與惡意程式技術，獲得豐富的「裝備」，之後，再繼續發動攻擊、持續自我壯大。

這樣間接侵入的策略，讓我想到日本漫畫《Hunter X Hunter獵人》有一集劇情當中，兩位主角就以「從旁掉包」的方式，從側面突圍，順利從能力高強的敵人手中逃脫，因此，對駭客來說，這也是不正面衝突卻能奏效的作法。

而面對側面攻擊日益盛行的態勢，針對軟體供應鏈的攻擊事件近年來也不斷增加，簡單來說，在應用程式開發流程的「上下游」，都有可能面臨惡意程式的植入。這像是以前在地理課本讀到的河流侵蝕現象，除了側面侵蝕，也有向源侵蝕和向下侵蝕等兩種情況。就軟體安全而言，駭客朝向源頭與深層的方式進逼，也成為大勢所趨。

舉例來說，就漏洞濫用的威脅而言，防守方和攻擊方過往都從「成品」本身，也就是針對已經上線、發布出去的應用程式，予以審視，然而，現今的程式開發環境十分開放，駭客現在也開始盯上這個相對較不設防的脆弱環節，伺機動手，而這種從軟體開發過程就滲透進去的攻擊，的確也會增加整體防守的難度，因為戰線已不再只是正面衝突的最前緣，而是老早就埋伏在內部了，能在你毫不知情、毫無防備的狀態下，偷偷進行各種控制，例如，複製機密或個資、盜轉網路銀行存款，或是綁架個人電腦、伺服器，轉而攻擊他人網路服務。

而這種往源頭、底層深入的攻擊態勢，也讓我想到好萊塢電影駭客任務（The Matrix）三部曲當中，主角Neo努力回到所謂的萬物之源（The Source）的情節，當中暗喻了攻擊者除了針對末端的種種防禦機制與漏洞之餘，若能設法潛入原始程式碼（Source Code），也是顛覆現有防線界限的重大關鍵（反之亦然，但要確保這方面的安全，防守方須付出的代價也不少）。

整體而言，2019年的資安態勢仍是治絲益棼的局面，想要做好相關防護，對於治標和治本的手段都必須靈活運用，積極掌握各種突發狀況，隨時準備應變之餘，也要持續提升基本控制的能力，畢竟每一個環節都有出錯的可能性，而且，每一個接觸的使用者、設備，都有可能是他人冒名頂替，或是本身就懷抱著不良居心，在每個組織、機構都在面臨數位轉型的挑戰之際，該有的安全措施必不可少，該時時監控的功夫也不能省略。