反制網路攻擊鹹豬手新思維

最近有藝人因主持某公司尾牙而被老闆言語騷擾，掀起一波性騷擾議題的重視，若對照到企業資安防護的領域，這讓我聯想到，惡意軟體或駭客在滲透或攻入目標所在環境前的窺伺、試探之舉，同樣是不當行為，我們仍拿不出好辦法來杜絕。

過往我們只能處於被動的態度，需大費周章地偵測，才有辦法察覺可疑行徑；若運氣好、早期發現，還來得及圍堵與修補，若是運氣差，可能要等到被攻佔、受到破壞之後，在收拾殘局之際，就算能找到攻擊路徑、罪魁禍首，但傷害早已造成，只能亡羊補牢，也拿他們沒辦法，僅能期許自己持續改善資安，下次別再中招。

但這樣只能挨打、無法有效反制的局面，也讓資安人員疲於奔命。雖然大家都知道「預防勝於治療」，但再怎麼改良，仍舊受制於已知、未知威脅的處理，但終究無法跳出「刺激與反應」的輪迴，攻擊方一旦出招，不論是奇招或爛招，防守方都必須設法回應或消解，而關於這樣的攻守戰略思考，若到極致，大概就像金庸小說《笑傲江湖》描述的獨孤九劍要旨「料敵機先」，若無法如此，至少要做到融會貫通、靈活運用招術，讓對方無跡可尋、無隙可乘，能制人卻不為人所制。

雖然金庸也提到此劍法「有進無退！招招都是進攻，攻敵之不得不守，自己當然不用守了」，但對於企業資安防護實務而言，就不一定適用，畢竟我們的反制作為，純粹只是為了「止戈」，安穩地讓企業可以維持日常營運，不是為了要鬥到你死我活的地步，企業也不可能特地培養或雇用網軍來鬥垮攻擊者。而這也是當前的資安防護，難以扭轉不對稱局面的原因之一，因此，滲透行為、攻勢一旦出現，處於事中的我們，只能設法減緩（mitigation）或是矯正（remediation），設法讓攻擊失效，如此，或許能做到減災，直到對方放棄為止。

沒有其他辦法嗎？在笑傲江湖裡，金庸也恰巧寫到身為弱勢者的門派，也有其賴以生存於武林的武功。而這些描述，恰巧與欺敵/誘捕系統（Deception）的防護作法有關。

透過模擬伺服器與端點設備的誘餌，以及設置合法使用者不會去存取的本機電腦資料夾、網路共享磁碟、分散式檔案系統做為陷阱，一旦攻擊者進入內部網路初期，開始探查、窺伺這些電腦，以及整體環境的狀態與架構時，由於對方並不清楚防守方的虛實與底細，有很大的可能性會觸碰誘餌而露出馬腳，接下來，即可進行阻擋、減低連網速度、隔離、發出警示。

而在小說裡面，金庸也用旁人觀點來點出弱勢者為何是不好欺負的。他們形容這樣的武功要訣是「綿裡藏針」──面對藏有鋼針的一團棉絮，若你輕輕觸碰，仍安然無恙，但如果你用力一捏，棉絮裡的鋼針就會刺到手，手越用力捏，你也會被刺得越深、傷得越重。另外，金庸也提到，這種武功「綿密有餘、凌厲不足」，但破綻極少，守禦很嚴，卻偶爾會突然發出攻勢。而上述作法，或許更合乎當前企業資安防護的要求，因為面對威脅如果一味退讓，只會讓對方得寸進尺，的確應偶露鋒芒，產生嚇阻力，若壞人仍執意進犯，就使其陷入進退兩難局面。

關於利用誘餌與陷阱來偵測敵人動向的作法，我還想再提一下日本漫畫《獵人Hunter x Hunter》也有類似情節，盜賊集團幻影旅團的成員庫嗶以唸能力具現出10棟大樓，混淆主角們的追蹤之餘，若他們進入虛擬的大樓探查，也會被旅團察覺。

就資安攻防策略而言，兵不厭詐的確是守方過去較欠缺的思維，企業其實可以研究看看。事實上，我們都知道惡意軟體或駭客會掩蓋行蹤、設法滲透到攻擊目標的所在環境，但對於防守方而言，沒人規定只能兵來將擋、等挨打之後再設法復原，企業仍可故布疑陣、誘敵深入，就目前市面上的資安解決方案而言，有些廠商已有不錯成果，在建置成本上，也提出看來可行的架構，有望成為另一道深化現有資安防禦層面的新環節。