轉自 roamer
上週五在一個場合中,
被某單位長官問到:「為什麼這麼多單位通過了資安認證後,卻還是被黑得很慘。」
我當下的回答是:
「管理者與 技術人員常站在各自的角度去思考如何有解決問題,
在資安管理與資安技術上,往往各做各的,
無法有效的銜接,也因此產生了許多被忽略的 gap(間隙),
造成表面上看起來該做的都有做了,
但還是不斷被駭客給入侵的事實。」
事實上,除了上述回應外,
還 有一個很重要的觀點,
就是多數資安人員並沒有嘗試從駭客角度去思考,
而是從過去所受的正統教育方式去做正向思考的防禦,
而忽略了 其實~「駭客想得跟你不一樣」!
由於之前在一些場合也曾經分享過相關的內容,
所以趁著今天宅在家看道奇台灣第三戰的時候,
順 便整理一下並分享出來好了。
首先,駭客跟一般防守者最大的差異在於心態上的不同,
攻擊者的態度通常較為積極,
除 了訂閱一堆弱點通報與安全資訊外,
每天還會主動上各大駭客網站蒐集弱點資訊;
常常連到一個網站或使用某項功能時,
也會手癢地去稍 微測試一下。
而防守者呢?
不要說是每天蒐集資訊了!
我們可以看到一般企業的IT人員,
每個月微軟定時更新時,
就 開始在Plurk或其他社交網站上發表一堆的抱怨文,
每個月更新一次都嫌懶了,
難怪資訊更新的老是比攻擊者還慢!
除此之 外,
很多主事者不把資安當一回事也是造成這種心態差異的一個重要原因。
企業主:我每秒鐘幾十萬上下的,誰有那個閒功夫跟你搞資安。
這類型主事者常會誤以為 自己所雇用的IT人員,
就跟葉問一樣可以一個頂十個,
而希望他在執行系統管理、網路管理與系統開發等任務時,
順便肩負起資安的重責大任!
但資安畢竟是 個專業且複雜的領域,
就過去經驗而言,
這種忽視專業分工的下場,
往往會比較偏近於廖師父。
「攻擊者積極,防守者消極」的心態差異,
往往是造成攻擊者佔上風的主要原因。
一個明顯的 案例是「個資法」的推行,
雖然個資法尚未通過,
但其實可以看到好幾種因應個資法通過的地下經濟已經蠢蠢欲動,
甚至是已經開始運作 了!
但問過很多IT人員,
其實都還是抱持著「今年還不會過」的心態來因應個資法,
即便是資安廠商不斷push,多數企業仍是「以 不變應萬變」的心態來因應。
試想,一旦個資法通過,攻擊者已作好準備,
身為防守者的你,該如何抵擋呢?
第二,在資訊安全 理論中已經說到爛的木 桶理論也是一個問題點,
很多IT人員都聽過木 桶理論,但實際執行起來卻不是那麼一回事,
我們還是常可以在報章雜誌中看到部分單位在誇耀自己的某項防護機制有多安全,
但其他的 弱點還是存在阿?
駭客也沒必要這麼聽話地去針對你防護最強的地方發動攻擊吧!
站在攻擊的角度思考,
當然會選擇最脆弱的地方進行利 用阿!
每次看到新聞上出事的單位跳出來宣稱他們某項防護有多強大時,
其實我腦海中浮現的都是電影「少 林足球」中,
一邊喊著「我是金剛腿阿!」一邊被酒瓶砸頭的畫面。
最常見的這類型迷思,
大概 就是發生在SSL加密機制上了!
記得以前有個叫Secure web site的信賴標章,
其實這個信賴標章上面也很清楚地載明了他保證 的是加密的資料傳輸與SSL識別資料已確認,
不過卻 有好幾個單位的負責人員曾經這樣跟我說過:
「我們有Secure web site標章,所以網站很安全。」
事實上,SSL只保障了傳輸 過程中的連線不被竊聽與身份識別,
傳輸的兩個端點各自的安全性問題依舊存在著阿!
第三,風險的變遷
資訊安全風險會隨著時 間而改變,
過去被認定是安全的資訊環境,過了一段時間後也必須重新進行評估;
所以部分資安認證也都會要求一段時間後必須進行複評,
來 確保安全風險仍維持在可接受的範圍。
在電影九 品芝麻官中,
李公公曾質疑包龍星打算拿明朝的劍斬清朝的官?
電影賭神中,
高進先生 也證明了兩年前的過時產品是打不過上個月最新的西德科技。
遺憾的是,不少單位的防禦策略,
卻遠比這些電影中的搞笑橋段還不如,
誤把資安政策當成恆久不變的 定律,
老是沉浸在自己過時的防禦策略還不自知。
最常見的案例大概就是「防火牆的迷思」了!
在很多新聞事件中,都看到單位 的管理者或發言人,
對外駁斥遭入侵的事實並宣稱他們有防火牆,所以很安全?
(其實這也適用於木桶理論)
第四,商業邏輯問題
現 在網路太發達了,
幾乎所有交易都可以在網路上達成,
如這個和那個...(大 誤)
但很多功能在設計的流程中其實就已經發生了嚴重的邏輯問題,
即便在結案時做了許多嚴謹的安全防護,
但在整個運作的流程中本身 就存在了風險,
或是使用者可以透過合法的功能達到許多非法的目的!
像這類型的弱點,
是一般常用的自動化檢測方法所無法檢 測出的漏洞,
也因此常被不小心給忽略了,
但有經驗的攻擊者只要針對整個運作的流程做審視,
常常都能夠揪出一些潛藏的問題點。
部 分重要的金融機構與一些曾被媒體拿出來當指標的資安典範,
其實也曾存在過這類型問題,
只是有沒有被爆出來的差異罷了...(嘆)
第 五,未知弱點
其實這點對IT人員而言比較算是非戰之罪。
站在駭客的立場,發現一個新的攻擊手法或安全漏洞,
該不該公布常會是一個 難題。
公布的話可能是為了出名,或迫使廠商進行修補。
不公布的話,有可能是為了持續進行利用,
也可能是較正面的理由,
因 為弱點公布了,IT人員也不見得會馬上修,
但攻擊者一定會立刻嘗試進行利用!
(這又回應到前面的第一點了!)
一般IT人 員的防禦多半僅止於對已知弱點的防禦,
所以對未知弱點的防禦是非常脆弱的。
但透過間接的防禦與監控機制,
其實還是常可以發現到一 些異常的軌跡,
並在進一步分析後獲取有用的資訊。
(雖然通常都是在出事了之後...)
最後,當然不能忽略了「人」這個最 大的變數,
套句a1t大大的話,人是最難patch的弱點,
也是永遠存在的0-day,
所以透過社交工程的攻擊手法依舊歷久彌 新,
始終存在著很大的殺傷力!
當然還有很多攻擊者與防守者不一樣的視野跟觀點,
不過顯然我還不夠黑,
這 些就有勞各位黑客大大加以補充了!
上週五在一個場合中,
被某單位長官問到:「為什麼這麼多單位通過了資安認證後,卻還是被黑得很慘。」
我當下的回答是:
「管理者與 技術人員常站在各自的角度去思考如何有解決問題,
在資安管理與資安技術上,往往各做各的,
無法有效的銜接,也因此產生了許多被忽略的 gap(間隙),
造成表面上看起來該做的都有做了,
但還是不斷被駭客給入侵的事實。」
事實上,除了上述回應外,
還 有一個很重要的觀點,
就是多數資安人員並沒有嘗試從駭客角度去思考,
而是從過去所受的正統教育方式去做正向思考的防禦,
而忽略了 其實~「駭客想得跟你不一樣」!
由於之前在一些場合也曾經分享過相關的內容,
所以趁著今天宅在家看道奇台灣第三戰的時候,
順 便整理一下並分享出來好了。
首先,駭客跟一般防守者最大的差異在於心態上的不同,
攻擊者的態度通常較為積極,
除 了訂閱一堆弱點通報與安全資訊外,
每天還會主動上各大駭客網站蒐集弱點資訊;
常常連到一個網站或使用某項功能時,
也會手癢地去稍 微測試一下。
而防守者呢?
不要說是每天蒐集資訊了!
我們可以看到一般企業的IT人員,
每個月微軟定時更新時,
就 開始在Plurk或其他社交網站上發表一堆的抱怨文,
每個月更新一次都嫌懶了,
難怪資訊更新的老是比攻擊者還慢!
除此之 外,
很多主事者不把資安當一回事也是造成這種心態差異的一個重要原因。
企業主:我每秒鐘幾十萬上下的,誰有那個閒功夫跟你搞資安。這類型主事者常會誤以為 自己所雇用的IT人員,
就跟葉問一樣可以一個頂十個,
而希望他在執行系統管理、網路管理與系統開發等任務時,
順便肩負起資安的重責大任!
但資安畢竟是 個專業且複雜的領域,
就過去經驗而言,
這種忽視專業分工的下場,
往往會比較偏近於廖師父。
「攻擊者積極,防守者消極」的心態差異,
往往是造成攻擊者佔上風的主要原因。
一個明顯的 案例是「個資法」的推行,
雖然個資法尚未通過,
但其實可以看到好幾種因應個資法通過的地下經濟已經蠢蠢欲動,
甚至是已經開始運作 了!
但問過很多IT人員,
其實都還是抱持著「今年還不會過」的心態來因應個資法,
即便是資安廠商不斷push,多數企業仍是「以 不變應萬變」的心態來因應。
試想,一旦個資法通過,攻擊者已作好準備,
身為防守者的你,該如何抵擋呢?
第二,在資訊安全 理論中已經說到爛的木 桶理論也是一個問題點,
很多IT人員都聽過木 桶理論,但實際執行起來卻不是那麼一回事,
我們還是常可以在報章雜誌中看到部分單位在誇耀自己的某項防護機制有多安全,
但其他的 弱點還是存在阿?
駭客也沒必要這麼聽話地去針對你防護最強的地方發動攻擊吧!
站在攻擊的角度思考,
當然會選擇最脆弱的地方進行利 用阿!
每次看到新聞上出事的單位跳出來宣稱他們某項防護有多強大時,
其實我腦海中浮現的都是電影「少 林足球」中,
一邊喊著「我是金剛腿阿!」一邊被酒瓶砸頭的畫面。
最常見的這類型迷思,
大概 就是發生在SSL加密機制上了!
記得以前有個叫Secure web site的信賴標章,
其實這個信賴標章上面也很清楚地載明了他保證 的是加密的資料傳輸與SSL識別資料已確認,
不過卻 有好幾個單位的負責人員曾經這樣跟我說過:
「我們有Secure web site標章,所以網站很安全。」
事實上,SSL只保障了傳輸 過程中的連線不被竊聽與身份識別,
傳輸的兩個端點各自的安全性問題依舊存在著阿!
第三,風險的變遷
資訊安全風險會隨著時 間而改變,
過去被認定是安全的資訊環境,過了一段時間後也必須重新進行評估;
所以部分資安認證也都會要求一段時間後必須進行複評,
來 確保安全風險仍維持在可接受的範圍。
在電影九 品芝麻官中,
李公公曾質疑包龍星打算拿明朝的劍斬清朝的官?
電影賭神中,
高進先生 也證明了兩年前的過時產品是打不過上個月最新的西德科技。
遺憾的是,不少單位的防禦策略,
卻遠比這些電影中的搞笑橋段還不如,
誤把資安政策當成恆久不變的 定律,
老是沉浸在自己過時的防禦策略還不自知。
最常見的案例大概就是「防火牆的迷思」了!
在很多新聞事件中,都看到單位 的管理者或發言人,
對外駁斥遭入侵的事實並宣稱他們有防火牆,所以很安全?
(其實這也適用於木桶理論
)第四,商業邏輯問題
現 在網路太發達了,
幾乎所有交易都可以在網路上達成,
如這個和那個...(大 誤)
但很多功能在設計的流程中其實就已經發生了嚴重的邏輯問題,
即便在結案時做了許多嚴謹的安全防護,
但在整個運作的流程中本身 就存在了風險,
或是使用者可以透過合法的功能達到許多非法的目的!
像這類型的弱點,
是一般常用的自動化檢測方法所無法檢 測出的漏洞,
也因此常被不小心給忽略了,
但有經驗的攻擊者只要針對整個運作的流程做審視,
常常都能夠揪出一些潛藏的問題點。
部 分重要的金融機構與一些曾被媒體拿出來當指標的資安典範,
其實也曾存在過這類型問題,
只是有沒有被爆出來的差異罷了...(嘆)
第 五,未知弱點
其實這點對IT人員而言比較算是非戰之罪。
站在駭客的立場,發現一個新的攻擊手法或安全漏洞,
該不該公布常會是一個 難題。
公布的話可能是為了出名,或迫使廠商進行修補。
不公布的話,有可能是為了持續進行利用,
也可能是較正面的理由,
因 為弱點公布了,IT人員也不見得會馬上修,
但攻擊者一定會立刻嘗試進行利用!
(這又回應到前面的第一點了!)
一般IT人 員的防禦多半僅止於對已知弱點的防禦,
所以對未知弱點的防禦是非常脆弱的。
但透過間接的防禦與監控機制,
其實還是常可以發現到一 些異常的軌跡,
並在進一步分析後獲取有用的資訊。
(雖然通常都是在出事了之後...)
最後,當然不能忽略了「人」這個最 大的變數,
套句a1t大大的話,人是最難patch的弱點,
也是永遠存在的0-day,
所以透過社交工程的攻擊手法依舊歷久彌 新,
始終存在著很大的殺傷力!
當然還有很多攻擊者與防守者不一樣的視野跟觀點,
不過顯然我還不夠黑,
這 些就有勞各位黑客大大加以補充了!
發表文章
0 意見: