雖然企業相當成功地隱瞞了它們不時遇到的網路攻擊,這種攻擊的頻率和嚴重程度無疑正與日俱增。針對網路保安人員的匿名調查顯示,企業如果不認真做網路滲透測試的代價非常可觀,而且正愈來愈大(以金錢和時間損失衡量均如此)。
因為這種攻擊愈來愈多,而且引起企業和其他組織高層的注意,美國的網路安全支出近年暴增。在二○一四財政年度,美國政府的網路安全支出達一百二十七億美元,而政府要求的二○一六年度撥款為一百四十億美元,估計到二○二○年此類支出每年將增加逾六%。在此同時,美國民間部門的網路安全支出二○一四年達七百一十一億美元,到二○一六年估計將增至約八百六十億美元。
因應這問題,企業除了以內部的典範做法改善網路安全外,也愈來愈重視紅隊的弱點探查作業。這種作業人稱「滲透測試」(penetration tests或pen tests),由「白帽」駭客執行。與白帽駭客相對的是「黑帽」駭客,後者往往是帶著惡意擅自侵入目標組織的電腦網絡和軟體。這種區分可能過度簡化了實際情況,因為所有的頂尖白帽駭客起初都做過黑帽駭侵,後來才把這種活動變成合法的職業。
駭侵與其說是科學,不如說是藝術,因為駭客使用的方法和戰術主要取決於個人的背景和技能。資深白帽駭客估計,如果你請兩名駭客找出某個網站的所有安全弱點,他們找到的弱點大概只有一半相同。如果叫他們檢視軟體原始碼,他們找到的相同弱點會更少。駭客的資歷和背景相當多元,滲透測試人員並無公認的行業標準,但有「道德駭客認證」(Certified Ethical Hacking):只需要上五天的課,通過一個四小時、一百二十五題的考試,便能取得這資格。在滲透測試界,幾乎所有知名高手都認為這項認證非常公式化,提供的訓練顯然不足和過時。
駭客攻擊的情況,某程度上可以藉由觀察駭客會議的趨勢來了解。駭客會議曾經只是少數駭客展現自身技術、建立名聲和培養一種社群感的場合,但這種會議的數目和出席人數近年均大增。但是,長期出席的人表示,這些會議已變得愈來愈平淡乏味,因為上台報告的人總是在描述他們的最新駭侵特技,希望得到媒體的報導,而不是誠心希望分享有用的資訊。另一個原因,是「零日攻擊」的市場大有成長;零日攻擊基本上就是尚未揭露或目標組織尚未察覺的駭侵。以前駭客會在同業會議上炫耀他們最了不起的駭侵,如今則多數會保持沈默,把這種資訊賣給易受攻擊的公司或對此有興趣的政府機構或犯罪集團。零日攻擊市場非常不透明,但可能有用的駭侵估計可賣四萬至二十五萬美元,最大的買家據稱是美國政府。
DEF CON和後來的「黑帽會議」,都是綽號「黑暗切線」(Dark Tangent)的莫斯(Jeff Moss)創辦的。四十歲的莫斯被視為駭客圈的祖宗和良心,是網際網路指定名稱與位址管理機構(ICANN)的安全總監。他談到上述的黑市現象時表示:「早年根本不可能拿駭侵換現金。如今駭侵資訊在地下市場很值錢,這種資訊也就比較少公開了。在此情況下,駭客會議也就有點走下坡,因為一些最有意思的駭侵技術和構想不會公開。」
白帽滲透測試
白帽滲透測試有多種形式,但可分三大類:黑箱測試:測試者除了知道網站或軟體的名稱外,對目標一無所知;白箱測試:測試者完全了解網絡組態,也能進入網絡和使用相關裝置;灰箱測試:測試者掌握若干資訊和某程度的進入權。企業選擇什麼類型的測試,取決於它最想保護什麼、最擔心什麼類型的敵人,以及它估計敵人會蒐集多少資訊來發動惡意攻擊。
一家公司的電腦網絡接受典型的白帽滲透測試,有四個步驟。首先,白帽業者會藉由電話、面對面交談和訪問公司資訊長和資訊安全主管,確定滲透測試的範圍和條件。白帽業者了解目標組織委託測試的原因,將為此次作業(包括執行改善建議)投入多少資源和時間,以及最擔心網路攻擊造成什麼後果(財務和名譽損失總是它們最擔心的)。在這個階段,白帽業者將確定這次測試的規則,包括測試的目標(什麼人和什麼系統)、何時測試,以及測試前要通知誰(越少人越好)。測試的類型和範圍決定了白帽團隊的人員組成──可能包括網絡、作業系統、資料庫和行動裝置的專家,以及一名當「指揮」的經理。
第二步是白帽業者偵察目標組織,利用到處都能取得的軟體勘測目標網絡,了解網絡使用什麼作業系統,並尋找人人可以進入的門戶。白帽業者實際上可以很快找出誰是目標組織的網絡管理者,從領英(LinkedIn)上的個人介紹、社群網站和公開的資料庫蒐集網絡管理者的個人資料,用軟體建立他們可能使用的密碼清單,根據可能性替這些「密碼」排序,然後試用它們登入目標網絡。如果網絡管理者進入網絡需要第二層驗證(例如指紋、聲音或臉部辨識,或眼球掃描),白帽業者會設法避開這種要求,或設計軟體偽造所需要的東西來騙過系統。他們也會蒐集所有員工的電子郵件地址和電話號碼、伺服器機房的位置、系統使用的作業系統類型和版本、供應商的資料,以及許多其他資訊(視他們投入多少時間而定)。
第三步是滲透測試本身,而白帽業者幾乎總是可以在某程度上擅自侵入系統,而這往往拜目標組織一些令人咋舌的愚蠢做法所賜。資深白帽業者肯尼迪(David Kennedy)發現,侵入目標網絡有兩種最常奏效的方法。第一種是使用網絡的預設密碼,因為網絡管理者根本不改這些密碼。第二種是針對目標公司員工的魚叉式網路釣魚(spear phishing),例如寄一些偽造的電子郵件給這些員工,誘使他們點擊有問題的連結。許多員工接受過辨識這種釣魚手段的訓練,但白帽業者也很清楚這一點,因此早就相應調整做法。康倫(Brendan Conlon)曾經是美國國家安全局「特定入侵行動」的駭客,後來創辦滲透測試公司Vahna。他曾針對一家小公司做過魚叉式網路釣魚:「我們假裝是富達(Fidelity)公司,寄一封有關退休計畫的電子郵件給一百名員工,有五十人立即打開郵件,並按照指示輸入了他們所有的個人資料。」這種情況並不罕見。
第四步是最後階段,白帽業者會向客戶提交一份報告,內含摘要、詳細說明(以螢幕截圖和文字解說,具體指出他們發現的安全漏洞),以及根據急迫性和成本排序的改善建議。多數白帽業者表示,目標組織的資訊長(有時是執行長)通常只看報告摘要,然後指向建議部分問道:「這些措施需要多少錢?」雖然不常見,但企業高層有時甚至會對白帽業者做到的事嗤之以鼻,因為他們誤以為白帽測試者能力超強,是黑帽駭客無法相比的。莫斯表示:「企業經理人會試圖貶低你做到的事。他們會說,那只是一時僥倖,又或者剛好他們的系統發生故障。」白帽業者有時為了傳達他們的訊息,會在執行長的電腦上啟動惡意程式,讓他知道自己的電腦被駭了。白帽業者也提供跟進的滲透測試服務,頻率隨客戶喜歡,而多數業者建議,財星五百強公司應至少每年做一次測試。(摘錄整理自《紅隊測試》)
紅隊測試:戰略級團隊與低容錯組織如何靠假想敵修正風險、改善假設?
米卡.岑科(Micah Zenko)/著
許瑞宋/譯
大雁文化出版
售價:380元
作者簡介
米卡.岑科(Micah Zenko)
美國外交關係協會(Council on Foreign Relations)資深研究員,居於紐約。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19