最近有藝人因主持某公司尾牙而被老闆言語騷擾,掀起一波性騷擾議題的重視,若對照到企業資安防護的領域,這讓我聯想到,惡意軟體或駭客在滲透或攻入目標所在環境前的窺伺、試探之舉,同樣是不當行為,我們仍拿不出好辦法來杜絕。

過往我們只能處於被動的態度,需大費周章地偵測,才有辦法察覺可疑行徑;若運氣好、早期發現,還來得及圍堵與修補,若是運氣差,可能要等到被攻佔、受到破壞之後,在收拾殘局之際,就算能找到攻擊路徑、罪魁禍首,但傷害早已造成,只能亡羊補牢,也拿他們沒辦法,僅能期許自己持續改善資安,下次別再中招。

但這樣只能挨打、無法有效反制的局面,也讓資安人員疲於奔命。雖然大家都知道「預防勝於治療」,但再怎麼改良,仍舊受制於已知、未知威脅的處理,但終究無法跳出「刺激與反應」的輪迴,攻擊方一旦出招,不論是奇招或爛招,防守方都必須設法回應或消解,而關於這樣的攻守戰略思考,若到極致,大概就像金庸小說《笑傲江湖》描述的獨孤九劍要旨「料敵機先」,若無法如此,至少要做到融會貫通、靈活運用招術,讓對方無跡可尋、無隙可乘,能制人卻不為人所制。

雖然金庸也提到此劍法「有進無退!招招都是進攻,攻敵之不得不守,自己當然不用守了」,但對於企業資安防護實務而言,就不一定適用,畢竟我們的反制作為,純粹只是為了「止戈」,安穩地讓企業可以維持日常營運,不是為了要鬥到你死我活的地步,企業也不可能特地培養或雇用網軍來鬥垮攻擊者。而這也是當前的資安防護,難以扭轉不對稱局面的原因之一,因此,滲透行為、攻勢一旦出現,處於事中的我們,只能設法減緩(mitigation)或是矯正(remediation),設法讓攻擊失效,如此,或許能做到減災,直到對方放棄為止。

沒有其他辦法嗎?在笑傲江湖裡,金庸也恰巧寫到身為弱勢者的門派,也有其賴以生存於武林的武功。而這些描述,恰巧與欺敵/誘捕系統(Deception)的防護作法有關。

透過模擬伺服器與端點設備的誘餌,以及設置合法使用者不會去存取的本機電腦資料夾、網路共享磁碟、分散式檔案系統做為陷阱,一旦攻擊者進入內部網路初期,開始探查、窺伺這些電腦,以及整體環境的狀態與架構時,由於對方並不清楚防守方的虛實與底細,有很大的可能性會觸碰誘餌而露出馬腳,接下來,即可進行阻擋、減低連網速度、隔離、發出警示。

而在小說裡面,金庸也用旁人觀點來點出弱勢者為何是不好欺負的。他們形容這樣的武功要訣是「綿裡藏針」──面對藏有鋼針的一團棉絮,若你輕輕觸碰,仍安然無恙,但如果你用力一捏,棉絮裡的鋼針就會刺到手,手越用力捏,你也會被刺得越深、傷得越重。另外,金庸也提到,這種武功「綿密有餘、凌厲不足」,但破綻極少,守禦很嚴,卻偶爾會突然發出攻勢。而上述作法,或許更合乎當前企業資安防護的要求,因為面對威脅如果一味退讓,只會讓對方得寸進尺,的確應偶露鋒芒,產生嚇阻力,若壞人仍執意進犯,就使其陷入進退兩難局面。

關於利用誘餌與陷阱來偵測敵人動向的作法,我還想再提一下日本漫畫《獵人Hunter x Hunter》也有類似情節,盜賊集團幻影旅團的成員庫嗶以唸能力具現出10棟大樓,混淆主角們的追蹤之餘,若他們進入虛擬的大樓探查,也會被旅團察覺。

就資安攻防策略而言,兵不厭詐的確是守方過去較欠缺的思維,企業其實可以研究看看。事實上,我們都知道惡意軟體或駭客會掩蓋行蹤、設法滲透到攻擊目標的所在環境,但對於防守方而言,沒人規定只能兵來將擋、等挨打之後再設法復原,企業仍可故布疑陣、誘敵深入,就目前市面上的資安解決方案而言,有些廠商已有不錯成果,在建置成本上,也提出看來可行的架構,有望成為另一道深化現有資安防禦層面的新環節。

專欄作者

熱門新聞

Advertisement