「骇客入侵已是必然的趋势」,资安公司Mandiant执行长Kevin Mandia在2004年公司成立时,呼吁企业采取资安防护措施,以免因骇客入侵登上报纸。然而时隔二十年,这位因证实中国人民解放军61398网军部队而声名大噪的执行长现在进一步说:「资安防护挡不住骇客入侵亦是必然的趋势」,他在mWISE 2023会议呼吁「预想被骇(Assumed Breach)」的重要性,建议企业强化第二道资安防线—侦测、应变与控制的能力,升级至现代化资安防御架构。
为何我们需要「预想被骇」?
「预想被骇」意指事先料想骇客已经突破资安防护措施,早就潜伏在企业内部,正静悄悄地探查网路、窃取资料或部署攻击工事等。然而,为何要预先设想被骇?Mandia表示,从攻击端来看,现在我们面对的敌人已是顶尖网路攻击者(Apex Attacker),如名列网骇五大寇(Big Five)的中国、苏联、北韩、伊朗与网路犯罪集团,他们有能力利用零时差漏洞发动攻击,或在软体漏洞被揭露后,于一日内就能发动攻击;他们也已采用软体开发框架,有系统、有规模地开发恶意程式与攻击软体。
顶尖攻击者在攻击前也会清楚掌握入侵目标的相关资讯;一旦入侵成功,顶尖攻击者也有能力长期潜伏在被骇目标内部;甚至,顶尖攻击者已普遍采取寄生攻击(Live off the Land)手法,运用作业系统内建合法程式进行渗透,有效躲避资安软体侦测;而为了隐藏攻击来源,顶尖攻击者亦具有可混淆入侵行径的网路连线、命令控制系统等发动攻击所需的基础设施,以掩饰其真实身分,逃避究责。顶尖攻击者既有强大能力,又有充足资源,因而企业过往采取的防护策略—将骇客阻绝于境外,已经无法百分之百获得保证。
另一方面从防守端的企业现况来看,Mandia指出,随著资讯科技快速发展,需要资安防护的领域越来越多,而且资讯系统肩负越来越多重要功能,系统架构也变得日益庞大且复杂,导致攻击面大幅增加,然而,需要资安防护的系统变多了,但资安人员却严重短缺,跟不上防护需求。
上述内忧外患显示,不论资安做得多好,资安防线依然有失守的可能性。因此借由预想被骇的观念,一方面有助于企业思考骇客可能的攻击手法与企业组织的弱点,及早针对关键问题部署相对应的防护措施,提高资安防护的有效性。另一方面,预想被骇也让企业思考骇客入侵情况下的应变措施。