做好资安防护既要瞻前也要顾后,但是,想面面俱到已经越来越困难,于是,我们通常会根据风险程度的高低,决定处理的优先顺序,也希望能持续提升各种IT与OT环境运作状态的能见度,以及促成更多资安合作、强化网路威胁情资的交流,尽可能减少防护盲点,然而,还有什么原则是我们不能忽略的?
《孙子兵法》〈谋攻篇〉有云:「知彼知己,百战不殆;不知彼而知己,一胜一负;不知彼,不知己,每战必败。」掌握网路威胁情资正是实现「知彼」的关键,但除了被列为入侵概念模型当防守方察觉自身环境遭到渗透,除了依循传统资安事件处理流程,他认为,还能运用一些方法掌控入侵者的攻击步调,例如,灵活收集、分析与掌握各种攻击情报、了解对方C2攻击网路的布局,进行谍对谍的卧底与反监控,并且接管攻击中继站、反渗透至对方储存攻击工具与受害者大量机敏资料的网站系统,如此一来,可提前一步做好防御、中断C2攻击网路,甚至有机会逮到潜入组织内部负责里应外合的恶意人士。
了解骇客思维,才能更有效对抗骇客
想要扭转资安攻守不对称的劣势,不能只靠事中的行为监测与事后的应变、追缉,PD引用周星驰电影《九品芝麻官》的经典台词:「贪官要奸,清官要比贪官更奸!」提出另类解读,他说:「骇客黑,IT要比骇客更黑!这样你才有办法跟骇客打架。」
了解骇客思维有哪些好处?
首先,可以跟上骇客的脚步。
身处企业单位,资安人员通常是以法规遵循跟制度规范为主,但法律标准的调整,通常都要经过严谨的审核机制,所以往往会落后攻击实务好几年,因此,不能单靠这些防范,当我们了解骇客思路之后,就可以避免另一《九品芝麻官》经典台词「拿明朝的剑斩清朝的官」,用守旧的防御策略来阻挡骇客最新攻击。
另一个我们能建立的防御优势,就是避免在资通讯系统当中,实作「友善骇客(Hacker Friendly)」的危险设计。有时企业会开发或研发一些新的产品或服务,此时如果能在过程中,导入骇客思维,就可以避免设计出让骇客产生攻击欲望的系统。
新科技大大模糊个人隐私与机密资料保护界线,防御规则要与时俱进
所谓的「Hacker Friendly」是指什么?大家可能先想到的是AI,这几年的台湾资安大会就有多场演讲谈及此事,因为新技术可用在增进工作效率,也可以大大增加骇客的攻击效率,但PD提出的状况是近期曾引发讨论但后续没引发重视的例子。
首先,是智慧型眼镜,PD表示,AI太红了,所以大家比较少提到这类装置带来的威胁。
事实上,相关争议近期就在台湾上演。去年12月20日有议员到检调单位应讯作证,23日被网红从新闻影片抓包他当时进入检调单位,已戴上可录影录音的智慧眼镜,随即引发大众关注,议员当天向媒体回应表示,智慧眼镜只在接受媒体采访时配戴,审讯过程没使用,24日检察官为此分案侦办,到了今年4月21日,地检署正式传唤议员说明。
PD的演讲并未提到上述争议,而是解释几种实际应用方式,说明智慧眼镜导致的隐私与机密外泄风险。
以雷朋的Meta智慧眼镜为例,当使用者透过智慧眼镜拍照侧录现场画面时,智慧眼镜边框的拍摄指示灯会启用,但其实是有方法能让灯不亮,网路上可以找到很多破解拍摄亮灯的方式,而在这样旁人不知不觉的情况下,相关的影像和声音就会被智慧眼镜撷取下来、再转存至智慧型手机。
为了验证其可行性,PD表示,他演讲前一天特别到大巨蛋观看棒球比赛,在所谓的发香区(啦啦队应园区),透过智慧眼镜撷取啦啦队女孩的表演画面。当然,透过智慧型手机或相机就能达到同样目的,他刻意用智慧眼镜做这件事的意义,一方面是为了吸引听众们反思,一方面则要带出「肩窥(Shoulder Surfing)」议题,PD认为,智慧眼镜真正可怕之处,在于肩窥的再利用。