前往主要內容
工商時報LOGO
無論是資安還是網路攻擊,最終其實都是人類行為,IT專家必須找出一些方法,知道哪些地方值得特別認真監視。圖/本報資料照片
無論是資安還是網路攻擊,最終其實都是人類行為,IT專家必須找出一些方法,知道哪些地方值得特別認真監視。圖/本報資料照片

已將目前網頁的網址複製到您的剪貼簿!

文/孫維德(David Stinson) 台灣金融研訓院特聘外籍研究員

當代的攻擊面(Attack Surfaces)數量呈指數增長,資安問題變得愈來愈複雜、愈來愈棘手。成功的IT業者總希望掌握全球各地的客戶,而每個客戶需要的不同程式,會遇到的資安問題也各不相同。

美國政府最近才開始發現這種架構的安全漏洞,是業內有名的SolarWinds事件。整場SolarWinds攻擊事件的源頭,是駭客潛入SolarWinds的軟體建構系統,讓系統出現漏洞。在進入系統後,攻擊者使用SolarWinds的客戶送出幾個惡意更新。

它通常刻意不去啟動惡意程式,這麼一來系統就毫無異狀,很難發現。直到成功找到重要目標,就開始對「聯合身分管理系統」(Federated identity management, FIM)下手。

所謂「聯合身分管理系統」,是為了解決密碼多如繁星而開發出來的方案。我們每個人都有一大堆帳號密碼,不但很難記住,更可能淪為入侵破口,因為我們往往會把好幾個網站的密碼設成同一個,駭客攻破一個就等於攻破全部。

但「聯合身分管理系統」可以整合所有帳密,使用者只要記住一個密碼,IT部門只需要登記一個帳號,就可以登入除了組織內部網路以外的所有系統。谷歌或臉書就是用類似的方式,讓我們用谷歌或臉書的帳號,登入各種其他平台。

「聯合身分管理系統」會在系統中儲存使用者的憑證。之後使用者要登入外部服務,例如亞馬遜雲端運算(Amazon Web Services, AWS)的時候,就可以直接跟管理系統要求憑證,轉交給第三方,證明自己是合法使用者。

駭客在SolarWinds攻擊中就是利用這種機制,它使用一個「黃金SAML」(Security Assertion Markup Language,安全聲明標記語言)繞過使用者的同意,直接向第三方「證明」自己的身分。他用Orion軟體連結雲端服務,偽裝成所有想要偽裝的身分,甚至是企業的執行長和IT管理員。因為它沒有聯絡「聯合身分管理系統」,該系統從頭到尾都不知道自己被繞過了。

零信任的各種意義

最近駭客使用IT管理軟體的方式,就是俗稱「就地取材」的攻擊手法。他們會躲在現有的管理軟體中,很長一段時間不會被發現。

以前的駭客通常會直接向系統寄送惡意檔案,但防毒軟體現在都會監控所有靜態硬碟,也就是所謂的「死碟掃描」(Dead Disk Scan);所以駭客現在都放棄入侵硬碟,改為利用電腦運作中的漏洞。只要找到漏洞,就可以躲在電腦中不被發現。

高階駭客還會在各台主機間不斷轉移,獲取愈來愈高的權限。這也表示他們必須仔細研究當地的網路環境,躲開所有監視工具,躲開所有明確要求系統管理員認證的目標,避免留下足跡。要應付這種入侵,目前主流的方法就是「零信任」。

根據美國國防部的《零信任參考架構》(Zero Trust Reference Architecture),「零信任模型的基本原則,就是所有位於安全範圍外的參與者、系統、網路、服務,在登入時都需要驗證。這種戲劇性的典範轉移,是為了保護我們的基礎建設、網路、資料。過去只需要驗證一次之後就能持續登入,現在每位使用者、每台設備、每個應用程式、每筆交易都必須重新驗證。」

資安問題其實是人的問題

美國在2021年5月發布了〈改善全國資安〉(Improving the Nation’s Cybersecurity)的行政命令,要求政府在2024年前改用零信任架構。拜登總統在發布命令時表示,「漸進式的改變無法保障我們需要的安全。

聯邦政府需要投下重資,大刀闊斧進行改革,守護美國生活方式不可或缺的那些重要設施。」這段話顯然表示,美國在屢次受到攻擊,甚至連最重要的國安系統都被入侵之後,產生了很強的危機感。未與其他大陸接壤的特性,讓這個國家幾百年來高枕無憂,但在網路中,沒有人具備地緣政治優勢。

說回銀行業,雖然它的資安要求跟美國或台灣軍方不太一樣,但面對的威脅卻很類似。這個時代是一個充滿開放銀行、嵌入式服務的時代,資安漏洞勢必是常態。銀行業如果要保護自己的系統,就得選用恰當的安全機制,守護過頭和守護不夠一樣糟糕。

無論是資安還是網路攻擊,最終其實都是人類行為。IT專家必須找出一些方法,知道哪些地方值得特別認真監視。

目前的資安軟體監控目標,已經從靜態硬碟轉向更細緻的系統行為,但即便如此,還是得減少不必要的連結與活動,降低現代IT系統固有的複雜性,這樣才能及時找出可疑之處檢查並補救。

悲劇一旦發生,我們就只能研究攻擊是怎麼成功的;但我們真正需要的是在漏洞剛出現時立刻發現,在攻擊發生前已經預防。(本文譯者為劉維人)

>>訂閱名家評論周報,關心全球財經大小事

網路攻擊武器化 資安長要超前部署建構平台巨擘廣告營收分潤機制機不可失為企業打造數位免疫系統數位金融創新下的消費者保護從股市深度數據窺探市場多空

您可能感興趣的話題

返回頁首
LOADING

本網頁已閒置超過3分鐘。請點撃框外背景,或右側關閉按鈕(X),即可回到網頁。