全力消除資訊不對稱 提升資安戰爭勝率
持平而論,縱使現今多數企業都認為資安確實重要,卻鮮少意識到,資安是一場資訊不對稱的戰爭,若未能理解駭客的思維脈絡,只是一廂情願佈建防禦工事,那麼防護效果就難以到位。
現任戴夫寇爾(DEVCORE)執行長、台灣駭客年會核心成員的翁浩正,認為企業在資安攻防上最大對手,並不純粹僅是駭客或駭客組織,而是黑色產業,正因有需求、有利益,才會有駭客集團進行組織性攻擊。
論及黑色產業的營利模式,則包括詐騙集團獲取個人信用卡號與交易資料,從事詐騙行徑,駭客組織取得個人帳密發動撞庫攻擊,竊取資料庫進行販賣或加密勒索,掌握流量而發動DDoS攻擊。
秉持Red Team思維 理解駭客思維
伴隨黑色產業實力日益壯大,假使企業仍固守傳統策略,只利用近似蓋城牆方式阻擋駭客,恐難奏效。翁浩正建議,企業不妨採納Red Team思維,網羅資安專家組成滲透團隊,模擬入侵者的戰略,畢竟敵暗我明、攻擊技術不斷增長,企業若僅侷限在防禦思維、不理解攻擊思維,將使自身居於劣勢,而Red Team便足以弭平這般缺憾。
翁浩正指出,欲洞察駭客思維,首先須瞭解駭客如何評價漏洞,一般取決於穩定性、利用性、嚴重性等三項指標,譬如XSS跨站腳本攻擊,即是屬於穩定、好用,但不嚴重的型態,因為駭客無法靠它獲取系統資料;究竟有無同時兼具三特性的殺傷力攻擊?以近期備受討論的Struts2 S2-045,便是典型之例。
值得一提的,員工往往淪為企業資安的缺口,只因駭客當發現伺服器資安健全後,就會轉而向員工個人電腦、個人裝置下手,此時包括密碼使用習慣不佳、弱密碼、密碼重複使用等因素,就有造成諸如撞庫攻擊的可能。面對這般險峻情勢,企業應藉由防止外洩、防止破解、防止嘗試等三層縱深建構防禦,以避免密碼遭惡意使用。
翁浩正強調,企業必須深切體認,資安就是戰爭,而戰爭沒有僥倖,因此在打造前述三層縱深防禦機制的過程,需要盡力消除與攻擊者的資訊不對稱,不吝投注資源建構專責專職的資安人員編制,安排足夠資源佈建必要的防禦體系,並不忘藉由二步驟驗證,作為最後一道防線。