暗網潛航——虛擬戰場生死最前線(六) — 兵無常勢,水無常形

  除了漏洞情報以外,一個合格的安全監控中心(SOC)也要處理「危機情報」(Threat Intelligence)。

  危機情報和漏洞情報有本質上的分別。漏洞情報是指系統本身的技術問題或設置錯誤而產生的資料,本身問題不大。你有看過沒有漏洞的技術和從來沒有做錯過事情的工程人員嗎?早在「巴別塔」那一個世代開始,工程師們從來沒有做過一個沒有問題的項目⋯

  所以,最大的危險,是漏洞被居心不良的人發現並惡意利用。

  危機情報則是收集「攻擊手法」的情報,而且這些攻擊手法並不局限技術漏洞,甚至包括人性弱點。

  記得十多年前的ILOVEYOU病毒嗎?製造者利用微軟Outlook使用者閱讀電郵時自動打開附件功能的弱點,設計一封誘餌用戶主動打開電郵內容,並附上病毒附件,結果釀成災難,估計全球有超過55億美元的損失,這就是一個典型的多維攻擊手法。

  今時今日網絡攻擊手法已大幅升級。黑客會使用多個低風險漏洞、系統設計和人性弱點,構成一個完整的攻擊藍圖,可以長時間滲透目標,甚至會故意抹走痕跡、隱藏在目標組織內部,逐步獲取權限,以達到他們的目的。

  在信息安全專家的群體內,這種攻擊稱為 「高級持續性威脅」(Advanced Persistent Threat, APT)。攻擊者多數分為政治間諜、商業情報間諜、恐怖份子、攻擊銀行或信用卡中心的犯罪集團等。其中一個著名例子,就是兩年前台灣第一銀行的櫃員機系統經滲透及植入木馬病毒後,被人遙控吐錢。

  所以SOC需要收集危機情報,了解最新的攻擊手段,而且針對所保護的目標、商業類別等而有區別。試想想:攻擊酒店系統盜取信用卡資料,與攻擊煉油廠系統怎會一樣?他們的營運和管理流程都不同!另外,信息安全分析師也要透過日誌數據,看懂各種攻擊手法的相互關係,從而作出準確監控及制衡。

  除了人性弱點外,現今網絡攻擊手法更包括物理攻擊,例如破壞門鎖或截斷電源等。僅具備網絡知識就以為做到信息安全監控工作,是完全錯誤。我的鑑證調查隊伍中,大部份都考獲鎖匠牌照。

  「兵無常勢,水無常形」,必須全方位裝備自己,才能面對今時今日網絡中的多維攻擊。

TOZ聯合創辦人

龐博文


hd