金研院看世界-新的资安思维 承认人工监控有其局限
无论是资安还是网路攻击,最终其实都是人类行为,IT专家必须找出一些方法,知道哪些地方值得特别认真监视。图/本报资料照片
当代的攻击面(Attack Surfaces)数量呈指数增长,资安问题变得愈来愈复杂、愈来愈棘手。成功的IT业者总希望掌握全球各地的客户,而且每个客户需要的不同程式,会遇到的资安问题也各不相同。
美国政府最近才开始发现这种架构的安全漏洞,是业内有名的SolarWinds事件。整场SolarWinds攻击事件的源头,是骇客潜入SolarWinds的软体建构系统,让系统出现漏洞。在进入系统后,攻击者使用SolarWinds的客户送出几个恶意更新。它通常刻意不去启动恶意程式,这么一来系统就毫无异状,很难发现。直到成功找到重要目标,就开始对「联合身分管理系统」(Federated identity management, FIM)下手。
所谓「联合身分管理系统」,是为解决密码多如繁星而开发出来的方案。我们每个人都有一大堆帐号密码,不但很难记住,更可能沦为入侵破口,因为我们往往会把好几个网站的密码设成同一个,骇客攻破一个就等于攻破全部。但「联合身分管理系统」可以整合所有帐密,使用者只要记住一个密码,IT部门只需要登记一个帐号,就可以登入除组织内部网路以外的所有系统。谷歌或脸书就是用类似方式,让我们用谷歌或脸书的帐号,登入各种其他平台。
「联合身分管理系统」会在系统中储存使用者的凭证。之后使用者要登入外部服务,例如亚马逊云端运算(Amazon Web Services, AWS)的时候,就可以直接跟管理系统要求凭证,转交给第三方,证明自己是合法使用者。
骇客在SolarWinds攻击中就是利用这种机制,它使用一个「黄金SAML」(Security Assertion Markup Language,安全声明标记语言)绕过使用者的同意,直接向第三方「证明」自己的身分。他用Orion软体连结云端服务,伪装成所有想要伪装的身分,甚至是企业的执行长和IT管理员。因为它没有联络「联合身分管理系统」,该系统从头到尾都不知道自己被绕过了。
零信任的各种意义
最近骇客使用IT管理软体的方式,就是俗称「就地取材」的攻击手法。他们会躲在现有的管理软体中,很长一段时间不会被发现。以前的骇客通常会直接向系统寄送恶意档案,但防毒软体现在都会监控所有静态硬碟,也就是所谓的「死碟扫描」(Dead Disk Scan);所以骇客现在都放弃入侵硬碟,改为利用电脑运作中的漏洞。只要找到漏洞,就可以躲在电脑中不被发现。高阶骇客还会在各台主机间不断转移,获取愈来愈高的权限。这也表示他们必须仔细研究当地的网路环境,躲开所有监视工具,躲开所有明确要求系统管理员认证的目标,避免留下足迹。要应付这种入侵,目前主流的方法就是「零信任」。
根据美国国防部的《零信任参考架构》(Zero Trust Reference Architecture),「零信任模型的基本原则,就是所有位于安全范围外的参与者、系统、网路、服务,在登入时都需要验证。这种戏剧性的典范转移,是为了保护我们的基础建设、网路、资料。过去只需要验证一次之后就能持续登入,现在每位使用者、每台设备、每个应用程式、每笔交易都必须重新验证。」
资安问题其实是人的问题
美国在2021年5月发布了〈改善全国资安〉(Improving the Nation's Cybersecurity)的行政命令,要求政府在2024年前改用零信任架构。拜登总统在发布命令时表示,「渐进式的改变无法保障我们需要的安全。联邦政府需要投下重资,大刀阔斧进行改革,守护美国生活方式不可或缺的那些重要设施。」这段话显然表示,美国在屡次受到攻击,甚至连最重要的国安系统都被入侵后,产生了很强的危机感。未与其他大陆接壤的特性,让这个国家几百年来高枕无忧,但在网路中,没有人具备地缘政治优势。
说回银行业,虽然它的资安要求跟美国或台湾军方不太一样,但面对的威胁却很类似。这个时代是一个充满开放银行、嵌入式服务的时代,资安漏洞势必是常态。银行业如果要保护自己的系统,就得选用恰当的安全机制,守护过头和守护不够一样糟糕。
无论是资安还是网路攻击,最终其实都是人类行为。IT专家必须找出一些方法,知道哪些地方值得特别认真监视。目前的资安软体监控目标,已经从静态硬碟转向更细致的系统行为,但即便如此,还是得减少不必要的连结与活动,降低现代IT系统固有的复杂性,这样才能及时找出可疑之处检查并补救。悲剧一旦发生,我们就只能研究攻击是怎么成功的;但我们真正需要的是在漏洞刚出现时立刻发现,在攻击发生前已经预防。
(本文译者为刘维人)