金研院看世界－新的资安思维 承认人工监控有其局限

无论是资安还是网路攻击，最终其实都是人类行为，IT专家必须找出一些方法，知道哪些地方值得特别认真监视。图／本报资料照片

当代的攻击面（Attack Surfaces）数量呈指数增长，资安问题变得愈来愈复杂、愈来愈棘手。成功的IT业者总希望掌握全球各地的客户，而且每个客户需要的不同程式，会遇到的资安问题也各不相同。

美国政府最近才开始发现这种架构的安全漏洞，是业内有名的SolarWinds事件。整场SolarWinds攻击事件的源头，是骇客潜入SolarWinds的软体建构系统，让系统出现漏洞。在进入系统后，攻击者使用SolarWinds的客户送出几个恶意更新。它通常刻意不去启动恶意程式，这么一来系统就毫无异状，很难发现。直到成功找到重要目标，就开始对「联合身分管理系统」（Federated identity management, FIM）下手。

所谓「联合身分管理系统」，是为解决密码多如繁星而开发出来的方案。我们每个人都有一大堆帐号密码，不但很难记住，更可能沦为入侵破口，因为我们往往会把好几个网站的密码设成同一个，骇客攻破一个就等于攻破全部。但「联合身分管理系统」可以整合所有帐密，使用者只要记住一个密码，IT部门只需要登记一个帐号，就可以登入除组织内部网路以外的所有系统。谷歌或脸书就是用类似方式，让我们用谷歌或脸书的帐号，登入各种其他平台。

「联合身分管理系统」会在系统中储存使用者的凭证。之后使用者要登入外部服务，例如亚马逊云端运算（Amazon Web Services, AWS）的时候，就可以直接跟管理系统要求凭证，转交给第三方，证明自己是合法使用者。

骇客在SolarWinds攻击中就是利用这种机制，它使用一个「黄金SAML」（Security Assertion Markup Language，安全声明标记语言）绕过使用者的同意，直接向第三方「证明」自己的身分。他用Orion软体连结云端服务，伪装成所有想要伪装的身分，甚至是企业的执行长和IT管理员。因为它没有联络「联合身分管理系统」，该系统从头到尾都不知道自己被绕过了。

零信任的各种意义

最近骇客使用IT管理软体的方式，就是俗称「就地取材」的攻击手法。他们会躲在现有的管理软体中，很长一段时间不会被发现。以前的骇客通常会直接向系统寄送恶意档案，但防毒软体现在都会监控所有静态硬碟，也就是所谓的「死碟扫描」（Dead Disk Scan）；所以骇客现在都放弃入侵硬碟，改为利用电脑运作中的漏洞。只要找到漏洞，就可以躲在电脑中不被发现。高阶骇客还会在各台主机间不断转移，获取愈来愈高的权限。这也表示他们必须仔细研究当地的网路环境，躲开所有监视工具，躲开所有明确要求系统管理员认证的目标，避免留下足迹。要应付这种入侵，目前主流的方法就是「零信任」。

根据美国国防部的《零信任参考架构》（Zero Trust Reference Architecture），「零信任模型的基本原则，就是所有位于安全范围外的参与者、系统、网路、服务，在登入时都需要验证。这种戏剧性的典范转移，是为了保护我们的基础建设、网路、资料。过去只需要验证一次之后就能持续登入，现在每位使用者、每台设备、每个应用程式、每笔交易都必须重新验证。」

资安问题其实是人的问题

美国在2021年5月发布了〈改善全国资安〉（Improving the Nation's Cybersecurity）的行政命令，要求政府在2024年前改用零信任架构。拜登总统在发布命令时表示，「渐进式的改变无法保障我们需要的安全。联邦政府需要投下重资，大刀阔斧进行改革，守护美国生活方式不可或缺的那些重要设施。」这段话显然表示，美国在屡次受到攻击，甚至连最重要的国安系统都被入侵后，产生了很强的危机感。未与其他大陆接壤的特性，让这个国家几百年来高枕无忧，但在网路中，没有人具备地缘政治优势。

说回银行业，虽然它的资安要求跟美国或台湾军方不太一样，但面对的威胁却很类似。这个时代是一个充满开放银行、嵌入式服务的时代，资安漏洞势必是常态。银行业如果要保护自己的系统，就得选用恰当的安全机制，守护过头和守护不够一样糟糕。

无论是资安还是网路攻击，最终其实都是人类行为。IT专家必须找出一些方法，知道哪些地方值得特别认真监视。目前的资安软体监控目标，已经从静态硬碟转向更细致的系统行为，但即便如此，还是得减少不必要的连结与活动，降低现代IT系统固有的复杂性，这样才能及时找出可疑之处检查并补救。悲剧一旦发生，我们就只能研究攻击是怎么成功的；但我们真正需要的是在漏洞刚出现时立刻发现，在攻击发生前已经预防。

（本文译者为刘维人）