网路资讯/网路资安之计 攻击不如防守
作/麦克
企业使用攻击性的网路资安策略主动回击攻击者,是符合实际的作法吗?本文将说明这为何这不是个好方法,以及真正该应对的做法。
对某些私人公司的资安专家来说,攻击是最好的防守,而且有些号称专家的人会希望这么说服你我。不管是所谓的「反骇客」、或称之为以牙还牙的报复,攻击式资安策略需要搜集对方资料,而且必需辨识出个别攻击者(如果可能的话),以采取报复手段、瘫痪攻击者系统。
许多政府单位尝试过攻击性资安,对于这种方法,他们有各种不同的理由和疑虑。对一般私人企业来说,这是企业领导人与IT单位必须了解的争议手段。为何要专注于攻击?
在传统战争中,如果双方条件相同,那么防守方是比较有利的。守方可以好整以暇、以静待变,而攻击方必需想办法维系后勤补给线。守方可以持续强化防守,而攻方的最大优势「突袭」只能使用一次。
然而在虚拟世界里,攻方有明显优势。防火墙与其它控制方法是老早就建构好的;攻击者可以选择他们想要下手的地方,而且慢慢决定如何下手。攻击者可以持续测试自己的攻击手段,例如建立恶意程式的人可以观察防毒软体是否会侦测出自己的杰作,而且这几乎不需要什么成本或力气;只要找到一处弱点,攻击者就可以从这个漏洞长驱直入,但防守者却必需保护所有东西,所以他们只能按照风险高低来做选择。在这样情况下,IT人员只能被动回应,几乎与游乐园里的打地鼠没有两样。
所以,何不转守为攻?当看到自己的资料被偷,我们肯定都气炸了。但对一般私人企业而言,大部分手段都有太高风险。
当然,总有一天,科技可以让我们迫使攻击者采取守势,但目前还言之过早。这并不是要大家坐以待毙;现阶段可以做的是,正如Gadi Evron所说,IT团队应该要讨论攻击性资安策略、明白这些作法的伦理与法律挑战,并且知道当找出幕后攻击者时,究竟能得到什么好处。
了解自身的对手,是一般企业应该考虑的攻击性资安策略之一。在此同时,应避免反击性作法。Michael A. David提出了4个步骤, 让企业可以采取积极作为,又不会违背伦理与法律界线。
结果不明
当预防性资安遭受挫败,转守为攻是个吸引人的想法。但企业应该冒这个风险吗?以色列垃圾邮件处理公司Blue Security认同这个想法。这家公司推出一种新科技,让客户可以向垃圾邮件发送者发动攻击,把无用讯息寄到垃圾信的来源。该公司会研究垃圾信的来源,并集中管理这些资讯。
在本质上,这家公司其实是建立一个僵尸网路(botnet),也就是用一堆电脑在网路上发动阻断服务攻击,此种科技引起了不少注意。在2006年时,俄国黑帮警告Blue Security停止活动,否则就要对其发动攻击。面对这样的威胁,执行长暨创办人Eran Reshef只能把资金还给投资人,让公司关门大吉。
Blue Security当时还面临其它挑战,僵尸网路攻击会伤害网路基础建设,这是违法行为。因为违法,导致许多网路营运业者避之唯恐不及,所以Blue Security一直在寻找主机营运业者。而且,俄国黑帮的威胁可是完全不同层次的危险。恶意软体以及垃圾邮件是门大生意,犯罪组织不太可能因为一家公司的举动而却步。
尽管如此,受害公司希望以其人之道还治其人之身,是可以理解的。不论分散式阻断服务攻击(DDoS)瘫痪网站、或是用恶意程式窃取智慧财产,这些攻击都会伤害到公司利益。企业在资讯安全上花了上百万元,这些钱花到什么地方去了?大部分防御都是静态、而且事先设定的,所以攻击者随时可以研究该如何破解。大部分的应对机制都是被动的,只有发现威胁时才会有所动作,但通常都为时已晚。
美国军方现在已经可以使用合法军事手段制裁网路攻击者,去年资安法案(Cyber security Act) 无法得到国会认可,随后欧巴马总统签署了第20号总统政策指令(Presidential Policy Directive 20)建立了联邦政府的攻击应对标准,而2013国家防卫授权法案(2013 National Defense Authorization Act)更着重讨论资讯安全。
然而,对于手无寸铁的企业来说,要发动攻击实在言之过早。或许未来有天一般公司会有能力这么做,但目前来自法律、伦理、营运与科技的挑战,恐怕只有让人感到气馁。
攻击者是谁?
要找出谁是攻击系统的幕后主使者是非常困难的。在国际法中,如果一个国家向另一国发射一枚飞弹,便可以马上知道应该负责的政治实体,不论是谁按下了那个按钮。但是在网路上,僵尸网路控制了上百万台电脑,有哪一个国家或是服务供应者能为这样的活动负法律责任?
几年前,一位担任美国联邦法律执行官的朋友负责着手打击网路金融诈骗,特别是网路钓鱼,他很快找到了一起攻击事件的幕后电脑IP位址。当他们踢开电脑主人的家门后,只找到了一头雾水的一家人,他们完全不知道自己的电脑已经被拿来用做网路钓鱼工具。法律上无法将他们定罪,因为装置的拥有者可以辩解他们完全不知情:「我的电脑被骇了!」
网路资讯256期