iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 1
3
Security

資安戰爭 三十六計系列 第 1

資安戰爭 三十六計之第1計:瞞天過海

/images/emoticon/emoticon06.gif《原文注釋》:「備周則意怠;常見則不疑。陰在陽之內,不在陰之外。太陽,太陰。」

/images/emoticon/emoticon15.gif《原文解析》:
(1)備周則意怠:防備的非常周密,但卻往往讓人容易鬥志鬆懈,削弱戰力。
(2)陰在陽之內,不在陰之外:這裡的陰指機密或隱蔽;陽則指公開或暴露。
(3)太陽,太陰:太,意思是極或極大。此句指非常公開的事物里往往蘊藏著非常機密的計謀。

主要的意思,就是-->最危險公開、最習慣的地方或事物,就是最好出手的地方

/images/emoticon/emoticon33.gif《出處》:

東漢末年,黃巾賊作亂,北海太守孔融,被黃巾軍管亥所圍,太史慈便奉母命前往北海援助孔融,他殺入重圍與孔融會合後,先以「韜晦之計」使黃巾軍懈怠,太史慈連續兩天於清晨時引領從人,帶備弓箭及箭靶到北海城門之下,裝作練習射箭然後回城。黃巾軍隊起初驚疑,後來習以為常,不復為備,太史慈便於第三天突擊,成功出圍,突破黃巾軍包圍,前往劉備處求助。

/images/emoticon/emoticon76.gif《資安戰運用實例》:

ILOVEYOU又稱情書或我愛你病毒。它是一個Visual Basic撰寫的蠕蟲病毒,有個浪漫的名字,還有令人難以抗拒的誘餌"愛的諾言"。2000年5月3日,「我愛你」蠕蟲病毒首次在香港被發現。「我愛你」蠕蟲病毒病毒透過一封標題為「我愛你(ILOVEYOU)」、附件名稱為「Love-Letter-For-You.TXT.vbs」的郵件進行傳輸。該病毒也透過Microsoft Outlook通訊簿中的聯絡人發送病毒。而且,病毒還會大肆自行複製病毒,並覆蓋音樂和圖片文件。更令人驚訝的是,病毒還會在受到感染的電腦上搜索用戶的帳號和密碼,並發送給病毒作者。在情人節前後發送時,大部人不疑有他,認為是另一半的情人節的浪漫,因為某個特定節日的習慣,而造成系統損害,整個網路被攻陷,此為習慣成災的結果。

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

最近筆者看到新聞在報導,很多人收到類似以下圖片的假包裹領取的簡訊,不疑有他就點了進去,最後被假簡訊所詐騙,畢竟大家現在網購非常方便,而且習以為常,所謂習慣成自然,會點擊類似這種詐騙包裹的簡訊機率很高,根據新聞報導,受害者很多,在此,筆者就從類似的實務經驗討論有關企業付款機制的做法,曾經有某企業採購部門,因為內控沒做好,被駭客複製郵件,與上述簡訊一樣,更改到很相似的付款網址,採購單位一時不查,就直接付款至對方指定帳戶,造成公司重大的損失。

https://ithelp.ithome.com.tw/upload/images/20190917/20107482Lpb7kxOQCZ.jpg
(該圖片僅限用於本次文章使用)

大部分公司的做法,就是要求銀行端要有止付的機制,於是很多企業開始忙著建立銀行電子付款的內控程序,忙了半天,增加了很多控制點,也增加很多工作上的負擔,成效好不好另當別論,增加工作負擔卻是事實。

然而,企業最重要的「基本的客戶資料」卻是長期的疏忽未更新,ERP系統的客戶資料也沒做好有效管理,筆者過去就發現,大部分企業的客戶基本資料是不完整的,或是只是紀錄非常基本的連絡資料。正確的來說,所有交易的帳戶都應該在基本資料表裡建立,在ERP裡設定卡關的動作,只能透過系統內指定的帳戶進行交易,如此可以避免在不知情的情況下付款,由系統先加以判定該帳戶是否正確,筆者認為前端基本的控制做好,後端的在視銀行可提供的服務,再進行附加的功能。

如果進攻方想利用包裝的方式欺騙被動的一方,就是要利用防守方的疏忽,然而防守方平時就強化基本資料的更新,做好最基本也最札實的工作,並且在系統內設定完整的核決權限卡控,如此,防守方即使不見得能夠完全防止失誤,但至少可以減低損害,人在忙碌的時候,無法仔細的去兼顧所有問題,因此把關的機制就非常重要,為了避免忙亂發生錯誤,那最好的建議就是,在系統內,做好前期的客戶資料,確實做到卡控的機制,瞞天過海自然就無法有效的危害企業。

以下為ERP客戶資料建立參考圖:(僅限用於本次文章使用)

https://ithelp.ithome.com.tw/upload/images/20190917/20107482tCZw5S5Wgi.jpg


下一篇
資安戰爭 三十六計之第2計:圍魏救趙
系列文
資安戰爭 三十六計36

尚未有邦友留言

立即登入留言