iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 2
3
Security

資安戰爭 三十六計系列 第 2

資安戰爭 三十六計之第2計:圍魏救趙

/images/emoticon/emoticon06.gif《原文注釋》:「共敵不如分敵,敵陽不如敵陰。」

/images/emoticon/emoticon15.gif《原文解析》:
(1) 共敵不如分敵:共,集中的;分,分散,使分散。意思是:攻打集中的敵人,不如設法分散它而後再打。
(2) 敵陽不如敵陰:敵,動詞,攻打。意思是:攻打氣勢旺盛的敵人,不如待其疲憊之後再攻打。

/images/emoticon/emoticon33.gif《出處》:

戰國時代,魏圍攻趙都邯鄲,趙向齊國求救。齊王命田忌、孫臏率軍援救。一開始田忌計劃奔赴邯鄲,與魏軍主力決戰,內外夾擊,解邯鄲之圍。但孫臏認為這不利於齊國,於是提出了更為創新和可行的方法,即「批亢搗虛」與「疾走大梁」。「批亢搗虛」即是避實擊虛,攻其所必救,使敵人出現後顧之憂,前線之圍便會自動解開。「疾走大梁」即是以迅雷不及掩耳之勢向魏國重城大梁進逼,以切斷魏國的運輸要道,並攻其所不備。這樣一來,魏軍定必回師自救,齊軍則可乘其疲憊於路,一舉擊敗魏軍,而趙國之圍則自動解除。

/images/emoticon/emoticon76.gif《資安戰運用實例》:

SQL Slammer,是一種蠕蟲病毒,也被稱為「藍寶石蠕蟲」或稱Helkern,僅有376字節大小,完全可以裝入1個網絡封包中,讓它可以在發動時,達到快速傳播的效果。這類蠕蟲會自身產生IP,並發送IP使用端的電腦,如果該IP使用端的電腦,只要剛好在更新SQL Server更新,此時就會利用這個漏洞,迅速的傳播到其他的電腦發散病毒攻擊,但是,這個病毒的目標不是個人電腦使用者或者,他的目標是創造大量數據流量,讓路由器不堪負荷,最後不得不關閉一個個伺服器。

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

企業的實務上,我們開始會假設攻方可能會進攻的地方,所以會做很多前期的防禦體系,舉例來說,有些企業強化的部分是資料保全,包括生產技術、產品成本、行銷手段等等,這也都是必做的,但是,也許這些資安防護都做了,但卻忽略了生產線的安全防護,就例如去年台積電的機台病毒事件,使得整個生產線被迫停產關閉,這就是圍魏救趙的資安戰術一個實例,很明顯的就是攻擊企業所忽略的地方。

攻擊方當然不停的在找、在測試弱點進攻,這個戰略觀點絕對是共通的,攻擊方出手的時候,正常都是處於盲目的階段,慢慢的才會找到缺口,甚至於有的是偶然找到缺口,再攻擊不備,讓整個企業疲於奔命。

然而防守方該如何防護?「一般」來說,企業組織劃分都很明確,在執行上,大部分各部門也是各自獨立運作,如果一切沒狀況,通常是例行性會議報告時,才會有溝通交流。瞻前不顧後也很正常,簡單舉個例來說,只要一到了忙季,生產線最重要的問題是,能不能準時交貨的問題,沒有一個生產線會有額外的時間去注意資安的問題,光趕貨就已經忙到焦頭爛額了,這點大家應該都認同。

資安、生產兩個部門正常來說,都會對資安做風險做評估,然而奇怪的是,這些風險評估,卻無法有效防止風險?這也是筆者一直懷疑的地方,到底當初做的風險評估,是在忙甚麼?根本只是用來交差用的吧?

有無解決方法?我們都知道船有水密艙的設計,也就是說,當船舶遭遇意外使船艙少部份破損進水時,其他尚未受波及的水密隔艙則還能提供船舶浮力,減緩立即下沉的風險。如下圖:

https://ithelp.ithome.com.tw/upload/images/20190918/201074826clRoYH6GS.jpg
(本圖僅用於該篇文章使用)

我們以上述SQL Slammer來舉例(當然目前防毒軟體都可以解決這個病毒),通常資訊部門在進行更新的時候,都是會先部分電腦更新之後,再更新下一批,MIS部門重要的是,

1.	如何思考怎麼去安排流程及優先順序?
2.	每個部門都要先進行分類,避免同一網域一起更新。
3.	每個區塊都要有備援區塊。
4.	遇到狀況,哪些節點可以向水密艙一樣,先斷開,支援系統先頂上,再修復。

既然都是弱點,那麼就要有犄角相輔,互相備援,沒有一個體系是沒有弱點的,筆者以上所提之方法,僅供各位讀者參考,戰場是瞬息萬變的,圍魏救趙,攻其不「備」,有「備」則無患。


上一篇
資安戰爭 三十六計之第1計:瞞天過海
下一篇
資安戰爭 三十六計之第3計:借刀殺人
系列文
資安戰爭 三十六計36

尚未有邦友留言

立即登入留言