iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 6
2
Security

資安戰爭 三十六計系列 第 6

資安戰爭 三十六計之第6計:聲東擊西

/images/emoticon/emoticon06.gif《原文注釋》:「敵志亂萃,不虞,坤下兌上之象。利其不自主而取之。」

/images/emoticon/emoticon15.gif《原文解析》:

(1) 敵志亂萃:語出《易經•萃》卦。意即敵人慌亂、沮喪的狀態。
(2) 不虞:沒有預料。
(3) 坤下兌上之象:萃卦的卦象為坤下兌上。上卦為兌,兌為澤;下卦為坤,坤為地。該象指地面上洪水泛濫的場景。
(4) 利其不自主而取之:乘著敵人不能自控的混亂情況下,將其攻取。

此即行動時東時西,或攻或守,飄忽不定,引誘敵人做出錯誤判斷,不能自控,我則抓住敵人這一混亂局面,出其不意地進攻,一舉取得勝利。

/images/emoticon/emoticon33.gif《出處》:

語本《淮南子.兵略》。西漢景帝三年,以吳、楚為首的諸侯七國之亂爆發。周亞夫被任命為太尉,領軍東進與叛軍作戰。出發前向景帝提出用梁王劉武軍隊拖住吳、楚主力,尋找時機切斷對方糧道的戰略,得到景帝的認可。後實際作戰中,梁軍堅守西北,但受到吳楚軍壓迫,不停向東南邊的周亞夫求救,但周亞夫按兵不動,用輕騎兵從後面截斷了吳楚軍的糧食供給。缺糧的叛軍反撲未果,終於崩潰。

/images/emoticon/emoticon76.gif《資安戰運用實例》:

Bad Rabbit(壞兔子),這種勒索病毒在2017年秋天首次出現,跟據Hacker News的報導,它在俄羅斯和烏克蘭感染了超過200個組織。Bad Rabbit利用了NSA被Shadow Brokers駭客集團外流的漏洞攻擊碼,迅速地滲透受害者的網路並進行擴散。不過,研究人員很快地從感染案例中發現Bad Rabbit並不只是一般的勒索病毒,這病毒還隱藏了一起強大的魚叉式網路釣魚活動。

當攻擊出現時,研究人員發現感染始於中毒俄羅斯媒體網站的偷渡式下載(drive-by download),利用假Flash播放程式來安裝惡意軟體。這樣一來,最初的Bad Rabbit勒索病毒只是個煙霧彈,用來掩飾鎖定特定對象的針對性攻擊。烏克蘭國家網路警察主管Serhiy•Demedyuk稱這為 「混合攻擊」,並指出第一波攻擊吸引了大部分的關注,讓第二次攻擊能夠成功取得「災難性的結果」。

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

很多年前,筆者曾經在查核某家公司時,在瀏覽該公司的網頁時,發現該網頁漏洞很多,其網頁幾乎是不設防,當然,筆者當時只是觀看其網頁訊息更新情況,只是意外發現網站實在太陽春了。之後,問了一下該公司的MIS,MIS表示,公司正在架設新網頁,舊的這個是暫時使用,等到新的網頁上線,這個舊網頁會刪除。筆者當時曾經想過,如果這個舊網頁被有心人士整個盜用,那麼公司該如何防範?

我們必須注意一個問題,這種盜用網頁的方式,沒有直接正面去攻擊企業的網頁,而是將舊的版面整個複製,甚至利用DNS轉址方式,轉移企業的網頁連結,這個部分又不在企業內控範圍之內,基本上也很難靠內部稽核來查外部盜用的連結。

讀者不要忘記,我國的資安法是到去年才通過的,各位也千萬不要怪政府立法太慢,筆者在接觸法律課程之後,才了解一個觀念,法律不可能走在科技前面法律必須是抽象,故意模糊,以便可以適時補充解釋或類推到具體的案例上,如果太過於具體,很容易被有心人士限縮到動彈不得,當然也不能無限抽象,讓立法者得以羅織罪名。

當然,有人也曾提過,為何法律不能先訂好,讓大家有SOP可以去遵守,筆者不反對這個邏輯,但是最好有個前題

-->大家都願意守法! (看來似乎很不容易。)/images/emoticon/emoticon70.gif

像類似這種非正面攻擊的方式,甚至於根本沒有攻擊,另闢戰場的形式,其主要目的之一,不外乎就是要取得客戶資料,藉機詐取企業獲利,企業該如何防範呢?筆者提出以下的建議:

1. 如果是**公開發行公司**,那麼在內控電腦資訊系統控制作業第十項裡面「資通安全檢查之控制」,要求MIS定期檢查搜尋網站上,檢核是否有相同公司名稱的網頁,或者有被冒用的情形。並做成紀錄。

2. 如果是**未公開發行公司**,因為有的公司可能規模不大,或是草創階段,那麼最好還是偶爾查詢一下,是否有被冒用,同時,定期注意一下公司網頁上如果有不明廣告連結,或者是原來就有的廣告連結,是否有問題,以免造成顧客及自己商譽的損失。

總結:
(A)攻方:飄忽不定,非正面攻擊,或者不攻擊,甚至另有目的,難以了解主要攻擊點。
(B)守方:遵守法令,並隨時接收案例資訊,做好備援機制,並加強宣導及通報制度。


上一篇
資安戰爭 三十六計之第5計:趁火打劫
下一篇
資安戰爭 三十六計之第7計:無中生有
系列文
資安戰爭 三十六計36

尚未有邦友留言

立即登入留言