iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 7
2
Security

資安戰爭 三十六計系列 第 7

資安戰爭 三十六計之第7計:無中生有

/images/emoticon/emoticon06.gif《原文注釋》:「誑也,非誑也,實其所誑也。少陰,太陰,太陽。」

/images/emoticon/emoticon15.gif《原文解析》:

(1) 誑也,非誑也,實其所誑也:運用假象欺騙對方,但是又並非一直假到底,而是讓對方把受騙的假象當成真象。
(2) 少陰,太陰,太陽:利用大大小小各種假象來掩護背後的真象。

/images/emoticon/emoticon33.gif《出處》:

道家認為「有」是從「無」產生出來的。語本《老子》第四○章。東晉末年,淝水之戰,秦軍緊逼淝水西岸布陣,晉軍無法渡河,只能隔岸對峙。此時謝玄就派使者去見苻融(苻堅之弟),激將他說:「現在兩軍都逼臨水岸,誰也無法前進一分。看來,要想速戰速決是不可能了,只能曠日持久地消耗兵力。但是,如果您率軍稍微撤退一點,讓晉軍渡過河來對戰,豈不很快就能決勝?」

對於這個鋌而走險的建議,秦軍諸將都表示反對,但主帥苻堅認為可以將計就計,放膽一試,讓軍隊稍微後退,待晉軍置身河中時再派騎兵衝殺,便可以取得勝利。於是,他們答應了謝玄的要求,開始指揮秦軍後撤。不料興致低落的將士一後撤就徹底失去了控制,陣腳大亂。趁此時機,謝玄率領八千多騎兵搶渡淝水,向秦軍發起了猛攻。朱序則不失時機地在秦軍陣後大叫:「秦兵敗矣!秦兵敗矣!」信以為真的秦兵競相奔逃。苻融眼見大勢不妙,急忙騎馬前去阻止,不料戰馬被亂兵衝倒,落馬的苻融很快便被晉軍追兵所殺。

/images/emoticon/emoticon76.gif《資安戰運用實例》:

過去幾年在電腦上盛行的假防毒軟體 (FakeAV)已經移植到了 Android 平台,名叫 Virus Shield,該病毒已於2014年 3 月 28 日首次現身 Google Play 商店,並以 3.99 美元的價格販售。假的防毒軟體已經變成集團化在操作了,2012 年10 月)有個新聞說美國聯邦法院以高達1.63億美元的重罰判決一名販售假防毒軟體的女性,該女子透過社交工程陷阱( Social Engineering),欺騙使用者讓他們以為自己的電腦潛藏病毒或其他惡意軟體,接著推銷一經付費便可立即下載使用的假防毒軟體。該集團誘騙橫跨 6個國家破百萬名的消費者購買假防毒軟體。最早的假防毒軟體利用恐嚇軟體手法(scareware tactics)憑藉的是讓使用者信以為真的感染警告。不過這個手法的威脅情勢已轉化為營利為主,促使網路犯罪份子運用更多的迂迴狡詐的技術。
該篇新聞,請詳閱以下連結:https://blog.trendmicro.com.tw/?p=113

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

最近筆者很注意仔細的看「南山人壽的新系統—境界」的相關新聞,主要是南山開發這個新系統之後,因為狀況百出,被金管會下令重罰,詳細的新聞,請大家參考最近的一篇新聞: https://udn.com/news/story/7239/4058958

這個案件特殊的地方,是新系統的建置到上線之後,頻頻出包,甚至有的客戶出現扣款異常等等系統的問題,由於出包太多,又不見其改善,因此金管會不得不出重手重懲南山人壽,重懲的理由有三個,大家可以參考以下的新聞:https://www.chinatimes.com/realtimenews/20190917003371-260410?chdtv

筆者在此只舉第一個懲處的理由,那就是未落實金融控股公司及銀行內控的三道防線架構

大家應該了解,金融業是特許行業,比較有其特殊性,所以在內控方面可謂是高標準在運作,那麼何謂三道防線?

1.	第一道防線:自行檢查。
2.	第二道防線:法令遵循與風險管理。
3.	第三道防線:內部稽核。

這三道防線,其實在資通安全管理辦法裡面也套用了這三道防線的概念

新系統的上線,是很多公司都會遇到的一個問題,新系統理論上就是有別於舊系統,整體作翻新,理論上,剛上線都會遇到很多問題,台灣雖然號稱軟體王國,然而,筆者還是覺得,小規模的系統尚可以做到不錯的程度,然而,真的進入大型、跨國的軟體,台灣就不見得能到達國際水準了,這其中到底是甚麼原因,探討該問題可能就又是另一個大主題了,在此不做討論。

新系統剛上線,通常就是MIS皮繃最緊的時候,正常狀況下,系統是最脆弱的時候,MIS除了隨時要被召喚去處理很多操作上的問題,還要隨時檢測是否有不明流量及IP攻擊,以最近最有名的另一則新聞就是台灣民眾黨的網頁,才剛上線,因為簡訊認證機制被濫用,導致系統出包被駭,不得不關閉網頁。

本次南山人壽境界計劃給我們一個啟示,金管會認為,新系統上線,理論應該是先進行小規模的測試,然後,在逐步擴大,其實,一般企業通常都是直接上線,所謂的風險控管,都沒有考慮到測試這點,小規模的測試,對於企業來說太浪費時間了,但是不經測試,倉促上線,又造成門戶大開,風險控管幾乎等於零,但是一般企業處理類似的問題,都以為防火牆、防毒軟體檢測、DNS的檢測、IP的檢測這些步驟就可以抓出問題,但實際上,這些太過制式化的測試,根本不符合自己風險控管及內部控制程序。

由於上述第一道防線:自我檢測及風險管理未做好,到了第二道防線,法律遵循跟風險控管那就更不可能了,筆者每天都會挑幾個It邦幫忙的技術問答來看,有次意外看到幾則邦友的回應,回應內容是,法律滾出去,筆者實在有些意外,目前法遵已經非常重要了,資訊應該更開放的與各種不同領域做結合,畢竟,很多領域將來都會應用到資訊,總不能到最後,都是隔著一堵牆,彼此玩自己的吧?

最後一點,就是內部稽核機制,在這點上面,筆者認為系統稽核,有時還是必須要在系統更新時,就指派MIS成立專責稽核人員,此人必須具有獨立性,必要時由稽核部門專責考核及指揮,否則一般的稽核大部分都非MIS出身,在專業知識上不足,即使查核也流於形式。

總結:
(A)攻方:趁其最脆弱的時候進攻。
(B)守方:落實內控三道防線。


上一篇
資安戰爭 三十六計之第6計:聲東擊西
下一篇
資安戰爭 三十六計之第8計:暗度陳倉
系列文
資安戰爭 三十六計36

尚未有邦友留言

立即登入留言