iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 10
2
Security

資安戰爭 三十六計系列 第 10

資安戰爭 三十六計之第10計:笑裏藏刀

/images/emoticon/emoticon06.gif《原文注釋》:「信而安之,陰而圖之;備而後動,勿使有變。剛中柔外也。」

/images/emoticon/emoticon15.gif《原文解析》:

(1) 信而安之:使敵人相信我方的「友好誠意」而麻痹鬆懈。
(2) 陰而圖之,勿使有變:我則藉機暗中謀劃,積極準備,待機行動切不要讓它發生變化。
(3) 剛中柔外也:這就是暗藏殺機、外事和好的謀略。

/images/emoticon/emoticon33.gif《出處》:

唐玄宗的宰相李林甫,在他的「老闆」面前,贊不離口,笑不離容,進讒言、排異己、忌賢才、除政敵,可謂「笑」得精彩,「藏刀」藏的高明。為此,後人專門為他造了一個成語叫「口蜜腹劍」。不過他的下屬也有人精通此道,一個「得意門生」楊國忠也對他如法炮製,最終使他落了個「劈棺驚屍」的下場。

/images/emoticon/emoticon76.gif《資安戰運用實例》:

Facebook旗下以安全聞名的即時通訊軟件WhatsApp被曝出存在嚴重安全漏洞,駭客可以監控用戶的聊天內容,甚至能做出篡改。

以色列的網絡信息安全公司Check Point發現,黑客有三種方式來改變內容,首先可以使用群組對話的quote功能改變發送者身份,這一功能類似於微信群組聊天中的@,不過是針對某句話的回覆;第二可以改變其他人回覆內容;第三可以將一對一信息偽裝成群發信息,發送給群中個人,用戶的回覆會直接被群中所有人看到。

WhatsApp在全球180個國家中擁有15億用戶,已然成為重要的信息傳播平台。當然,也成為了假新聞和犯罪的溫床。在印度和巴西,已經有在WhatsApp上流竄的謠言導致無辜者死亡的案例。而且,很多時候,和微信類似,WhatsApp已然成為工作溝通工具,如果商業信息被惡意篡改,會對公司和個人都造成重大影響。

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

有時為了確認企業的交易是否是真實的,所以查核人員會針對進、銷貨做真實性查核,為了確認每筆交易真實存在,而非虛假交易,因此,都必須要很真確的拜訪交易對象,並拍照留檔,以確認真實的存在,並核對客戶資料,最後將客戶資料整理歸入底稿中,任何交易有問題,隨時跟對方查證,以便釐清有交易問題的單據,這就是所謂的真實性查核。

當企業規模小的時候,交易簡單,公司目標主要是衝業績的時期,但是,常見的問題是在最後客戶付款的時候,做了假交易,例如倒帳等等,很多企業常常欲哭無淚,除了沒賺到錢,一開始就被對方騙得團團轉的,交際費用、設計圖…等等的費用、資料全部都被對方騙走,草創初期的公司,每筆交易都很重要,任何一筆交易對公司都是無比重要的,所以如果沒有真實性查核的機制,那麼只要有風吹草動,公司就有可能倒閉的風險。

當企業發展到一定規模時,還是會出現應收帳款收不回的問題,尤其是不合理的交易,最明顯的,就是大公司的壓迫,筆者不知道這是不是亞洲這邊才有,以個人的經驗,有些大公司常會跟小公司要求,請他們機台設備,先給他們試用,試用期之後,再決定要不要買下該設備,這一借可能就是一年,等它們用到高興了,就直接退還給公司,小公司為了未來能夠繼續跟大公司交易,有時不得不含淚接受如此不合理的交易,那麼這種情況下,真實性查核效果就會減弱,畢竟,對方是大公司,他不會突然消失,交易也持續進行,一切它們也遵照自己的企業內控進行,因此最多只是應收帳款的問題,但實際上公司都得忍氣吞聲,看著對方在尾牙上喊加零,心理都在淌血。

把這個觀念,運用到資安裡面,舉例來說,Mail server會先設定過濾的功能,以便核對每一筆信件是否有問題,或者是垃圾信件,然而,我們可以發現,很多客戶資料還是會被駭客攔截,造成資料外洩,當然,此時公司就會開始加強防火牆、防毒軟體,可是最後效果為什麼還是無法預防?甚至如上面所說的,即使內部控制都做得很完整,但最後還是造成很多無法挽回的問題呢?

筆者最常聽到的抱怨,就是我們不可能對每筆信件、交易做逐筆檢查,有時對方包裝得太好了,我們無法拒絕,筆者會反問,請問風險控管的目的是甚麼?如果你無法做到前端的風險控管,無疑的,就很容易把後面的程序給搞砸,那麼前端的偵測,不能夠嚴謹一點嗎?

以下兩張圖片,是在網路上所找到的兩張銷貨真實性查核的截圖,僅做為本次文章參考之用

https://ithelp.ithome.com.tw/upload/images/20190926/20107482RfhRr84oc7.jpg

https://ithelp.ithome.com.tw/upload/images/20190926/20107482hqmyx4mVDo.jpg

注意到第一張圖,在做風險控管時,我們必須要列明,要查核的問題,再依訪談的結果,再去思考有無其他風險存在,最後再如第二張圖,做出風險評鑑,這樣就是一套風險控管的稽核,重點就是要做問題的思考,這部分就是最難做的,因為企業團隊必須要做腦力激盪,而非流於形式上的查核,並且要進行抽樣勾稽,檢視有問題的表單,這些技巧並非逐筆檢視,查核上還是得考慮到時間問題的。

根據以上的方法,MIS也可以依照財會上的真實性查核的作法來進行抽樣檢核,每天有太多太多筆事件發生,彙整過來的紀錄數量是非常可觀的,但是,在後端的控制上,如果沒做好,整個系統防線就很容易潰堤,因此每周、月,如果有點Sense的主管,理論上都會請底下的MIS人員,將流量過大的紀錄整理出來,並且請MIS詢問是否有甚麼問題,造成如此的結果,參照以上的評分機制,定期的提出評鑑,配合上防火牆、防毒軟體的設置,如此才能產生綜效的效果,遇到問題時,能很有效地提出建議及資料比對,以便完成一個堅固的防線,如此就能降低在很多系統上的風險。

總結:
(A)攻方:包裹著糖衣,利用各種誘惑,進入核心攻擊。
(B)守方:做好真實性查核,有效分析有問題的紀錄,並做腦力激盪,探討其他可能性,鞏固好防線。


上一篇
資安戰爭 三十六計之第9計:隔岸觀火
下一篇
資安戰爭 三十六計之第11計:李代桃僵
系列文
資安戰爭 三十六計36

尚未有邦友留言

立即登入留言