iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 15
2
Security

資安戰爭 三十六計系列 第 15

資安戰爭 三十六計之第15計:調虎離山

/images/emoticon/emoticon06.gif《原文注釋》:「待天以困之,用人以誘之,往蹇來連。」

/images/emoticon/emoticon15.gif《原文解析》:

(1) 待天以困之:天,指自然的各種條件或情況。此句意為戰場上我方等待天然的條件或情況對敵方不利時,我再去圍困他。

(2) 用人以誘之:用人為的假像去誘惑他(指敵人),使他向我就範。

(3) 往蹇來連:語出《易經.蹇》卦。蹇,卦名。本卦為異卦相疊(艮下坎上)。上卦為坎為水,下卦為艮為山。山上有水流,山石多險,水流曲折,言行道之不容易,這是本卦的卦象。蹇,困難;連,艱難。這句意為:往來皆難,行路困難重重。

/images/emoticon/emoticon33.gif《出處》:

語或出《西遊記》第五三回,「賺虎離窩」。三國魏少帝時,皇族曹爽為大將軍,司馬懿為太尉,曹爽無論資格、能力都遠遠比不上司馬懿,他擔心司馬懿遲早會篡奪曹氏江山,就讓魏少帝提升司馬懿為太傅,實際上是剝奪了他的兵權。司馬懿十厘清楚曹爽的意圖,為了不上曹爽進一步加害于他,他幹脆裝病不入朝。曹爽又派親信李勝去探聽虛實,司馬懿故意裝瘋賣傻:僕人侍候他喝粥,他不能用手接,而是直接把嘴放到碗邊喝,只見粥順著碗邊流下來,把他的衣物全打濕了。李勝見此情景,覺得司馬懿病的不輕,回去全告訴了曹爽,曹爽大松了一口氣。

公元249年1月,「病中」的司馬懿乘機派人提醒魏少帝去祭祖,少帝果然領著他的王族及親信全部出城去祭祖。司馬懿聽報少帝一行剛出皇城,見「虎」已調出,立即披甲帶槍,同他的二個兒子,率領兵馬搶佔了城門和兵庫,並假傳丘太後的詔令,撤了曹爽的軍職。曹爽一行得知城裏情況,一時慌了陣腳,同時,他們都是些吃喝玩樂之輩,經司馬懿輪番的利誘與威逼,曹爽隻得繳械投降。後來,司馬懿以「謀反罪」,殺了曹爽一幹人,如此,魏國的軍、政大權盡歸于司馬懿一族人的手上。

/images/emoticon/emoticon76.gif《資安戰運用實例》:

蜜罐(Honeypots)是一種誘捕系統,目的是以調虎離山的作法引誘攻擊者,讓攻擊者遠離重要的系統。除此之外,蜜罐也會收集攻擊者的行為,並且拖延攻擊者在系統所停留的時間,讓管理者能採取適當的行動。

蜜罐內的資訊都是假的,看起來有價值,但合法使用者卻不會存取的資訊。因此,任何存取蜜罐的行為都有可疑之處。目前最新的作法,是以蜜罐建立完整的網路,以模擬企業完整的網路。

可參閱Sergeyau所寫的 《30天蜜罐品嘗》。

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

每個員工在企業內,都會依其權限及工作內容,做身分上的認證,這樣也可防止外部的入侵及控管企業職員的作業情況,最簡單的一種登入,就是每天早上開機時,如果是用windows系統,就會要求用戶登入,以便開始紀錄電腦使用的狀況。那麼這種登入的意義大致可分為兩種作用:

(1) 資源配置:當登入之後,系統很快就能根據登入者的權限,去分配資源給使用者。
(2) 驗證:日誌會記錄使用者,相關的安全風險信息、用戶身份認證信息,對保障系統的安全性,具有非常重要功用。

認證系統上,我們大致分為單點認證及雙向認證,這類分法,其實很簡單,

(1) 單點認證:如下圖的驗證碼欄位,此種就是單點認證。

https://ithelp.ithome.com.tw/upload/images/20191001/20107482mKbc80mGQ8.jpg

(2) 雙向認證:例如在用戶端,有些資料需要保密時,就會使用SSL認證(Secure Socket Layer協議),最常見的就是股票的憑證管理,以下就用元大證券憑證網業為參考。

https://ithelp.ithome.com.tw/upload/images/20191001/201074822WuD7iUtkt.jpg

當然透過這些驗證的方式,我們可以確定用戶端的資訊通過了驗證,這幾年除了原有的密碼認證,再加上指紋驗證、臉部驗證,多設了很多道防線,以避免用戶資料被盜用或者洩漏,然而水能載舟,亦能覆舟,這種情況下,會出現兩種情況:

1.過於相信使用者或客戶端:企業內無法知道客戶到底是為什麼要使用,或是怎麼使用,很多認證幾乎只是形式上的認證,如果客戶偽造系統上的一些表單或資料,然後透過各種認證,來測試端口的弱點,此時,整個系統很容易大亂,畢竟,我們無法確知使用者的意圖是甚麼

2.不信任使用者或客戶端:如果設定太多認證,過程過於繁鎖,不但管理者自己作法自斃,也造成使用者對於系統過多規則,而不願使用。雖然實為加強安全,但卻是處處設防,筆者過去也提過,例如USB的使用權限,設定過多繁鎖的權限,每次使用都要輸入密碼或是另外設計驅動程式,增加太多管制,此時就需要考慮調整或者做系統修改。

很多在企業MIS設置上,取捨是最痛苦得,MIS部門如果沒法掌握部門特性,相對的每天要處理的問題自然就疲於奔命,普遍的MIS部門最後都會丟一張表單給部門主管,請部門主管填上需要甚麼權限,然後直接就依表單需求開放權限,此時,雖然在程序上做了控管,但是,我們無法預知,製表、複核、核准三方是否真的了解,此權限開放的後果? 舉個例子來說,企業薪資轉帳,在多方認證加密等等關卡之後,依然發生薪資私下移轉給外部人的事件,所以在技術面已經可以達到一定程度之後,我們就應該將思考的層面提升到管理面,畢竟如上面所說的,你無法得知使用者的意圖到底是甚麼?

總結:
(A)攻方:掌握主要技術,並繞過主要的技術,開闢新的戰場。
(B)守方:除強化認證、權限等,更應探討使用者意圖,並從技術面提升到管理層面。


上一篇
資安戰爭 三十六計之第14計:借屍還魂
下一篇
資安戰爭 三十六計之第16計:欲擒故縱
系列文
資安戰爭 三十六計36
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言