《原文注釋》:「類以誘之,擊蒙也。」
《原文解析》:
(1) 類以誘之:用極類似的東西去迷惑敵人。
(2) 擊蒙也:使敵人懵懂上當。
《出處》:
宋‧釋道原《景德傳燈錄》卷十:「比來拋磚引玉,卻引得個墜子。」。西元690年,契丹攻佔營州。武則天派曹仁師、張玄遇、李多祚、麻仁節四員大將西征,想奪回營州,平定契丹。契丹先鋒孫萬榮熟讀兵書,頗有機謀。他想到唐軍聲勢浩大,正面交鋒,與己不利。他首先在營州製造缺糧的輿論,並故意讓被俘的唐軍逃跑,唐軍統帥曹仁師見—路上逃回的唐兵面黃肌瘦,並從他們那裡得知營州嚴重缺糧,營州城內契丹將士軍心不穩。曹仁師心中大喜,認為契丹不堪一擊,攻佔營州指日可待。
唐軍先頭部隊張玄遇和麻仁節部,想奪頭功,向營州火速前進,一路上,還見到從營州逃出的契丹老弱士卒,他們自稱營州嚴重缺糧,士兵紛紛逃跑,並表示願意歸降唐軍。張、麻二將更加相信營州缺糧、契丹軍心不穩了。他們率部日夜兼程,趕到西硤石谷,只見道路狹窄,兩邊懸崖絕壁。按照用兵之法,這裡正是設埋伏的險地。可是,張、麻二人誤以為契丹士卒早已餓得不堪一擊了,加上奪取頭功的心情驅使,下令部隊繼續前進。
唐軍絡繹不絕,進入穀中,艱難行進。黃昏時分,只聽—聲炮響,絕壁之上,箭如雨下,唐軍人馬踐踏,死傷無數。孫萬榮親自率領人馬從四面八方進擊唐軍。唐軍進退不得,前有伏兵,後有騎兵截殺,不戰自亂。張、麻二人被契丹軍生擒。孫萬榮利用搜出的將印,立即寫信報告曹仁師,謊報已經攻克營州,要曹仁師迅速到營州處理契丹頭人。曹仁師早就輕視契丹,接信後,深信不疑,馬上率部奔往營州。大部隊急速前進,準備穿過峽谷,趕往營州。不用說,這支目無敵情的部隊重蹈覆轍,在西峽石穀,遭到契丹伏兵圍追堵截,全軍覆沒。
《資安戰運用實例》:
行政院政務委員唐鳳今天表示,往後的資安防護戰場不再是築起高牆並做到滴水不漏,而是更重視當發生攻擊時,如何有效應對與反擊。
唐鳳今天出席行政院生技產業策略諮議委員會議(Bio Taiwan Committee,BTC)時,並以「資通安全與自主權:創新的挑戰與機會」作為引言主題。
唐鳳表示,
過去的資安防護概念是築起高牆,防止外來的攻擊,但是大約從去年開始,國際上越來越多人重視、討論,當攻擊發生時要如何阻擋,並從中學習經驗,以避免下次相同的攻擊。
她說,這樣的機制就像是人體的免疫系統,當來自外界的新型病毒攻擊人體時,免疫系統會自我調適,當下一次相同的攻擊發生時,就不會對人體造成嚴重的損害。
這類的資安防護概念在過去幾年已經陸續被不少政治、科技領域運用,唐鳳以法國總統馬克宏於2017年競選時遭遇的資安攻擊為例。
唐鳳說明,競選期間,馬克宏的科技幕僚發現有一組黑帽駭客不斷發動攻擊,試圖要竊取與馬克宏有關的機敏資料。當時馬克宏的團隊並不是選擇築起資安高牆,而是註冊更多假帳號,並讓這些假帳號彼此之間傳遞虛假的訊息、資料,同時降低這些帳號的資安防護,讓駭客輕易取得這些錯誤資訊。
她表示,在選舉前幾天,這群駭客將這批資料揭露,試圖影響選情,但隨即被馬克宏的科技幕僚打臉,證實這些都是顯而易見的錯假內容,並指出是有心人士意圖抹黑馬克宏。後來,馬克宏的支持度與信任度不減反增。
唐鳳提醒,如今AI蓬勃發展,隱身在資安攻擊的背後不是人而是機器,行為模式接近自然界病毒,攻擊並不是針對特定人,而是「誰的門沒關好,他們就會進去。」因此這樣的資安攻擊不存在動機,更重要的是,當這樣的情形發生後,要怎麼應對。
《新聞來源:經濟日報2019.09.13資安防護觀念轉變 唐鳳:如何反擊更重於防守》
《企業實務上,筆者觀點》
根據行政院主計處的統計,截至2018年台灣的上市公司一共928家,上櫃公司766家,所以上市櫃公司合計1,694家,在這約1,700的公司當中,有認真在執行企業內控的,也許前一百大有真的在做,如果推估起來也僅有1/17的公司有認真在執行,筆者這樣預測也許很武斷,但是,如果按照廣義的資訊安全去推估,而不僅限縮在MIS範圍內,那麼筆者的推估可能還太高了。
資安推行時間不久,但其實這兩三年來案例累積,已經非常多了,以筆者去年寫的三十篇資安案例來說,很多防毒軟體、資安顧問公司,已經提供非常多的「防護」與「警示」,然而大部份就偏重於防守,對於策略運用上,屬於較被動的情形,上述的資安實例運用裡面,引述了行政院政務委員唐鳳的意見,就是很希望國內能夠運用類似法國總理馬克宏的策略運用,讓敵人陷入錯誤或者泥沼裡面,最後在予以殲滅,這種方式,也就是筆者想要表達的概念。
資安戰爭的討論,資料也不少,尤其是對岸所謂不對稱式作戰,更是長期有在整理相關資料的整理,臺灣也一樣有在作資料整理,筆者在台灣全國碩博士論文網內,也用關鍵字搜尋到一篇論文,如下圖所示:
換句話說,這是個值得大家深入探討的領域,尤其是這種看不到實體戰場,卻能透過模擬的方式模擬,理論上,應該可以整理出更好的論文。企業實務上,其實也應該有更多案例分享,甚至於有的企業在資安上面,應該作策略聯盟,否則單憑一、二家指標性公司去落實,實在也太困難了
,譬如台積電目前也僅能作到防守而已,公司不可能為了這個資安去作任何反擊,除非是公司機密資料被盜取,最後也只能訴諸司法,然而我國司法程序上,也需要蒐證,時間上也是緩不濟急。
當然,政府本身也希望透過通報機制來達成防護的目的,然而,我們看很多國外案例,很多都還是必須透過外部社群,不停的提供資訊,快速想出應對方式,如前幾篇所提到的美國Dynn的案例,當公司本身無法解決問題時,都得要透過外部力量的結合,不停的「反擊」,才能制止問題的擴散
。所以,外部力量整合就變得很重要。當然外部這些社群,也要有足夠的讓企業信賴的團體,否則一有不慎,剛好與駭客方有關係,反而弄巧成拙,所以這類考核機制還是要存在的。
技術面當然是很重要,技術是要不停的協助解決問題,但每次案例的發生,所有處理模式,不能只靠單一技術就能解決問題,能夠提升到更高一層的整合面,並予以還擊,才能比較有效的做到資安。
資安三十六計,就是拋磚引玉,讓資安觀念更加進化。