iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 29
0
Security

資安戰爭 三十六計系列 第 29

資安戰爭 三十六計之第29計:樹上開花

/images/emoticon/emoticon06.gif《原文注釋》:「借局布勢,力小勢大。鴻漸於陸,其羽可用為儀也。」

/images/emoticon/emoticon15.gif《原文解析》:

(1) 借局布勢,力小勢大:借助某種局面(或手段)布成有利的陣勢,兵力弱小但可使陣勢顯出強大的樣子。
(2) 鴻漸於陸,其羽可用為儀也:鴻雁走到山頭,它的羽毛可用來編織舞具。喻人培養自己的德性,進而影響他人。

弱小的部隊通過憑借某種因素,改變外部形態之後,自已陣容顯得充實強大了,就像鴻雁長了羽毛豐滿的翅膀一樣。

/images/emoticon/emoticon33.gif《出處》:

劉表死後,劉備在荊州,勢孤力弱。這時, 曹操領兵南下,直達宛城,劉備慌忙率荊州軍民退守江陵。由于老百姓跟著撤退的人太多,所以撤退的速度非常慢。曹兵追到當陽,與劉備的部隊打了一仗,劉備敗退,他的妻子和兒子都在亂軍中被衝散了。劉備只得狼狽敗退,令張飛斷後,阻截追兵。張飛只有二三十個騎兵,怎敵得過曹操的大隊人馬?那張飛臨危不懼,臨陣不慌,頓時心生一計。他命令所率的二二十名騎兵都到樹林子裡去,砍下樹枝,綁在馬後,然後騎馬在林中飛跑打轉。張飛一人騎著黑馬,橫著丈二長矛,威風凜凜站在長板坡的橋上。追兵趕到,見張飛獨自騎馬橫矛站在橋中,好生奇怪,又看見橋東樹林裡塵土飛揚。追擊的曹兵馬上停止前進,以為樹林之中定有伏兵。張飛只帶二三十名騎兵,阻止住了追擊的曹兵,讓劉備和荊州軍民順利撤退

/images/emoticon/emoticon76.gif《資安戰運用實例》:

騰訊旗下資安公司Keen Security Lab的資安研究員上週發表了一份報告,在車道中貼了 3 張貼紙,引導自動駕駛的Tesla Model S誤判,駛進對向車道。報告一開始,研究員嘗試讓與左側車道分隔線模糊難以辨識,企圖擾亂特斯拉的方向,不過特斯拉這方面表現極佳,絲毫不受干擾,測試結果顯示要藉抹糊路上標線攻擊特斯拉的實行難度非常高。

不過既然對模糊標線也能準確判斷,研究員換個角度切入,測試「假車道攻擊」(fake lane attack)。研究員在地上貼了三張貼紙,依序延伸到左側,結果特斯拉自動駕駛果真上鉤,將應為對向的車道當作另一條路的右側車道,直接開進去。雖然測試中並沒有設定另一輛對向車開過來,但現實中也有可能會碰到沒對向車的情形,逆向開在車道中仍然相當危險。

至於達成難易度方面,報告中並無詳述貼紙大小,但從現場畫面看起來應該是「可見而不大」的記號貼紙。研究員也在結論中判斷駭客可以輕易重現類似攻擊手段,並補充建議應加強判斷條件,讓自動駕駛車輛至少能理解並避免駛入對向車道。

原文請參考:《聯合新聞網--三張貼紙把特斯拉騙入逆向車道 資安研究員揪自動駕駛盲點》:https://udn.com/news/story/7086/3747975

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

念過經濟學的人,都一定念過賽局理論,以下筆者用駭客防駭兩方來分析來建立一個簡單的賽局模型:

前題假設雙方都有目的性,在此目的性之下,就是雙方皆有理性的思考

A.駭客方:分兩種,
(1)典型進攻:目前市面上都可以查詢到的攻擊方式,例如DDos等。
(2)非典型進攻:非檯面上所可以知道的電腦攻擊方式,例如直接潛入竊取商業機密。

B.防禦方:分兩種,
(1)典型偵測:筆者將其定義為,防毒軟體、防火牆等,利用軟體或韌體自建的防禦工事。
(2)非典型偵測:筆者將其定義為,內部舉發、攝影機監控等,屬於心理層面的或非透過資訊軟體所設下的防禦工事。

賽局理論模型建立:(非經同意,請勿轉載)
https://ithelp.ithome.com.tw/upload/images/20191015/201074828lDG5ZYuOV.jpg

筆者將其結果建立成模型,分析如下:

(1) 典型進攻、典型的防禦:攻擊方勝算10%,防禦方勝算90%,這不代表攻方就沒有勝算,只是防禦方可以利用事後補救的方式,進行補救,攻方再次進攻的機會自然就減少很多。
(2) 非典型進攻、典型的偵測:防禦方勝算10%,攻擊方勝算90%,同理,這不代表防禦方就沒有勝算,因為駭客一方沒有依照一定規則來進攻,在技巧裡面可能混雜各種其他方式,防禦方會疲於奔命,可能駭客方挖東牆,防禦方補西牆,變成防禦無法一致,因此,結果會變成攻方勝算大幅提高。
(3) 典型進攻、非典型防禦:防禦方勝算0%,攻擊方勝算100%,一般正常情況下,攻擊方已經打進來了,防禦方並沒有去建構防禦,而只是停留在初始的計畫階段,自然門戶大開。
(4) 非典型進攻、非典型防禦:防禦方勝算50%,攻擊方勝算50%,雙方各憑本事,只要能用上的技巧都可以用上。

筆者建立這個模型,結論沒有一定,各位可以參考以上非常粗略的一個建立模型,下去判斷該如何達到一個「自己所要的均衡」,畢竟,除非像第三種模式一樣,否則最後都會有成功與失敗的機率產生。

當然這些假設前題都是可以改變的,依照不同狀況去設定一些參數,表格上,雙方所設的條件也可以自行去定義以及擴充,不見得就是2X2的結果,大家可以根據結論去思考策略的運用。筆者建議,防禦方也可以透過成本的考量,來設定賽局理論的參數運用,最終取得一個平衡。

賽局理論就是看你的選擇是甚麼,最終會產生一個均衡的結果,所以,賽局理論的模型,就是一個可以用來思考資安策略應用的方法之一。


上一篇
資安戰爭 三十六計之第28計:上屋抽梯
下一篇
資安戰爭 三十六計之第30計:反客為主
系列文
資安戰爭 三十六計36

尚未有邦友留言

立即登入留言