iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

1
Security

資安戰爭 三十六計系列 第 33

資安戰爭 三十六計之第33計:反間計

/images/emoticon/emoticon06.gif《原文注釋》:「疑中之疑。比之自內,不自失也。」

/images/emoticon/emoticon15.gif《原文解析》:

(1) 疑中之疑:在疑陣中再布疑陣。
(2) 比之自内,不自失也:順勢利用敵壘內的間諜輔助我工作,就可以有效地保全自己,爭取勝利。

/images/emoticon/emoticon33.gif《出處》:

故事源自《三國演義》。東吳的都督周瑜想進攻曹操,只因曹軍中的兩個水軍將領蔡瑁、張允極富水戰經驗,堅守長江北岸,吳兵開展沒有必勝把握。此時,恰巧曹操的部下蔣干來到吳營打探軍情。周瑜察知蔣干來意,便假造了一封蔡瑁、張允的投降信。蔣干發現這一機密信件,如獲至寶,當即偷了這封假信,返回曹營報告曹操。曹操見信,一怒之下,下令將蔡張兩個水軍將領砍了腦袋,軍令剛下,曹操忽然反應過來是反間計,可是為時已晚,兩個將領已經人頭落地,曹操懊悔不已。

/images/emoticon/emoticon76.gif《資安戰運用實例》:

ICS(Industrial Control System,工業控制電腦)資安服務供應商FoxGuard Solutions的「駭客長」孟塔・艾爾金斯(Monta Elkins)準備了的以下的道具:一個150美元的熱風焊接工具、40美元的顯微鏡和數片2美元的晶片。透過這些物件,他就能以某種方式竄改思科(Cisco)的防火牆,獲得遠端操控的能力,並成功瞞過絕大多數的IT管理員。首先,他在自己網購來的2美元Digispark Arduino開發板上鎖定一塊比米粒要大,但比小拇指指甲來得小的ATtiny85晶片,將它拆下後經過編程,再焊接在Cisco ASA 5505硬體防火牆的母板上。在複雜的防火牆板上,幾乎難以注意到這張惡意晶片。一旦防火牆在目標電腦的數據中心被啟動,這個惡意晶片就會發動攻擊,觸發防火牆的「密碼恢復功能」,進而建立新的IT管理員帳戶,來取得設置防火牆的訪問權限。如此一來,駭客就可以從遠端監控此電腦,關閉防護功能,甚至竊取電腦內的資料。「這不是什麼魔法,透過示範,我希望讓大家知道這個技術沒有那麼遙不可及,」艾爾金斯說,「比我聰明的人太多了,對那些人來說這根本不算什麼。任何一個熱愛電機學的人都可以做到。」

晶片截圖,僅用於本次文章:

https://ithelp.ithome.com.tw/upload/images/20191019/20107482aAIQAiPANj.jpg

原文請參考:《數位時代--花6千元就能造間諜晶片,兩名資安專家DIY告訴你有多簡單》:https://www.bnext.com.tw/article/55150/spychip-cheap-feasible

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

大部分的企業會認為,做好資安並沒有辦法增加營收,屬於防禦性質的成本支出比較大,資訊人員在做資安的時候,很容易被財務人員,或老闆給砍預算,尤其企業內部,懂得這塊的人實在很少,雖然大家嘴上都說很重要,但是最後還是認為有做就好。

成本考量之下,的確很難有進一步的作為,企業最高宗旨是賺錢,如果沒有獲利,那麼企業正常都會希望不要增加支出,所以在財會的看法裡,自然會鎖定成本及費用兩個科目,並且加以刪減,所以很明顯地,資訊部門也會被要求檢討,是否可以砍掉部分費用….以上是財會部門的一種看法。

筆者卻有不同看法,我國的法律裡面,對於財會部門的罰款其實是最多的,各位可能不清楚為什麼是它們被罰最多的,各位可以到公開資訊觀測站裡,注意看看上市櫃公司的新聞,簡單看一下公告,其實,一整年下來,很多企業的重大訊息罰款,都是針對企業本身財會問題而開罰的,當然,最近金融保險業的資安問題也被重罰了不少錢,但還沒有擴及到製造、零售等行業,那麼有些罰款其實是可以避免的,甚至有些問題,都是財會自己的疏失所產生的,更甚者,還有些是未改善而被罰款的等等,筆者主要就是在說明,成本跟費用的支出增加,是全公司的事情,不能用一般的想法去思考,反而應該好好檢討是不是砍的合理才對。

有次筆者的同事問我,你們都在領薪水,有幫公司賺到甚麼錢嗎?筆者告訴這位同事,有的,我們的確幫公司賺了不少錢,只是你不知道而已。同事很困惑。我把被罰款的紀錄給他看,筆者說,今年度被開罰的件數已經比過去減少,而且每筆罰款都是罰最低金額,如果依照正常狀況,公司應該會被罰到另一個更高的金額,假使不是要求改善,處罰就會繼續下來,我們雖然無法避免罰款,但我們卻能幫公司修正的錯誤,並且讓公司省了一大筆錢下來,這些省下來的部分,無形中就是一筆收入,只是這種收入,企業很少感覺得到,但是,注意一下,財會相關的罰款,法令上通常都是24萬起跳的,環境汙染那更是高額罰款,主管機關的開罰,也會斟酌其改善程度而調整,所以,同理可證,資安不一定可以一次到位,甚至也無法可以達到100%的資安,所以,只要在可控制的災害內,逐次修正到一定的標準內,那麼就是幫公司省下一筆罰金,而這些省下的罰金,一整年換算下來,幫公司省下的費用,就是可以另作其他用途

因此,培養財務預算的觀念,就又是另一個很重要的課題了,如果有更多知識,自然能夠順勢提升自己有利的地位,將原來持有反對意見的一方,逐步轉化成協助資安的一方,也順勢提升資安的堅實堡壘。


上一篇
資安戰爭 三十六計之第32計:空城計
下一篇
資安戰爭 三十六計之第34計:苦肉計
系列文
資安戰爭 三十六計36

尚未有邦友留言

立即登入留言