iT邦幫忙

2025 iThome 鐵人賽

DAY 9
0
Security

誰說資安寫不了鬼故事系列 第 9

誰說資安寫不了鬼故事 - 09(甲方說要去識別化,所以我去識了所有)

  • 分享至 

  • xImage
  •  

有錢銀行對面的便利商店,是我想要在工作時打發時間的一個好選擇,這邊生意好到...有一次我在這便利商店坐了六個小時,想著「亞里斯多德」說的,「人因為是人,所以閒蝦比工作更重要」,我一直很難理解,「閒蝦」是什麼意思,在古希臘那個年代的蝦都很閒嗎? 這個問題,困擾了我那一天的六個小時,等我走出這間便利商店時,又發現那天我沒申請加班,也已經晚上五點了,再工作算是超時,為了不給公司和Anderson困擾,就只能委屈的下班了。

在那六個小時裡,除了我之外,就只看到兩個人,一個是準備下班的店員,一個是準備上班的店員。很奇怪,第一次看到有這麼讓人不想進來的便利商店,是因為那個自動門開門時的聲音嗎? 一般常聽到的都是「叮咚」,這家的自動門打開時,傳出來的是「客戶不是上帝,請有善交談,客戶不是上帝,請有善交談,客戶不是上帝,請有善交談......」,可能這邊離有錢銀行特別近,所以生意都不太好...

這年頭,誰想一進到便利商店就聽到...客戶不是上帝這六個字呢?

『我就說,我們兩個人談公事,就非得用什麼Line、遠端會議軟體或是到你們大樓裡的會議室嗎? 你們銀行樓下對面,不就有便利商店,就是我跟你現在坐在這裡啊,在這聊不好嗎?」

「王小四,這是公事...我們要注意保密...」

『你少舉著保密的大旗跟我說這個,你都沒有看新聞的嗎? 人家洩密交付資料,都可以約在咖啡店,為什麼我談正經公事,就不能坐在便利商店,你是嫌這邊檔次不夠高嗎?』

「沒有哦,你少來哦,千萬不要我只是提出我的想法,就亂扣我帽子哦。」

又來,又說我亂扣帽子,每次跟他討論事情都很累的原因就在這,我就已經跟他說結果了,他還要一直問一直問,幹嘛這樣。

「我今天要問你的是,我們那套Splunk,你總共建了多少個index? 我要怎麼查資料?」

Index? Index是Splunk用來儲存相同資料地方,比如所有的Windows日誌在Splunk裡可以建一個Index,名稱為idx_win或idx_windows啦,那需要搜尋Windows日誌時,只要在這個Index裡找就可以了,這也是我覺得奇怪的地方,我也打算要問小路。

『我應該建了300多個index吧? 我要回去登入Splunk確認一下。』

我發現小路呆滯的看著我...

『怎麼? 300多個太少嗎? 還是應該要建超過1000個,你的KPI才能達標?』

「王小四...你......為什麼會有300多個? 我們一開始怎麼討論規劃的?」

『一開始嗎? 你說Windows一個、Linux/Unix一個、防火牆一個、IPS一個、防毒一個、WAF一個...沒有了,剛開始是說先建這幾個Index。』

「那300多個是怎麼來的? 你剛唸的那些加起來才6個Index啊。」

『這就是我問你的啊,你們不是說要去識別化? 我照做了啊,可是這樣很難耶,我是人不是機器耶。』

「去..去識別化? 你又做了什麼?」

『原來不是說要去識別化嗎? 所以一開始講好的 idx_windows,我在設定的時候就變成 idx_01,WAF 應該是idx_waf,我設定成idx_09吧,我是人啊,我不是機器,我沒有辦法這樣很直觀的對照啊,所以我全部設定完後,我忘了IPS是idx 多少號了,就又建了一個新的編號,可是全部又建完後,我發現我又搞不清楚防火牆的編號是多少,所以...300多個。』

我也是好幾個晚上沒睡好,認認真真的在處理這些設定啊,怎麼感覺他又要開始怪我了?

「我們上次開會討論Splunk時,是有說到關於去識別化的議題,但是指的是,你在系統設定完成,要交付文件時,文件裡面有一些敏感資訊要去識別化,不是......天啊,這什麼世界啊...」

我無奈的看著小路...難道我照甲方說的做,也錯了嗎? 上次開會是他一直提醒我,要去識別化哦,要去識別化哦...

「你除了index做了去識別化...還有別的也這樣設定嗎?」

『你在開什麼玩笑,當然有啊,還有欄位名稱啊。』

「欄...欄位名稱? source ip 也變成數字了?」

『小路啊,就說你以前在學校不好好學,source ip 可能變成數字嗎? 你知道有多少欄位要去識別化嗎? 再說也不專業啊,所以我用了base64編碼,把所有欄位名稱都改成base64格式,這樣別人就看不出來了。』

看他那臉聽不懂我在說什麼的樣子...現在便利商店應該放「你的樣子」來聽一下。

『我解釋給你聽啦,你是不是沒睡飽?
原來不是應該是 index=idx_windows sourceip="192.168.0.1"
去識別化後會變成
index=idx_29 "c291cmNlaXA=" = "192.168.0.1"
這樣了解了吧?』

https://ithelp.ithome.com.tw/upload/images/20250830/20006132bWoGMswAUG.png

「你們公司還的還有缺人嗎? 我感覺你是上帝耶,我要先離開了,今天就當我沒來過,你想一下要怎麼都復原。」

要復原? 不要去識別化了?

『那我們是不是要有一場正式的專案會議,然後甲方代表的你要提出系統變更申請書? 你沒有照正常專案變更SOP,我自己變更這些設定,應該不好吧?』

小路沒理我,離開的時候,我只聽到自動門打開的聲音「客戶不是上帝,請有善交談」

(待)

2025/08/30 SunAllen

註:CISSP對照

*Asset Security(資產安全)
去識別化(De-identification)的正確使用場景,是在交付/分享文件時去除敏感資訊,不是直接在系統內部亂動。

錯誤的去識別化導致系統可用性受影響。

*Security Architecture and Engineering(安全架構與工程)
把欄位名稱改成 Base64 → 屬於「Security by Obscurity」的不當作法,會破壞完整性(Integrity)與可用性(Availability)。

*Security Operations(安全營運)
300 多個 Index 沒有經過正式規劃與文件紀錄,屬於 配置管理(Configuration Management) 失敗。
沒有走專案變更流程(Change Management),反而事後要求甲方出變更申請,完全本末倒置。

*Communication & Trust(跨域共性)
在便利商店談公事,觸犯「敏感資訊應在受控環境下處理」的原則。
這是典型的 不安全通訊管道 問題。


上一篇
誰說資安寫不了鬼故事 - 08(甲方說要交報告,所以我開始聽城裡的月光)
下一篇
誰說資安寫不了鬼故事 - 10(甲方說要備份,所以我萬無一失)
系列文
誰說資安寫不了鬼故事14
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言