image
20221230孫維德(David Stinson)■台灣金融研訓院特聘外籍研究員

新的資安思維 承認人工監控有其侷限

image
 ●無論是資安還是網路攻擊,最終其實都是人類行為,IT專家必須找出一些方法,知道哪些地方值得特別認真監視。圖/本報資料照片

當代的攻擊面(Attack Surfaces)數量呈指數增長,資安問題變得愈來愈複雜、愈來愈棘手。成功的IT業者總希望掌握全球各地的客戶,而且每個客戶需要的不同程式,會遇到的資安問題也各不相同。

 美國政府最近才開始發現這種架構的安全漏洞,是業內有名的SolarWinds事件。整場SolarWinds攻擊事件的源頭,是駭客潛入SolarWinds的軟體建構系統,讓系統出現漏洞。在進入系統後,攻擊者使用SolarWinds的客戶送出幾個惡意更新。它通常刻意不去啟動惡意程式,這麼一來系統就毫無異狀,很難發現。直到成功找到重要目標,就開始對「聯合身分管理系統」(Federated identity management, FIM)下手。

 所謂「聯合身分管理系統」,是為解決密碼多如繁星而開發出來的方案。我們每個人都有一大堆帳號密碼,不但很難記住,更可能淪為入侵破口,因為我們往往會把好幾個網站的密碼設成同一個,駭客攻破一個就等於攻破全部。但「聯合身分管理系統」可以整合所有帳密,使用者只要記住一個密碼,IT部門只需要登記一個帳號,就可以登入除組織內部網路以外的所有系統。谷歌或臉書就是用類似方式,讓我們用谷歌或臉書的帳號,登入各種其他平台。

 「聯合身分管理系統」會在系統中儲存使用者的憑證。之後使用者要登入外部服務,例如亞馬遜雲端運算(Amazon Web Services, AWS)的時候,就可以直接跟管理系統要求憑證,轉交給第三方,證明自己是合法使用者。

 駭客在SolarWinds攻擊中就是利用這種機制,它使用一個「黃金SAML」(Security Assertion Markup Language,安全聲明標記語言)繞過使用者的同意,直接向第三方「證明」自己的身分。他用Orion軟體連結雲端服務,偽裝成所有想要偽裝的身分,甚至是企業的執行長和IT管理員。因為它沒有聯絡「聯合身分管理系統」,該系統從頭到尾都不知道自己被繞過了。

 零信任的各種意義

 最近駭客使用IT管理軟體的方式,就是俗稱「就地取材」的攻擊手法。他們會躲在現有的管理軟體中,很長一段時間不會被發現。以前的駭客通常會直接向系統寄送惡意檔案,但防毒軟體現在都會監控所有靜態硬碟,也就是所謂的「死碟掃描」(Dead Disk Scan);所以駭客現在都放棄入侵硬碟,改為利用電腦運作中的漏洞。只要找到漏洞,就可以躲在電腦中不被發現。高階駭客還會在各台主機間不斷轉移,獲取愈來愈高的權限。這也表示他們必須仔細研究當地的網路環境,躲開所有監視工具,躲開所有明確要求系統管理員認證的目標,避免留下足跡。要應付這種入侵,目前主流的方法就是「零信任」。

 根據美國國防部的《零信任參考架構》(Zero Trust Reference Architecture),「零信任模型的基本原則,就是所有位於安全範圍外的參與者、系統、網路、服務,在登入時都需要驗證。這種戲劇性的典範轉移,是為了保護我們的基礎建設、網路、資料。過去只需要驗證一次之後就能持續登入,現在每位使用者、每台設備、每個應用程式、每筆交易都必須重新驗證。」

 資安問題其實是人的問題

 美國在2021年5月發布了〈改善全國資安〉(Improving the Nation's Cybersecurity)的行政命令,要求政府在2024年前改用零信任架構。拜登總統在發布命令時表示,「漸進式的改變無法保障我們需要的安全。聯邦政府需要投下重資,大刀闊斧進行改革,守護美國生活方式不可或缺的那些重要設施。」這段話顯然表示,美國在屢次受到攻擊,甚至連最重要的國安系統都被入侵後,產生了很強的危機感。未與其他大陸接壤的特性,讓這個國家幾百年來高枕無憂,但在網路中,沒有人具備地緣政治優勢。

 說回銀行業,雖然它的資安要求跟美國或台灣軍方不太一樣,但面對的威脅卻很類似。這個時代是一個充滿開放銀行、嵌入式服務的時代,資安漏洞勢必是常態。銀行業如果要保護自己的系統,就得選用恰當的安全機制,守護過頭和守護不夠一樣糟糕。

 無論是資安還是網路攻擊,最終其實都是人類行為。IT專家必須找出一些方法,知道哪些地方值得特別認真監視。目前的資安軟體監控目標,已經從靜態硬碟轉向更細緻的系統行為,但即便如此,還是得減少不必要的連結與活動,降低現代IT系統固有的複雜性,這樣才能及時找出可疑之處檢查並補救。悲劇一旦發生,我們就只能研究攻擊是怎麼成功的;但我們真正需要的是在漏洞剛出現時立刻發現,在攻擊發生前已經預防。

(本文譯者為劉維人)