全力消除信息不对称 提升网安战争胜率
持平而论,纵使现今多数企业都认为网安确实重要,却鲜少意识到,网安是一场信息不对称的战争,若未能理解黑客的思维脉络,只是一厢情愿布建防御工事,那麽防护效果就难以到位。
现任戴夫寇尔(DEVCORE)CEO、台湾黑客年会核心成员的翁浩正,认为企业在网安攻防上最大对手,并不纯粹仅是黑客或黑客组织,而是黑色产业,正因有需求、有利益,才会有黑客集团进行组织性攻击。
论及黑色产业的营利模式,则包括诈骗集团获取个人信用卡号与交易数据,从事诈骗行径,黑客组织取得个人帐密发动撞库攻击,窃取数据库进行贩卖或加密勒索,掌握流量而发动DDoS攻击。
秉持Red Team思维 理解黑客思维
伴随黑色产业实力日益壮大,假使企业仍固守传统策略,只利用近似盖城墙方式阻挡黑客,恐难奏效。翁浩正建议,企业不妨采纳Red Team思维,网罗网安专家组成渗透团队,模拟入侵者的战略,毕竟敌暗我明、攻击技术不断增长,企业若仅局限在防御思维、不理解攻击思维,将使自身居于劣势,而Red Team便足以弭平这般缺憾。
翁浩正指出,欲洞察黑客思维,首先须了解黑客如何评价漏洞,一般取决于稳定性、利用性、严重性等三项指标,譬如XSS跨站脚本攻击,即是属于稳定、好用,但不严重的型态,因为黑客无法靠它获取系统数据;究竟有无同时兼具三特性的杀伤力攻击?以近期备受讨论的Struts2 S2-045,便是典型之例。
值得一提的,员工往往沦为企业网安的缺口,只因黑客当发现服务器网安健全后,就会转而向员工个人电脑、个人装置下手,此时包括口令使用习惯不佳、弱口令、口令重复使用等因素,就有造成诸如撞库攻击的可能。面对这般险峻情势,企业应藉由防止外泄、防止破解、防止尝试等三层纵深建构防御,以避免口令遭恶意使用。
翁浩正强调,企业必须深切体认,网安就是战争,而战争没有侥幸,因此在打造前述三层纵深防御机制的过程,需要尽力消除与攻击者的信息不对称,不吝投注资源建构专责专职的网安人员编制,安排足够资源布建必要的防御体系,并不忘藉由二步骤验证,作为最后一道防线。