你是資安的窮人還是富翁？

| | | | | | 留下回應

    

我們姑且不論這樣的學說所帶來的影響為何，經濟現象也並非本文探討的重點；事實上，筆者是從資訊安全工作中發現，M型現象並非只出現在社會經濟層面，更存在於企業資訊安全環境。筆者認為，此一「M型現象」所帶來之衝擊與影響將撼動大多數IT經理原先的管理觀點與邏輯，因此，本文中將說明，所謂「M型現象」為何？是如何形成？又將如何衝擊現有資安防護？而我們又要如何因應？

威脅型態的轉變與攻擊喜好的轉移

根據筆者多年以來的服務經驗，當被問及公司所關切的安全問題時，大多數管理者都會不假思索回答攻擊多數來自於病毒、駭客等等外部的威脅。的確，從1985年以來許多研究單位以及廠商們的技術發展均不斷提醒著外部攻擊的嚴重性，以及「阻擋式」防禦觀念，因此一直以來，企業都是用防火牆、入侵防禦系統(IPS/IDS)拼命築起另一種世界奇觀—「虛擬資安長城」，然而所謂的「虛擬資安長城」是否真如預期完全發揮了功效？

在攻擊、防禦技術以及弱點暴露程度間巧妙的互動與消長下，攻防之間長期以來一直維持著「攻擊者雖有斬獲但是難以稱霸天下，防禦者逆襲建功但是卻難以徹底驅逐」 的詭異均衡態勢。 不過，在人們醉心於「虛擬資安長城」的雄偉與功效的同時，IT技術發展與網路應用與日俱增、配合亙古不變的貪婪人性，威脅的攻擊重心軸線已悄悄轉移。

以攻擊種類而言，以往大規模的正面強攻，意圖癱瘓網路服務、塗抹網站插旗宣示主權的行為，已轉變為深入敵後燒殺擄掠、竊取智慧財產與個人隱私藉此圖利，我稱之為「後威脅時代」模式。

新時代最具代表性的手法無非是層出不窮的間諜軟體、行蹤飄渺的Rootkit以及各式為攻擊者洩密「架橋鋪路」的Tunnel工具。即時通訊類工具的便利、隱密與多功能，不只為用戶開了扇窗，更為駭客或有心人士建了個門。日前發現的Skype攻擊，可說就是相當經典的案例；雖然這次並未順利造成大規模傷害，但是已經可從手法中略窺這類穿透性攻擊未來的發展與影響相當深遠。

罪犯的重新定義

同時，網路犯罪的定義也有所改變。過往安全罪犯的定義，是「從外部而來的」，也就是駭客，因此絕大多數的安全規劃與防禦機制均以此為出發點而設計。隨著犯罪心理與手法的精進，越來越多企業遭到的攻擊行為都是冒用既有的身分與權限，或是佔有內部的機器而為之。事實上，罪犯的定義已經改變，因為你再也看不見或是很難看見外部駭客的身影，取而代之是擁有行為正當性的內部使用者；原本是可以信任的內部使用者進一步鋌而走險利用各種原先高深莫測，現在卻可以輕易取得的駭客工具竊取資料販售圖利。

這種改變也將衝擊現有安全防禦制度。企業如果只在意外表、忽略內在安全，資訊安全就好比一顆打蠟打得很漂亮的蘋果，光鮮只僅只於外表；當蛀蟲吃光了內層，再漂亮的皮也會崩塌。而那些內部蛀蟲就成為即將壓倒長城的最後一根稻草。

防護觀念須與時俱進

正因為現有的資訊安全長城是如此脆弱與防禦縱深不足，管理者相對就必須扮演更決策性的角色。根據MIC等研究報告指出大多數的管理者將維持或是甚至減少對資訊安全的投資，這可能將削弱企業資訊安全的整備度。其實投資金額的大小，並非安全兩極化最主要的成因；真正最關鍵性影響來自於安全防禦機制的建置規劃、方向與設計未建立於認清事實的基礎上。

威脅重心的轉移，犯罪者的重新定義，使得傳統事件記錄已不足以提供制敵機先的洞見。套一句我一位客戶的話，許多企業仍抱持著傳統「抵抗外敵」的比度構築所謂的「遮羞長城」，即不斷增加城牆的厚度，或是為了節省管理的麻煩而導入眾多功能匯集於一身的安全設計，亦或是追求證照以期望可因此而徹底改變安全的完備度。但對於威脅持續轉變認知不夠的管理者而言，「遮羞長城」只遮掩了內部安全的千瘡百孔，由於不了解真實的現狀，過度依賴可以被分析之安全各種片段訊息，反而讓這些企業做出錯誤、甚至疊床架屋的決策，並不能有效維持企業的安全係數。

如果忽視了新的威脅，企業即可能在攻守相互生成的圈迴中屈居弱勢，向下沈淪為中、下等級，同時間強者愈強，弱者愈多，走向兩極化，形成資訊安全的M型現象。下一篇我們將探討，因應M型現象的時代到來，我們的防護觀念該做何種調整。

貴公司是資安的窮人還是富翁呢？