資訊安全的迷思

  • 發行項

作者: 賴榮樞
http://www.goodman-lai.idv.tw

攻擊與防守是兩種截然不同的思維模式。通常居於被動的防守者,必須周延的思考整體的防禦策略,並且推演攻擊者可能的方式;防守者不僅無法得知攻擊者何時要出手,而且與攻擊者的位置也處於敵暗我明。但無論如何,企業用戶或個人使用者都需要思考並建立適當的安全管理體系,但是在思考、建立或讓這個體系運作的同時,切莫陷入資訊安全的迷思,否則將會讓系統陷入危險卻不自知。

今年台北的TechEd研討會(註1)來了兩位任職於微軟的重量級資安領域專家:史蒂夫‧萊利(Steve Riley)是微軟安全商務技術部門(Security Business and Technology Unit)的企業安全架構師(Enterprise Security Architect),而傑斯伯‧喬翰生(Jesper M. Johansson)則是微軟安全技術部門(Security Technology Unit)的資深安全策略專家(Senior Security Strategist)。

這兩位資安專家曾在今年的三、四月,在TechNet的安全管理專欄發表了兩篇名為《安全迷思》(Security Myths)的文章(註2),這兩篇文章分別提出了值得IT人員深思的十大資訊安全迷思,而本文將與讀者討論這兩位資安專家所提出的資安迷思。

本頁內容

光靠安全指南就能讓你的系統安全!?
只要藏起來,攻擊者就找不到!?
系統設定改得越多就越安全!?
修改系統設定是有其必要!?
所有的環境都至少該使用的設定!?
高度安全是所有環境的終極目標!?
安全是從採用安全指南開始!?
安全設定可以解決實體安全問題!?
安全設定可以阻擋蠕蟲或病毒!?
專家說這招可作為深層防禦措施!?
破除資安的迷思

光靠安全指南就能讓你的系統安全!?

安全指南的確重要,而一般來說,安全指南也的確提供了若干有效的作法,但兩位資安專家要特別提醒IT人員:要讓系統安全,不只需要安全指南;最危險的是,以為只要依照安全指南規劃、實作,系統就能萬無一失,因而鬆懈了資訊安全的戒心,反而更容易導致系統不安全。

兩位資安專家認為,安全指南的確是個很好起點,但若要提升系統的安全,就不能光靠安全指南,尤其現今攻擊者的攻擊手法都相當複雜,而大部分的安全指南都過於簡約、單向,IT人員需要藉助較為複雜的手法才能阻止複雜的攻擊,而安全指南並無法涵蓋或呈現這些複雜的手法。

兩位資安專家也建議,不要將安全視為最終的目標,而應該將安全涵蓋在日常必備的行為當中,並且也不要以為會有讓系統安全一勞永逸的仙丹、絕技。

只要藏起來,攻擊者就找不到!?

別以為隱藏起來,攻擊者就找不到,是這兩位資安專家要提醒IT人員的迷思。例如無線網路的SSID,就算關閉SSID的廣播,攻擊者只要有適當的工具,也能隨即找出無線網路的SSID;對有心想要得知的攻擊者來說,找出隱藏的SSID是是毫無難度可言。

以為只要藏起來,攻擊者就找不到,無異是掩耳盜鈴。隱藏或修改相關的設定或資訊,或許可以當作緩兵之計,或許可以稍微拖延攻擊者,但是有經驗的攻擊者,還是可以根據其他的線索或程式,找出系統的相關資訊。而這兩位資安專家也指出,隱藏或修改相關的設定或資訊,不見得能對攻擊者有效,但卻可能讓某些設計不良的應用程式無法正常工作,更是值得IT人員留意;例如有些應用程式只會預設Program Files資料夾的位置,如果修改Program Files資料夾的位置,應用程式反而會找不到真正的位置而無法正常運作。

系統設定改得越多就越安全!?

許多IT人員會認為只要更改系統設定,就能提高系統的安全性,因此會有改得越多就越安全的迷思。而這兩位資安專家也指出,系統設定修改的多寡,與系統的安全性並沒有必然的關係,關鍵是有沒有改到該改的設定,以及改得對不對,否則只是徒勞無功。

對IT人員來說,確實且清楚的瞭解系統設定的作用與目的,再給予適當的修改,才是正確的方式。尤其若誤以為已經作了最適當、安全的設定,以為系統已經是安全的狀態而掉以輕心,反而最容易讓攻擊者有機可趁。

此外,這兩位資安專家也針對系統設定提供了以下五點「不會改善安全」的基本原則:

  • 設成預設值的必需設定,並不會改善系統安全。

  • 只會更改已被別處封鎖的行為,其設定並不會改善系統安全。

  • 會讓系統不穩定的設定,不會改善系統安全。

  • 拼寫錯誤的設定,不會改善系統安全。

  • 對相關產品沒有作用的設定,不會改善系統安全。

修改系統設定是有其必要!?

很多人認為一定要修改系統設定,才能讓系統安全,但這兩位資安專家卻認為這樣的觀念並不盡然正確,或者說是過度簡化系統設定與系統安全之間的關係。其實這項迷思與前項類似,也就是說,IT人員應該要先確實且清楚的瞭解系統設定的作用與目的,再決定該怎麼修改或要不要修改。

所有的環境都至少該使用的設定!?

每個環境都有其獨特性,包括先決條件和可能面對的威脅都不盡相同,如果真的有這種設定,那也就是各個系統的預設值。不論是要採用預設值,還是要另作修改,還是那句老話:先確實且清楚的瞭解系統設定的作用與目的才能決定。

高度安全是所有環境的終極目標!?

安全必須付出代價,可能要花更多的錢,或對使用者限制更多,而要求越高安全的系統,也往往需要更高的代價。只要你願意,當然可以要求公司裡的每個環境,都是高度安全的環境,但問題是每個環境都有必要高度安全嗎?這些代價划得來嗎?

這兩位資安專家告訴我們,沒有必要讓每個環境都成為嚴苛的高度安全。每個環境的重要性都不盡相同,重要到稍有閃失就會造成極大影響的系統,當然就得要求高度安全,但如果將高度安全的法則套用在資訊敏感度較低(或更低)的環境,其代價通常是划不來,也就是沒有必要,因此無需採取相同的安全等級。所以,這兩位資安專家告訴我們,高度安全性並非所有環境都應該努力實現的終極目標,這類錯誤的言論,導致了當今資訊安全領域普遍存在不信任和混亂的狀況。

安全是從採用安全指南開始!?

要提高安全,絕不能從採用安全指南的內容開始。安全涉及了風險管理,因此應該徹底瞭解所有相關的風險(包括種類與程度),尤其必須確定系統或環境將會面臨的威脅,以及因應之道。這兩位資安專家明確的告訴我們,並不是要將安全指南棄之不理,而是應該在具體瞭解並分析了風險及其威脅之後,再尋求適當的安全指南。

安全設定可以解決實體安全問題!?

這兩位資安專家已經明確的告訴我們,再多、再好的安全設定,大都無法阻擋攻擊者利用實體方式入侵系統;如果攻擊者已經來到伺服器面前、如果攻擊者已經偷走筆記型電腦,再多的安全設定可能都於事無補(除非將資料加密)。

實際上,攻擊者也不需要大費周章的搬走電腦,他只需要利用USB或1394隨身碟、硬碟,或各種類型的記憶卡、甚至光碟燒錄器,就能偷走重要資料(如果是加密過資料,還能),甚至只要利用手機裡的相機,就能拍下電腦螢幕上的畫面。值得注意的是,很多公司往往忽略了實體安全的問題。

安全設定可以阻擋蠕蟲或病毒!?

蠕蟲和病毒的散播方式通常是透過軟體的漏洞,以及社交工程(social engineering)的伎倆,但是,軟體的安全設定無法對這兩種散播方式達到盡善的效果。廠商所提供的修補檔案可以修補軟體的漏洞,而許多軟體也新增了自動偵測、下載、安裝修補檔案的功能,以自動、盡快修補軟體漏洞,但儘管如此,社交工程的伎倆卻難以利用安全設定而防範。

儘管社交工程被冠上了「工程」,但實際上,社交工程利用的並非技術,而是「人性」,本地詐騙集團所利用的,也是殊途同歸的手法。舉例來說,朋友寄來的郵件會比陌生人寄來的更能獲得你的信任,如果郵件的主旨又是你最感興趣的(美女照片、賺錢方法、瘦身美容等等),你可能就會隨手開啟郵件以及郵件的附件,而往往可能就在這瞬間,蠕蟲就進入了你的系統。

而除了這兩位資安專家提及的蠕蟲和病毒,網路釣魚和間諜軟體也是日益嚴重的網路安全問題。「網路釣魚」(phishing)這個字源自「飛客」(phreak)和「釣魚」(fishing),意指利用「社交工程」來騙取任何帳號、密碼的行為;而進行這種行為的人,即稱為「飛客」。將phishing譯成網路釣魚並不恰當,因為在網際網路還不流行的時候,飛客早已出沒並趁機騙取個人資料,因此phishing並不一定需要網路,也可以透過電話。甚至,本地之前曾經有過的案例,是以偽造的提款機擷取使用者的金融卡資料及密碼;或者在無人銀行門口的讀卡機裝上測錄機,再在提款機上加裝針孔攝影機盜拍使用者所輸入的金融卡密碼,這也是phishing。

電子郵件是「網路釣魚」的常見手法,另一種常見手法則是以偽造網站來騙取資料。要避免被phishing,就得仔細留意對方到底是不是正牌。銀行客服人員打電話來詢問資料,別急著告訴他,還是自己查詢並回撥銀行電話比較妥當;而銀行的資安人員當然要時時檢查電話箱沒有被夾線。按照一般的邏輯,任何公司或網站不應該主動詢問使用者的帳號或密碼,只會在使用者需要登入、使用系統時,要求使用者輸入,因此遇到詢問帳號、密碼的時候,一定要提高警覺。例如仔細檢視電子郵件的寄信者,以及網站的網址。千萬別因為一時的疏忽,而被歹徒詐騙了個人機密資料。

安全設定能為此作的實在不多,而且對許多使用者來說,反而是令人討厭的限制。例如有些郵件軟體會一律禁止使用者開啟某些類型的郵件附件檔,而非禁止開啟內容有問題的附件檔,因此使用者通常會關閉這類徒增麻煩的安全設定。

專家說這招可作為深層防禦措施!?

這項迷思,是這兩位資安專家在諷刺所謂的「專家」。我們可以在很多地方看到專家在宣揚或提倡他們的理念和方法,包括報章雜誌或研討會,而這兩位資安專家提醒我們,這些專家及其所提議,都未必已經經過驗證,而我們往往是因為「名聲」或「名氣」來作為認定專家的依據,但名聲或名氣都可以藉由炒作而堆積,如果無法鑒別專家與否,就貿然採用其所提議的方法,可能無法達到預期的結果。

並不是要一竿子倒翻一船人,在資訊科學的領域當然有很多優秀的專家權威,但如果只是道聽途說,就比較可能聽信了偽專家的建議,結果可能不只徒勞無功,還可能勞民傷財。

破除資安的迷思

綜觀這兩位資安專家所提出的十大資安迷思,基本上可以歸納成以下幾點:

  • 安全管理攸關風險管理,在擬定安全策略之前,必須先瞭解各個系統所能承擔的風險底線。

  • 安全不是系統的最終目標,而是過程當中的手段(或方法),應該將安全融入在日常必備的行為,並且也不要以為會有讓系統安全一勞永逸的仙丹、絕技。

  • 別急著採用安全指南,採用之前應該謹慎評估安全指南所能帶來的效益;而在評估安全指南之前,必須已經瞭解系統所能承擔的風險底線。

  • 所有的安全指南或安全設定都不應該視為「只要有做、系統就會安全」,而且也不是做的越多,系統就一定越安全。應該要先確實且清楚的瞭解系統設定的作用與目的,再決定該怎麼修改或要不要修改。

  • 沒有絕對有效的安全措施。現今的攻擊手法日趨複雜,通常居於被動的防守者,需要同時採用不同的方式,才能有效的提高系統安全。

  • 沒有必要讓每個系統都具備嚴苛的高度安全,每個系統的重要性都不盡相同,越重要的系統,需要越高的安全。

  • 「盡信書不如無書」,同樣也應該謹慎思考專家所提出的建言。

  • 攻擊與防守是兩種截然不同的思維模式。通常居於被動的防守者,必須周延的思考整體的防禦策略,並且推演攻擊者可能的方式,如果攻擊者有新招式,或者軟體被發現漏洞,都必須盡快處理,以免漏一而遭攻陷。防守者不僅無法得知攻擊者何時要出手,而且與攻擊者的位置也處於敵暗我明。

  • 但無論如何,企業用戶或個人使用者都需要思考並建立適當的安全管理體系,但是在思考、建立或讓這個體系運作的同時,的確需要正確的態度和觀念,否則將會讓系統陷入危險卻不自知。

  • 這兩位資安專家在今年台北的TechEd研討會安排了三場資安課程,分別是SEC102資訊安全政策的規劃(史蒂夫‧萊利)、SEC103應用程式真的安全嗎(傑斯伯‧喬翰生)、SEC104網域與伺服器隔離(史蒂夫‧萊利)。

  • Security Management - March 2005:Security Myths(https://www.microsoft.com/technet/community/columns/secmgmt/sm0305_2.mspx)、Security Management - April 2005:Security Myths(https://www.microsoft.com/technet/community/columns/secmgmt/sm0405.mspx)

延伸閱讀

  • Microsoft TechEd 2005 Taipei:https://www.microsoft.com/taiwan/events/teched/

  • 史蒂夫‧萊利的資安網站:http://www.steveriley.ms/