作/麥克
企業使用攻擊性的網路資安策略主動回擊攻擊者,是符合實際的作法嗎?本文將說明這為何這不是個好方法,以及真正該應對的做法。
對某些私人公司的資安專家來說,攻擊是最好的防守,而且有些號稱專家的人會希望這麼說服你我。不管是所謂的「反駭客」、或稱之為以牙還牙的報復,攻擊式資安策略需要蒐集對方資料,而且必需辨識出個別攻擊者(如果可能的話),以採取報復手段、癱瘓攻擊者系統。
許多政府單位嘗試過攻擊性資安,對於這種方法,他們有各種不同的理由和疑慮。對一般私人企業來說,這是企業領導人與IT單位必須瞭解的爭議手段。為何要專注於攻擊?
在傳統戰爭中,如果雙方條件相同,那麼防守方是比較有利的。守方可以好整以暇、以靜待變,而攻擊方必需想辦法維繫後勤補給線。守方可以持續強化防守,而攻方的最大優勢「突襲」只能使用一次。
然而在虛擬世界裡,攻方有明顯優勢。防火牆與其它控制方法是老早就建構好的;攻擊者可以選擇他們想要下手的地方,而且慢慢決定如何下手。攻擊者可以持續測試自己的攻擊手段,例如建立惡意程式的人可以觀察防毒軟體是否會偵測出自己的傑作,而且這幾乎不需要什麼成本或力氣;只要找到一處弱點,攻擊者就可以從這個漏洞長驅直入,但防守者卻必需保護所有東西,所以他們只能按照風險高低來做選擇。在這樣情況下,IT人員只能被動回應,幾乎與遊樂園裡的打地鼠沒有兩樣。
所以,何不轉守為攻?當看到自己的資料被偷,我們肯定都氣炸了。但對一般私人企業而言,大部分手段都有太高風險。
當然,總有一天,科技可以讓我們迫使攻擊者採取守勢,但目前還言之過早。這並不是要大家坐以待斃;現階段可以做的是,正如Gadi Evron所說,IT團隊應該要討論攻擊性資安策略、明白這些作法的倫理與法律挑戰,並且知道當找出幕後攻擊者時,究竟能得到什麼好處。
瞭解自身的對手,是一般企業應該考慮的攻擊性資安策略之一。在此同時,應避免反擊性作法。Michael A. David提出了4個步驟, 讓企業可以採取積極作為,又不會違背倫理與法律界線。
結果不明
當預防性資安遭受挫敗,轉守為攻是個吸引人的想法。但企業應該冒這個風險嗎?以色列垃圾郵件處理公司Blue Security認同這個想法。這家公司推出一種新科技,讓客戶可以向垃圾郵件發送者發動攻擊,把無用訊息寄到垃圾信的來源。該公司會研究垃圾信的來源,並集中管理這些資訊。
在本質上,這家公司其實是建立一個僵屍網路(botnet),也就是用一堆電腦在網路上發動阻斷服務攻擊,此種科技引起了不少注意。在2006年時,俄國黑幫警告Blue Security停止活動,否則就要對其發動攻擊。面對這樣的威脅,執行長暨創辦人Eran Reshef只能把資金還給投資人,讓公司關門大吉。
Blue Security當時還面臨其它挑戰,僵屍網路攻擊會傷害網路基礎建設,這是違法行為。因為違法,導致許多網路營運業者避之唯恐不及,所以Blue Security一直在尋找主機營運業者。而且,俄國黑幫的威脅可是完全不同層次的危險。惡意軟體以及垃圾郵件是門大生意,犯罪組織不太可能因為一家公司的舉動而卻步。
儘管如此,受害公司希望以其人之道還治其人之身,是可以理解的。不論分散式阻斷服務攻擊(DDoS)癱瘓網站、或是用惡意程式竊取智慧財產,這些攻擊都會傷害到公司利益。企業在資訊安全上花了上百萬元,這些錢花到什麼地方去了?大部分防禦都是靜態、而且事先設定的,所以攻擊者隨時可以研究該如何破解。大部分的應對機制都是被動的,只有發現威脅時才會有所動作,但通常都為時已晚。
美國軍方現在已經可以使用合法軍事手段制裁網路攻擊者,去年資安法案(Cyber security Act) 無法得到國會認可,隨後歐巴馬總統簽署了第20號總統政策指令(Presidential Policy Directive 20)建立了聯邦政府的攻擊應對標準,而2013國家防衛授權法案(2013 National Defense Authorization Act)更著重討論資訊安全。
然而,對於手無寸鐵的企業來說,要發動攻擊實在言之過早。或許未來有天一般公司會有能力這麼做,但目前來自法律、倫理、營運與科技的挑戰,恐怕只有讓人感到氣餒。
攻擊者是誰?
要找出誰是攻擊系統的幕後主使者是非常困難的。在國際法中,如果一個國家向另一國發射一枚飛彈,便可以馬上知道應該負責的政治實體,不論是誰按下了那個按鈕。但是在網路上,僵屍網路控制了上百萬台電腦,有哪一個國家或是服務供應者能為這樣的活動負法律責任?
幾年前,一位擔任美國聯邦法律執行官的朋友負責著手打擊網路金融詐騙,特別是網路釣魚,他很快找到了一起攻擊事件的幕後電腦IP位址。當他們踢開電腦主人的家門後,只找到了一頭霧水的一家人,他們完全不知道自己的電腦已經被拿來用做網路釣魚工具。法律上無法將他們定罪,因為裝置的擁有者可以辯解他們完全不知情:「我的電腦被駭了!」
網路資訊256期
讀者迴響