義大利人
二○一四年七月下旬,紐約陽光明媚,氣候涼爽。現在銀行的資安出了大紕漏。資安監控中心的門不斷被敲。員工一個接一個走進空蕩蕩的會議室,在那裡低語,關上門之前,大家都左右張望著。分析師報告之前發生事件的始末和種種運作的細節,或至少是他們認為這是怎麼發生的,聽眾都一個個睜大了眼睛。
卡洛琳試圖控制這混亂的場面,但首先她得找到鮑伯.雷科夫。鮑伯失蹤了,需要他立即過來開會。她傳話到二樓,那裡也有幾間會議室。他應該要出席首席投資官小組的這場會議,但他一直沒來露面。
雷科夫在二樓行蹤成謎之際,一名新成員則要進入資安監控中心。卡洛琳正在幫助他做就職的準備。普雷姆.拉梅什(Prem Ramesh)現在將成為雷科夫的左右手,擔任他新設立的參謀長職位。但他不是雷科夫想要僱用的人。事實上,普雷姆曾來爭取雷科夫現在這個資安主管的職位。拉梅什身材矮小,三十幾歲,像隻格雷伊獵犬一樣圓滑,完全與他之前的競爭對手,也就是現在的新老闆完全不同。他將是繼雷科夫之後的第二號負責人,同時也是銀行資安團隊的負責人。
普雷姆為全國最大的一家國防工業承包商建立了諮詢業務,發明了一種稱為狙殺鍊(kill chain)的IT安全框架解析。這套框架不僅為雷科夫及其同儕所採用,許多資安專業人員也拿來當作是描述罪犯如何進行網絡犯罪的簡單方法。這是一個便捷的「全餐式」敘事包,一應俱全地解釋網路攻擊的方式,從早期偵察到之後的直接行動。
其背後的原理很簡單:盡早阻斷這過程,就能防止攻擊、減少損害。在犯罪分子還沒進行到指揮和控制的步驟前,花錢請人找出正在進行偵察的罪犯。但是就普雷姆的目的來看,這次的教訓會更具挑戰性,因為對現在銀行發動的攻擊已經進入到指揮和控制的階段。
***
普雷姆和一個溝通團隊正在製作PowerPoint演講稿,將那些圖表畫了又畫,想辦法以狙殺鏈來解釋到目前為止他們對這場入侵行動的了解。
首先,罪犯似乎對銀行進行過詳盡的研究調查,並針對整個組織的許多不同層面上做了偵查工作。他們在領英(LinkedIn)上查詢銀行員工的詳細個資,還探索了外圍區域(位於防火牆之外的數位銀行),尋求破綻。他們還研究了可能與該公司有關的其他網站。現在銀行使用的系統是所謂的扁平網路(flat network),這意味著只要能夠讀取這網路的某個部分,基本上就能進入所有部門的網路,進入眾多組織,直抵資產管理、投資銀行和其他部位。
犯罪分子將這些寶貴的資訊善加利用,轉變成武器。他們會從所收集到的所有資料來尋找進入銀行網路的方式。他們會針對現在銀行,或是任何可能鎖定的目標,量身打造攻擊計畫。
舉一個例來說,他們的調查找到兩名初階員工,是在羅德島大學課程中的契約工,他們透過社交工程(social engineering)的種種話術讓他們吐露一切。所謂的社交工程學是指各種說服人,使其吐露敏感資訊的方式,有些是透過精心設計的電子郵件,有些是講得合情合理、頭頭是道的電話。有時,犯罪分子會冒充一個倒楣的技術人員,試圖為他所鎖定的行騙對象解決一些問題。這之所以稱為社交工程,是因為這項技術利用的是人天生想要信任他人的傾向;基本上是利用你的禮貌和幫助他人的意願來對付你本人。
他們的偵查還發現另一個進入網域的管道,是透過現在銀行贊助的半程馬拉松賽事的年度活動網站。這個網站是由第三方(一家外面的公關機構)設置的,他們根據銀行內獨立的社區服務部門的要求來設計網頁。這類計畫網站很容易出現縫隙。由於在設置這類比賽網站時不會考量資安問題,而且為了方便參與者註冊,還會允許他們連接到銀行的網絡,因此任何進入這個沒什麼防禦力的賽事網站的人,都可能由此進入銀行的龐大網絡。卡洛琳和她的團隊以及她之前的許多資安行政主管,多年來一直在提倡網段切割,這可以在銀行各部門的網域間建立開合式的吊橋,但是卻因為沒有足夠的資金而作罷。
因此,對頭腦精明的犯罪分子來說,將轉化成武器的一堆惡意軟體傳送給毫無戒心的員工,或是經由不受保護的網站進行滲入,都不算是什麼困難的挑戰。在狙殺鏈的「弱點攻擊和安裝」階段,罪犯就是透過這類管道來執行惡意程式組合包,並且安裝能夠讓他們讀取所需資訊的程式,而就現在銀行的例子來說,就是客戶的姓名、社會安全號碼以及其他銀行資訊,特別是那些容易上鉤的客戶。
如今,透過這種管道,整間銀行都被安裝了惡意程式,因此犯罪分子可以指揮和控制各種惡意軟體的安裝,將所有敏感資訊轉發到他們的海外伺服器。
***
現在銀行正在試著決定要採取怎樣的行動方案。若是讓犯罪分子知道銀行已經發現了,可能導致這批人貿然採取破壞行動,有可能破壞銀行的伺服器,毀掉他們的蹤跡。攻擊者只有在知道自己事跡敗露時,才會這樣做。因此,資安監控中心團隊必須要快速而安靜地作業。在經過三天對狙殺鏈的解析後,資安團隊選擇在進一步散播開來之前銷毀它。
為了盡可能低調討論目前資料外洩的意外,資安調查人員給這事件起了個名字:威尼斯。完全沒有任何暗示,這個名字僅是方便大家輕鬆討論這起資料外洩事件,這樣做包括犯罪分子在內的任何人都不會在他們的對話中聽到「外洩」或「入侵」之類的用語。如此一來,調查人員就可以避免那些已經埋伏在網路中的犯罪分子察覺到任何風聲。
目前,關於這起事件的大部分討論都是讓大家齊聚一堂來進行,以免走漏風聲。普雷姆從一場會議趕往另一場會議,有時雷科夫會去參加,但大多數時候他都不在。接著,他們開始對保密一事變得偏執──因為,已經有人將攻擊細節洩漏給媒體。
***
「你看到這篇報導了嗎?」
「什麼報導?」
卡洛琳心情沮喪,根本無法讀新聞,即使是關於現在銀行的新聞。
他拿出《紐約時報》那篇關於資料外洩的報導。這顯然是銀行內部洩漏出來的,關於攻擊的某些細節完全正確,其他則錯得離譜。其中一點特別明顯,記者指出,根據公司內部消息人士,這次的襲擊很可能來自於義大利北部。他們笑了。義大利完全不是網路惡意活動的溫床,完全搞錯了,是俄羅斯,或是以色列,再不然就是中國。
記者關於資安的報導很糟,文中故弄玄虛的神祕感掩蓋了幕後笨拙的現實。麥克和卡洛琳再次討論了細節,想要找出是誰會洩露這樣的消息,誰會把細節都弄錯?然後,卡洛琳抬起頭來,彷彿看得到那樣的場景在她面前展開:一位困惑、緊張的內部消息人士,一位對主題毫不知悉的記者。
「他們幫它取的代號叫威尼斯。」
他們大聲笑出來,笑到資安監控中心的員工都能聽到。
*作者現為美國全國廣播公司商業頻道(CNBC)的網路安全記者,目前在喬治城大學(Georgetown University)的應用情報計畫中任教。現居紐約市
