COVID-19爆發之後,人們都發現了實體供應鏈對整體戰略規劃的重要性。如今軟體業也開始注意這件事。
當代的攻擊面(Attack Surfaces)數量呈指數增長,資安問題變得越來越複雜、越來越棘手。光是輸入一個「import」就可以啟動第三方程式,其他商業夥伴甚至不會知道發生了什麼事。此外,實體倉庫裡的貨物不會快速變化,程式庫裡面的東西在你上次檢查過之後卻很可能不同,這讓很多問題都更為麻煩。而且成功的IT業者總希望掌握全球各地的客戶,而每個客戶需要的不同程式,會遇到的資安問題也各不相同。
美國政府最近才開始發現這種架構的安全漏洞。它在2020年12月承認,財政部和商務部在更新SolarWinds開發的Orion網路監控軟體之後,遭到惡意攻擊。這起SolarWinds事件,最後至少傷害了全球各地200個組織,其中包括許多重要的政府部門與關鍵IT資產。至今還不確定駭客為何要發起攻擊,但病毒發動之後好幾個月才被查出,有心人士在這麼長的時間中什麼都做得到。
如今在2018年之後,SolarWinds依然讓人記憶猶新,美國終於準備更新資安戰略。美國的戰略規劃可能會進一步實施近年來網路安全相當重視的「零信任」(Zero Trust)原則。「零信任」這個名字,乍聽之下會讓人想到完全不計成本,把每個程式都當賊;但它其實並不是要禁止所有內建的第三方服務,而是要用各種方法保證當一個資安漏洞被攻破之後,不會連累網路的其他電腦。
軟體供應鏈的漏洞
整場SolarWinds攻擊事件的源頭,是駭客潛入SolarWinds的軟體建構系統,讓系統出現漏洞。SolarWinds的電子郵件程式是由Microsoft 365提供的,前人攻擊Microsoft 365的方式可能成為了駭客的線索。在進入系統後,攻擊者使用SolarWinds的客戶送出幾個惡意更新。它通常刻意不去啟動惡意程式,這麼一來系統就毫無異狀,很難發現。直到成功找到重要目標,就開始對「聯合身分管理系統」(Federated identity management, FIM)下手。
所謂的「聯合身分管理系統」,是為了解決密碼多如繁星而開發出來的方案。我們每個人都有一大堆帳號密碼,不但很難記住,更可能淪為入侵破口,因為我們往往會把好幾個網站的密碼設成同一個,駭客攻破一個就等於攻破全部。但「聯合身分管理系統」可以整合所有帳密,使用者只要記住一個密碼,IT部門只需要登記一個帳號,就可以登入除了組織內部網路以外的所有系統。谷歌或臉書就是用類似的方式,讓我們用谷歌或臉書的帳號,登入各種其他平台。
「聯合身分管理系統」會在系統中儲存使用者的憑證。之後使用者要登入外部服務,例如亞馬遜雲端運算(Amazon Web Services, AWS)的時候,就可以直接跟管理系統要求憑證,轉交給第三方,證明自己是合法使用者。
駭客在SolarWinds攻擊中就是利用這種機制,它使用一個「黃金SAML」(Security Assertion Markup Language,安全聲明標記語言)繞過使用者的同意,直接向第三方「證明」自己的身分。他用Orion軟體連結雲端服務,偽裝成所有想要偽裝的身分,甚至是企業的執行長和IT管理員。因為它沒有聯絡「聯合身分管理系統」,該系統從頭到尾都不知道自己被繞過了。
零信任的各種意義
最近駭客使用IT管理軟體的方式,就是俗稱「就地取材」的攻擊手法。他們會躲在現有的管理軟體中,很長一段時間不會被發現。以前的駭客通常會直接向系統寄送惡意檔案,但防毒軟體現在都會監控所有靜態硬碟,也就是所謂的「死碟掃描」(Dead Disk Scan);所以駭客現在都放棄入侵硬碟,改為利用電腦運作中的漏洞。只要找到漏洞,就可以躲在電腦中不被發現。
高階駭客還會在各台主機間不斷轉移,獲取越來越高的權限。這也表示他們必須仔細研究當地的網路環境,躲開所有監視工具,躲開所有明確要求系統管理員認證的目標,避免留下足跡。要應付這種入侵,目前主流的方法就是「零信任」。
根據美國國防部的《零信任參考架構》(Zero Trust Reference Architecture),「零信任模型的基本原則,就是所有位於安全範圍外的參與者、系統、網路、服務,在登入時都需要驗證。這種戲劇性的典範轉移,是為了保護我們的基礎建設、網路、資料。過去只需要驗證一次之後就能持續登入,現在每位使用者、每台設備、每個應用程式、每筆交易都必須重新驗證。」
南方衛理公會大學(Southern Methodist University)安全長喬治‧芬尼(George Finney)在提到SolarWinds事件時指出,「零信任足以防止入侵嗎?大概不夠。但我堅信零信任原則只要更普遍應用,人們就能更早發現這類攻擊,阻斷它的傳播,降低它的傷害。」而且因為在SolarWinds攻擊中使用的Orion軟體,似乎打從一開始就能完全繞過認證,無論是人工或程式規則,似乎都不會注意到入侵。而且駭客還會刻意擾亂通訊,讓監控者更難發現網路已被入侵。
資安問題其實是人的問題
美國在2021年5月發布了〈改善全國資安〉(Improving the Nation's Cybersecurity)的行政命令,要求政府在2024年前改用零信任架構。拜登總統在發布命令時表示,「漸進式的改變無法保障我們需要的安全。聯邦政府需要投下重資,大刀闊斧進行改革,守護美國生活方式不可或缺的那些重要設施。」這段話顯然表示,美國在屢次受到攻擊,甚至連最重要的國安系統都被入侵之後,產生了很強的危機感。未與其他大陸接壤的特性,讓這個國家幾百年來高枕無憂,但在網路中,沒有人具備地緣政治優勢。
說回銀行業,雖然它的資安要求跟美國或台灣軍方不太一樣,但面對的威脅卻很類似。這個時代是一個充滿開放銀行、嵌入式服務的時代,資安漏洞勢必是常態。銀行業如果要保護自己的系統,就得選用恰當的安全機制,守護過頭和守護不夠一樣糟糕。
無論是資安還是網路攻擊,最終其實都是人類行為。IT專家必須找出一些方法,知道哪些地方值得特別認真監視。目前的資安軟體監控目標,已經從靜態硬碟轉向更細緻的系統行為,但即便如此,還是得減少不必要的連結與活動,降低現代IT系統固有的複雜性,這樣才能及時找出可疑之處檢查並補救。悲劇一旦發生,我們就只能研究攻擊是怎麼成功的;但我們真正需要的是在漏洞剛出現時立刻發現,在攻擊發生前已經預防。
*作者為台灣金融研訓院特聘外籍研究員;譯者為劉維人。本文選自156期台灣銀行家雜誌,授權轉載。
