當讀到 Krebs on Security 所寫的文章,美國財政部和商務部被駭客攻擊時,我聯想到全球 SIO 腦海中的恐慌。事實上,一想到他們在年終的假期間,除了 COVID-19、年終壓力、經濟環境和其他需耗費他們時間和精力的事之外,還要處理如此規模的駭客攻擊,我感到很難過。從事保護 IT 資訊安全相關業務的公司,就像我們一樣,擁有共同的客戶。我們每個人都有一種心態:
我們是善良的一方,正與邪惡的地下力量作戰!
這種型態的攻擊非常複雜,即使用於管理 IT 系統的 SolarWinds Orion 軟體本身沒有資安弱點。初步看來,此次攻擊是被植入了由俄羅斯人所製造的木馬——這完全改變了遊戲規則。咎責一家公司總是很容易,但 SolarWinds 是一家很棒的公司,它創造了一系列在業界廣受歡迎且好評的產品。當您處理這種具有獨創性的駭客攻擊時,您會思考可以採取哪些措施來防止類似的攻擊,對我的公司、程式碼以及系統的的入侵——我們準備好了嗎?
看門狗的看門狗 (Watch Dogs for Watch Dogs)
這些所有的事情,都讓我聯想到了情報組織在人類歷史上是如何運作的:監視敵人的組織、「監視」監視敵人的組織等等。我的第一個想法是成立一個團隊來監視 IT系統,並成立另一個團隊小組來監視這兩者。這一切都以失敗告終,並開始看起來像 Mel Brooks電影的劇本,該電影講述了一個東歐小國的政府政變。
分析還是兔子洞?
當你進行分析時,恐懼很快就會蔓延開來。如果你能克制這種情緒,那麼我們便可從中學習到寶貴的一課。
作為人類,我們相當擅長降低和緩解風險——它已融入我們的 DNA——例如飛行或戰鬥、長途跋涉、繫好安全帶。
我們可以非常快速地執行風險與回報分析——什麼環節有弱點?誰有訪問權限?我要回溯多久才能還原到乾淨系統?有什麼資訊外洩了?我該如何取回?我該告知律師嗎?
假設最壞情況
透過思考以下的事情,可以讓您在最佳或最壞情況下跳出框架思考。
假設您使用的每一個軟體都相當脆弱或易被操縱,您將如何經營您的業務——您將如何生存?
是否存在一個可被實踐的的零信任架構,讓您的 IT 架構中的每項操作,在安全上都具備高度的信心?
如何建立一個測試來驗證您的假設是否成立?
從另一種角度來看待它……
- 如果我經營一家銀行,而所有的出納員都是小偷該怎麼辦?
- 如果我的輪胎每 5 英里就洩氣,我該怎麼去上班?
沒有所謂的神奇藥水或產品可以治療你的疾病––也沒有公司可以提供。但是當面對這種史無前例的創新型態的攻擊時,藉由這種方式將可開啟你的思路來解決如此艱難的問題,這也是我們大多數人會從事這一行的原因。
試著從實務工作中嘗試它。
Source: Your Company Has Been Hacked. Will You Respond or React? ( https://netquestcorp.com/your-company-has-been-hacked-will-you-respond-or-react/ )
Photo Credit: 攝影師:Tima Miroshnichenko,連結:Pexels