翻譯及整理:叡揚資訊 資訊安全事業處
在我們進入主題前,簡單概述現代網路安全中一項非常重要的指導原則:防守者的困境。
防守者的困境
防守者困境的前提歸納為一個簡單的事實:做為一個防守者非常弱勢,存在許多不同的原因造就這樣的結果。
首先,防守者必須不斷地保衛自己的所有邊界,而所謂的邊界在網路安全方面,就是受攻擊的目標。為了做到這一點,防守者必須知道他們所有的保護邊界位址,乍看似乎很簡單,但當您將所有可能的攻擊途徑納入考慮後,發現實際上要困難得多。
其次,防守者只能防禦他們有意識到的攻擊方式。防守者如何判斷某物是友好的還是敵對的?舉例來說,在經過特洛伊木馬屠城事件後,特洛伊人肯定會以不同的眼光看待大型木馬,這道理也適用於安全性,防守者需要經歷過攻擊才能知道如何尋找、應對攻擊。
第三,防守方必須不斷檢查攻擊。在過去的日子裡,大家皆同意敵人處於明處容易辨識。但那樣的日子已經成為過去了,防守方必須時刻警惕攻擊。
最後,防守者必須遵守一套明確的規則。定調攻擊者是壞人,可能不遵守當地法律,在安全領域更是如此。在網路安全戰場中如何分辨好人、壞人需要更多的討論。
這不是一張漂亮的藍圖
防守者的困境並沒有描繪出一幅漂亮的藍圖。在現代網路安全思想中,普遍認為企業的某些部分已受到了損害,我們需要最大限度地減少被攻擊的程度以及限縮攻擊者可以利用的漏洞來避免企業受到更進一步的侵入。
攻擊者成功闖入後會發生什麼呢?其實有點像搶劫銀行,如過往事實證明,搶劫銀行實際上並不困難。真正的困難點在於當劫匪闖入銀行並獲取了可觀的現金後,如何全身而退。銀行採取了許多安全措施,使得在劫匪帶著錢離開後很容易被抓,而且銀行也設置了許多流程以最大限度地減少劫匪可以拿到的錢。
同樣的概念也適用於網路安全,雖然攻擊者在外部具有優勢,但一旦侵入組織內部,那麼主動權就在我們手上了。我們開始看到機器進行異常的連線、裝置掃描網路、裝置嘗試登錄以前從未登錄過的服務以及正在下載大型文件…等等的異常行為。
內部人員知道這些行為是異常的,因為他們知道自己的企業如何運作,而攻擊者並不知道。他們需要做大量的偵察、映射網路、了解事物所在的位置等。這是攻擊者的劣勢:攻擊者做得越多,行為被觀察到越多,其被識別且被拒於門外的機會就越大。因此,在網路安全中,我們進行監控,並最大限度地減少可以存取的資料量,然後開始實施類似零信任的模式。
在現代網路安全中,了解攻擊者的優勢和劣勢是一個關鍵原則,它幫助我們了解所面臨的風險和漏洞,並為我們提供了一個粗略的框架來減少這些風險。
Apple、iPhone 和 隱匿式安全
現在我們是網路安全理念的專家了,讓我們來談談 iPhone。如果您正在閱讀本文並且居住在美國,您擁有 iPhone 的可能性約為 46%。如果您在歐洲、中東和非洲地區,iPhone 是您日常必須工具的可能性約為 14%。
如果你是被選中的少數人之一,我敢斷言,如果該裝置未越獄,您將不會知道該裝置是否已被入侵,也沒有辦法知道您的 iPhone 是否受到威脅。通常在這時候,你會希望我提供一些警示來緩和如此浮誇的觀點,但對此我是認真的。除非您已經進行裝置越獄,否則無法知道您的裝置是否已被入侵。
Apple 在 iOS 上採用的傳統安全方法很有趣。最適配的解釋為:隱藏所有內容。按照設計,隨著時間的推移,您越來越無法深入瞭解您的裝置正在做什麼。
現在,如果 Apple 取消了對裝置安全性的可見性,那麼代表 Apple 隱晦地表達他們對該裝置的安全性負責,這意味著我必須相信 Apple 會確保我的裝置安全。這是我們每次使用未越獄的 Apple 裝置時所達成的隱含協議。然而 Apple 卻無法勝任這項工作。
舉例來說:iMessage 有一段不堪回首的過去,每個從 Apple 轉移至 Android 的人都知道。但 iMessage 有一些更險惡的地方,它已成為多個遠端零點擊漏洞利用的管道。這聽起來很糟糕,但是事情只會從這裡變得更糟糕。
因為 iMessage,Apple 擴大了您裝置受攻擊的範圍。遵循防守者困境的原則來看,iMessage開闢了一條通往我們裝置核心的道路,但是iMessage的安全性充其量只是一般等級(有多個零點擊漏洞)。好吧,我們知道沒有什麼是完美的,漏洞總是會發生。
但是根據我們對防守者困境的了解,一旦有人危害到了我們的裝置,我們就可以解決這個問題並進行補救。還記得這就是攻擊者的劣勢吧?但就 iPhone 而言,我們做不到。我們無法知道裝置是否受到威脅。Apple 竭盡全力的確保該資訊不被任何應用程式或使用者得知。
因此,我斷言:如果您的裝置沒有獲得最高權限,就無法知道您的裝置是否受到了損害。這很諷刺,因為壞人也知道這一點。在有最高權限的裝置上,查看壞人正在執行的執行緒以及他們在做什麼是非常容易的。當 Apple 已經幫你完成所有困難的工作,為什麼還需要自己花招百出呢?Apple 的安全模式是如此的有缺陷,以至於實際上有些公司的整個商業模式都在利用這一點。
NSO 有多個遠端漏洞,他們利用這些漏洞在人們的裝置上安裝間諜軟體。讀到此處,你可能會有以下的想法,“好吧,他們可能只是安裝在壞人的裝置上”,但它是在 Jamal Khashoggi 的裝置上發現的,他是壞人嗎?事實是如果像這樣的公司存在並且正在這樣做,你可以肯定,也有犯罪分子、國家行為體同樣在利用這一點,而我們對此無能為力。
Apple 的安全方法本質上是透過隱匿來實現安全,這種方法大約在 30 年前流行。在當時很愚蠢,而在現在則是故意裝作一無所知。隱匿是一條單行道,而事實上這也加劇了以下情形發生:壞人取得裝置最高權限並使用它們來理解和計劃攻擊,試圖使用這些裝置的客戶和企業處於劣勢。
情況變得如此糟糕,以至於世界各地的某些機構針對其主要政府僱員的 iPhone 裝置進行越獄,並定時拍攝裝置快照以檢查是否受到攻擊的情況,這是他們必須了解在他們擁有並負責的裝置上執行的內容的唯一方法。
這樣的現況需要被改變。