歡迎
歡迎來到網路安全:縱深防禦。
每週都有新頭條:醫院因勒索軟體而無法存取自身系統、數百萬筆密碼因資料庫遭入侵而外洩、管線因攻擊者透過單一遭破解密碼而被關閉。
網路安全並非關於穿著連帽衫的黑客,而是理解系統如何失效,並在「不是如果,而是何時」發生問題時,建立能維持運作的防禦。
本課程將帶領你從基礎概念出發,逐步學習威脅建模、網路防禦、應用程式安全、事件回應,最後進入能讓這些知識發揮價值的職業路徑。
CIA Triad
CIA 三元組
每個安全決策都可追溯至三個原則。業界稱之為 CIA triad:與情報機構無關。
Confidentiality:只有授權人員才能存取資料。醫療紀錄應僅供患者及其醫師查看,而非整個網路。
Integrity:資料未遭竄改。當銀行顯示您的餘額為 $500 時,您需要確信沒有人將其從 $5,000 改為 $500。
可用性:系統與資料在需要時可供存取。醫院的病患紀錄若在緊急情況下網路中斷,將毫無用處。
大多數的資安事件至少會違反其中一項。勒索軟體攻擊可用性。資料外洩攻擊機密性。針對金融交易的中間人攻擊則違反完整性。
現實世界的資安是三者之間的權衡取捨。把系統鎖在保險箱裡雖有完美的機密性,但可用性卻等於零。
攻擊向量
攻擊實際是如何發生的
好萊塢電影裡,黑客們在終端機上瘋狂地輸入綠色代碼。現實情況並不那麼光鮮亮麗。大多數資料外洩事件都是從少數常見的攻擊向量開始的:
網路釣魚:誘騙人類點擊連結、開啟附件,或在假網站輸入憑證。這仍是目前最主要的初始存取方法。魚叉式網路釣魚針對特定對象,使用客製化誘餌。
惡意軟體:設計用來損壞或取得未授權存取的軟體:勒索軟體會加密您的檔案並要求贖金,特洛伊木馬偽裝成合法軟體,蠕蟲則會自動在網路中擴散。
供應鏈攻擊:入侵受信任的供應商或軟體依賴項目。2020 年的 SolarWinds 攻擊將惡意程式碼注入常規軟體更新中,進而散發給 18,000 個組織,包括美國政府機關。
憑證攻擊:暴力破解密碼、憑證填充(使用其他外洩事件中的已洩密碼),或利用從未更改的預設憑證。
零時攻擊:攻擊軟體供應商尚未發現的漏洞。這類攻擊雖然罕見,但極具破壞性,因為目前沒有可用的修補程式。 [BLOCK_TYPE threats/landscape]
[BLOCK_TYPE threats/threat_actors]
威脅行為者與 MITRE [BLOCK_TYPE threats/threat_actors]
攻擊背後的推手是誰?
[BLOCK_TYPE threats/threat_actors]並非所有攻擊者都相同。安全專業人員會根據動機與能力將他們分類: [BLOCK_TYPE threats/threat_actors]
[BLOCK_TYPE threats/threat_actors]
腳本小子:使用預先建置工具的低技能攻擊者。他們會造成真實損害,但技術上並不複雜。 [BLOCK_TYPE threats/threat_actors]
駭客行動主義者:出於政治或社會動機。他們透過網站塗鴉、洩漏資料或發動阻斷服務攻擊來表達立場。
網路犯罪分子:以獲利為目的。包含勒索軟體集團、詐欺集團,以及資料仲介商。這是將傳統有組織犯罪轉移到網路上的形式。
國家支持的行動者(APT):由政府支持的進階持續性威脅。他們擁有龐大預算、客製化工具,並具備以年為單位的耐心。常見活動包括間諜活動、基礎設施破壞,以及智慧財產竊取。
內部人員:擁有合法存取權限的員工或承包商,他們可能出於惡意或疏忽而濫用權限。
MITRE ATT&CK Framework
MITRE ATT&CK 是一個公開的知識庫,收錄了真實世界攻擊者的技術,並依照階段進行分類:初始存取、執行、持久化、權限提升、橫向移動、資料外洩,以及其他更多階段。防禦者可利用此框架了解攻擊者在每個階段的行為,並據此建立偵測機制。
防火牆、VPN 與 IDS/IPS
網路防禦層
網路安全在於控制流量進入、離開以及在網路內部移動的方式。單一裝置無法獨立完成此任務:縱深防禦(defense in depth)意味著多層控制的叠加。
防火牆:第一道防線。防火牆會檢查網路流量,並根據規則允許或封鎖流量。基本防火牆會依據 IP 地址和連接埠號碼進行過濾。先進的下一代防火牆(NGFW)會檢查流量的實際內容,並可辨識特定應用程式。
VPN(虛擬私人網路):在兩個端點之間加密流量,在不信任的網路(如公共網際網路)上建立安全通道。遠端工作者使用 VPN 存取公司內部資源,就像在公司現場一樣。
IDS/IPS(入侵偵測/預防系統):IDS 會監控流量,當發現可疑活動時會發出警報。IPS 則會執行相同功能,但可以自動封鎖流量。可以將 IDS 想像成監控攝影機,而 IPS 則是配備警衛的監控攝影機,警衛可以隨時鎖門。
網路分割:將網路劃分為獨立的區域,使一個區域的入侵無法輕易擴散到其他區域。行銷部門的電腦遭到入侵後,不應能存取財務部門的資料庫伺服器。
Zero Trust and DNS Security
Zero Trust Architecture
傳統網路安全遵循城堡與護城河模型:強大的邊界防禦,但一旦進入內部,就會被視為可信。當攻擊者突破邊界時,或當邊界因遠端工作而消失時,這種模型就會徹底失效。
Zero Trust 翻轉了這個模型:永不信任,始終驗證。每個請求:無論來自網路內部或外部:都必須經過驗證、授權與加密。主要原則如下:
- 明確驗證:根據所有可用資料進行驗證與授權:身分、位置、裝置健康狀態、服務或工作負載,以及資料分類。
- 最小權限存取:僅授予使用者與系統執行任務所需的最小權限,且僅在所需期間內授予。
- 假設已遭入侵:將系統設計為假設攻擊者已入侵內部。盡量降低任何入侵造成的影響範圍。
DNS 安全性
DNS 將網域名稱轉換為 IP 位址。攻擊者會利用多種方式進行攻擊:DNS 欺騙會將使用者重新導向至惡意網站,DNS 通道會將資料外洩隱藏在 DNS 查詢中,而網域劫持則會接管合法網域。DNSSEC 會在 DNS 回應中加入密碼學簽章,以防止竄改。
注入攻擊
當應用程式成為攻擊面
網路防禦可能完美無缺,但如果應用程式本身存在漏洞,攻擊者就能直接從正門進入。
SQL 注入:攻擊者將惡意 SQL 程式碼插入輸入欄位。如果應用程式透過串接使用者輸入來建構資料庫查詢,攻擊者就能讀取、修改或刪除整個資料庫。範例:在登入表單中輸入 ' OR 1=1 -- 可能完全繞過身份驗證。
跨站腳本攻擊 (XSS):攻擊者將惡意 JavaScript 注入到其他使用者會檢視的網頁中。當受害者載入該頁面時,腳本會在其瀏覽器中執行,並可以竊取工作階段 Cookie、將其重新導向至釣魚網站,或修改其在頁面上看到的內容。
OWASP Top 10:Open Web Application Security Project 會定期發布一份最關鍵的網路應用程式安全風險清單。Injection 與 XSS 已連續超過十年出現在該清單中。其他項目還包括失效的存取控制、安全設定錯誤,以及不安全的設計。
防範注入攻擊的解決方案不只是輸入過濾:而是使用參數化查詢(也稱為預備語句)。不要將使用者輸入直接拼接到 SQL 字串中,而是將輸入作為獨立的參數傳遞,讓資料庫將其視為資料而非程式碼。
驗證與安全開發生命週期
正確的驗證方式
驗證(Authentication)是指證明你就是你所聲稱的那個人。授權(Authorization)則是決定你被允許執行哪些動作。混淆兩者是常見的安全漏洞來源。
多重驗證 (MFA):需要兩個或更多驗證因素:您知道的東西(密碼)、您擁有的東西(手機或硬體金鑰)、您是什麼(指紋)。MFA 阻擋了絕大多數基於憑證的攻擊,因為單獨被竊取的密碼不足以完成攻擊。
OAuth 2.0 和 OpenID Connect:委託授權與驗證的標準。當您點擊「使用 Google 登入」時,OAuth 允許應用程式透過 Google 驗證您的身份,而無需看到您的 Google 密碼。
安全軟體開發生命週期 (SDLC)
安全性無法在開發完成後再附加。安全 SDLC 將安全性整合到每個階段:
- 設計:威脅建模:可能發生什麼問題?
- 開發:安全編碼標準、程式碼審查、靜態分析工具
- 測試:動態分析、滲透測試、模糊測試
- 部署:強化配置、密鑰管理
- 維護:修補程式、漏洞掃描、依賴更新
事件回應生命週期
當防禦失效時
沒有任何防禦是完美的。當發生入侵時,事件是小事還是災難,取決於你回應的速度與有效性。
標準事件回應生命週期包含六個階段:
1. Preparation:建立團隊、定義角色、建立劇本,並執行桌面演練。這在事件發生前進行。未經準備的團隊會浪費寶貴時間來釐清職責分工。
2. Detection and Analysis:辨識事件正在發生並確定其範圍。這是 SIEM(Security Information and Event Management,安全資訊與事件管理)系統整合環境中各處的日誌,並對可疑模式發出警報的階段。SOC(Security Operations Center,安全營運中心)分析師會 24/7 對這些警報進行分類處理。
3. Containment:阻止損害擴大。短期遏制可能意味著將受感染的機器與網路隔離。長期遏制可能意味著在調查期間建立乾淨的平行環境。
4. 根除:徹底移除攻擊者的存在:惡意軟體、後門、已遭入侵的帳戶,以及持久性機制。
5. 復原:將系統恢復至正常運作。驗證環境是否乾淨。密切監控是否有攻擊者仍存在的跡象。
6. 經驗教訓:最常被忽略的階段。進行無責備的事後檢討:發生了什麼事、如何被偵測、哪些有效、哪些無效,以及將採取哪些改變以防止再次發生。
事件回應情境
情境:凌晨 2 點的勒索軟體攻擊
您是值班的安全分析師。凌晨 2:14,您的 SIEM 觸發警報:多台檔案伺服器出現異常加密活動。幾分鐘內,歐洲辦公室的員工回報他們的檔案已被替換成勒索信,要求支付 50 枚比特幣。
您的資安事件應變計畫指示您將事件升級給 IR 團隊負責人,並遵循勒索軟體應變手冊。CEO 正在來電。法務部門想知道通報義務。IT 主管想知道備份是否乾淨。
經驗教訓
大家都會跳過的階段
在立即危機解決後,經驗教訓階段決定組織是否真正改善。無責備的事後檢討會詢問:
- 初始存取向量是什麼?
- 攻擊者在偵測到之前在環境中停留了多久(停留時間)?
- 哪些控制措施失效了,以及為什麼?
- 哪些控制措施有效?
- 哪些具體、可衡量的改變能防止再次發生?
無責(blameless)這個詞很重要。如果人們害怕懲罰,就會隱藏錯誤。如果隱藏錯誤,組織就永遠無法學習。目標是修復系統,而不是懲罰個人。
近年來,勒索軟體攻擊的平均停留時間已有所下降,但對於其他攻擊類型,攻擊者通常會在數週或數月內都未被偵測到。偵測速度是安全營運中最重要的一項指標之一。
網路安全中的職涯路徑
這些知識的應用方向
網路安全領域正面臨嚴重的人才短缺:全球有數十萬個職缺尚未填補。這個領域提供多種職涯路徑,適合不同個性與技能組合的人:
SOC Analyst:第一線防禦者。SOC 分析師輪班監控警報、分類事件並升級威脅。這是進入資安領域最常見的入門職位。預期會有輪班工作及大量警報疲勞,但能快速累積實務經驗。
Penetration Tester (Pentester):你會獲得授權去入侵組織。你在攻擊者之前找出漏洞。需要具備網路、網頁應用程式及作業系統的深厚技術能力。創意思考與問題解決能力至關重要。
Security Engineer:設計並建置防禦基礎設施:防火牆、SIEM 系統、身分平台及加密系統。這是建置者角色。與 DevOps 及雲端工程有強烈重疊。
Digital Forensics and Incident Response (DFIR):調查人員。當發生入侵事件時,DFIR 專業人員會重建事件經過、方式及時間。需要細心注意細節,並熟悉法律程序及證據處理。
認證
認證並非必要,但能開啟更多機會:
- CompTIA Security+:業界標準的入門級認證。涵蓋基礎安全概念,是良好的起點。
- OSCP (Offensive Security Certified Professional):實作滲透測試認證。你有 24 小時的時間在實驗室中入侵多台機器。這項認證備受尊重且難度極高。
- CISSP (Certified Information Systems Security Professional):管理級認證,涵蓋安全策略、風險管理和治理。需具備五年經驗。廣泛用於資深及領導職位。
Your Security Mindset
總結
您已經涵蓋了許多內容:CIA 三元組、威脅行為者與攻擊向量、網路防禦與零信任、應用程式安全與注入攻擊、從偵測到經驗學習的事件回應,以及將所有這些知識應用於職業發展的路徑。
縱深防禦的核心原則是單一控制措施不足以提供足夠保護。您需要將防火牆與網路分段結合、網路分段與監控結合、監控與事件回應結合,並且所有這些都需搭配受過訓練的人員,當某項措施失效時,他們知道該如何應對。
攻擊者只需要找到一個漏洞。防禦者則需要覆蓋所有漏洞。這種不對稱性正是讓這個領域既具挑戰性又重要的原因。