資安領域常提「零信任 (zero trust)」原則,幾乎已是設計系統的黃金準則
# 不在乎資安的另當別論
網路上已有許多文章,講得也算清楚故本文僅做「大眾友善 (i.e. 不專業)」版分享,讓你輕鬆認識零信任
何謂零信任?
一言以蔽之:沒驗證前,誰都不相信
且驗證須週期性進行,非「一旦通關就順風順水」
像偵探一樣,先懷疑每個人,再分別排除嫌疑
# 靠「驗證」排除嫌疑,驗證方式可自行定義,e.g. 登入
講古:
尚無零信任概念的黑暗時代,企業資安架構通常是:
用戶、外部連線視為危險來源,需謹慎防範
築好防火牆,就不愁吃穿了 (?)
等等,難道內部人員就絕對沒問題嗎?
首先,員工可能基於好奇,從內部亂玩系統,挖出不該接觸的機敏資訊
# 抱歉,我就是愛亂挖的那個
再者,若企業把勞工當奴隸,低薪、文化爛、霸凌層出不窮,還只會包庇
那遭受蓄意刪除、竄改資料,或其他報復行為也不奇怪
遑論外部利誘,策反的可能性大增
知名駭客組織 LapSus$,就很擅於「招募」別人企業的員工
畢竟比起外部強攻,從內部滲透容易得多
咱垂雅大師曾說:
Do not see every enemy as an enemy. See them instead as an ally, whether they know it or not.
# 別把所有敵人當敵人,不如當盟友看待,哪怕對方沒意識到
即使無惡意,光是簡單、古老的手法 - 釣魚郵件或連結,就能搞倒一票企業
# 且通常一人中招,便足以威脅整個公司個資料
說那麼多,不是要老闆監控員工
而是設計系統時,應先假設有內鬼、假設防火牆必有疏漏、假設已中毒
因此系統要能確保,即使某區塊出事,災情也不會肆虐
例如:
- 每個區塊各自隔離,無法任意互相存取
# 就是沙盒啦!
鄰居家失火,只要防火巷沒停滿車,你家就還安全
- 僅授予必要權限,不該給的都別給
若權限毫無管制,買通一個人資就能刪掉整個 Google
一般產業比喻:小小人資手握全公司鑰匙,包括金庫
你會沒事發萬能鑰匙給每位員工嗎?
不會的話,權限為何不用管控呢?
- 偵測機制
保存活動紀錄,誰、何時、用了哪些功能,最好都留
不然被駭了都沒發現,事情只會越來越大條
及早發現,及早治療
哪怕後知後覺,也好過不知不覺
- 應變措施
發現異常後,總得處理吧!
自動鎖帳、人工排查、或其他手段都行,至少要有應對 SOP
隔離區只能避免災害擴大,不會自動消災
鄰居家遭祝融,哪怕防火巷都正常,大家還是會設法滅火
零信任是持續性的過程,不會出現「採取了某措施,就永遠安全」的現象
因為技術會演進、駭客也不曾停下腳步
Bad guys never sleep
- IBM Jeff
無法保證超前部署,至少也要追平
魔高一丈,道卻沒高一尺,豈不任人宰割?
以上論述很眼熟嗎?
沒錯,零信任也能推廣至消費者
任何個體、機構、服務未證明可靠前,都不該信任
即先假設最糟狀況,連最壞情境都能防範,其他就毋需擔憂
前幾篇替換文章,就落實此哲學:
- 閉源軟體無法證己清白,所以換掉
- 每個服務都先想最糟狀況,例如官方想偷你資料
許多軟體透過加密、開源供審核、資料不離機等方式,證實自己可受信任
# 就算要做壞事也是公然做,因為程式碼都公開
- 先假設有人要偷窺你,再挑「就算 NSA 監控也不怕」的選擇
需信任的對象越多,攻擊面積就越大
任何一者出事,你的資料就不安全
例如用 iPhone 裝 Google 地圖,需要擔心蘋果、Google
兩者都能盜你資料,且兩者都可能被駭
相較之下,Android 裝 Google 地圖、iPhone 裝蘋果地圖,對手就只有一個
有點像被害妄想症,對所有東西都採最嚴格標準
畢竟防人之心不可無,預防總比治療好
就像疫苗打了卻沒疾病,頂多浪費資源
但沒打疫苗遇上疫情,後果難以挽回
