網路犯罪
S4x23工業控制系統 (ICS) 資安大會回顧:OT 資安最新發展
本系列部落格將分幾篇文章介紹先前在美國邁阿密舉行的「S4x23」 資安大會中所討論的一些議題,首先第一篇將從兩場學術專訪談起。
2023 年 2 月 14 日, ICS 資安大會 S4 在美國佛羅里達州邁阿密 (Miami) 舉行。超過 1,000 名 ICS 資安專家齊聚一堂,共同探討營運技術 (OT) 的資安未來。
在開幕演說當中,S4 活動催化師 Dale Paterson 表示,OT 是一個獨一無二的世界,有別於其他任何一「T」,因此我們需要更多的實務經驗。為此,他宣布今年的主題是「Explore」(探索),並呼籲走在尖端的先驅們在未來 3 至 5 年當中要努力開發新的創意。
本系列部落格將分幾篇文章介紹 S4 上討論的一些議題。首先第一篇將從兩場學術專訪談起。
專訪《Cyber Persistence Theory》作者 Michael Fischerkeller
Fischerkeller 是美國國防分析研究所 (Institute for Defense Analyses) 的資深研究員,曾經參與美國政府安全政策制定超過 25 年。根據這項經歷,他與其他兩位作者共同出版了一本名為《Cyber Persistence Theory》(網路持久性理論) 的書,目的是希望彌平網路資安理論與政策之間的落差。Dale 特別以這本書為主題與該書作者進行了一次專訪。
在閱讀了這本名為《Cyber Persistence Theory》的書並參加了這場座談之後,我發現:
- 網路空間是一個與傳統策略環境截然不同的第三策略性環境。
- 敵對雙方會因為彼此互聯的關係而隨時保持聯繫。
- 國與國之間會利用敵人的弱點來謀求自己的利益。
- 累積的效果可能超越了傳統戰爭的利益。
為了解釋網路空間的特性,Fischerkeller 提到了「剝削」(exploitation) 與「脅迫」(coercion) 的不同。
脅迫與剝削是國家安全領域的兩個不同概念。脅迫是一種策略,涉及利用威脅或力量來迫使另一個國家改變行為或服從某些要求。例如,某個國家可能威脅採取軍事行動或經濟制裁來脅迫另一個國家停止發展核武或撤出雙方衝突的地區。脅迫通常被當成一種威嚇的手段,防止敵人採取某種行動。
反觀「剝削」則是善用另一個國家在國防或經濟上的漏洞或弱點。可能涉及的活動包括:網路間諜、智慧財產竊取,或是滲透重要政府機關或軍事單位。剝削的目的通常是為了取得對他國在策略或經濟上的優勢。
雖然脅迫和剝削可以合併使用來達成國家安全目的,但它們在方法與做法上有所不同。脅迫需仰賴威脅或力量,剝削則是利用對方的弱點。
此外他還提到,提倡「剝削」的邏輯是一種自發性行動,希望在場的資產擁有者們能優先拓展自己的業務來提升國力。
專訪普渡大學 (Purdue University) 教授 Eugene H. Spafford
在這場專訪中,資安界的傳奇人物 Spafford 特別點出網路資安領域組態設定錯誤的問題,並以他過去 40 年的經驗帶給觀眾許多啟發。
Spafford 指出,網路資安的優先要務並不是資安本身,而是保護使用者與使用者的活動免於駭客攻擊與損失,這樣才能支援使用者達成他們原本設定的目標。
資安專業人員傾向於盡可能提升資安能力,但其實他們的目標應該是在了解使用者與使用者情境之後,提供適切的防護。
此外,他也表示「防守對上攻擊永遠處於劣勢」是一種很錯誤的觀念。攻擊不一定會比防守來得容易。例如,攻擊關鍵基礎設施的成本不一定會低於防守這些設施的成本。防守的一方似乎花費了太多的資源在學習攻擊方法。防守的成本視需要保護的資產價值而定,而這是在思考攻擊方式與攻擊者是誰之前應該考慮的一項挑戰。
除此之外,他還指出一個常見問題是資安工具疊床架屋的情況。這是因為觀念錯誤導致,認為工具越多越安全。工具太多反而會增加複雜性,導致資安團隊疲乏、過勞、發生人為錯誤,實際上反而會增加風險。新的工具應該是為了協助資安團隊,而非讓他們工作更加沉重。最近,Spafford 將 175 多項網路資安組態設定錯誤整理成一本書,並在每一章都配上一些幽默風趣的手繪插畫,很適合當成網路資安的一本入門書。
下一篇文章,我們將探討能源產業的網路資安情況,這是 S4x23 探討的重點議題之一。
參考資料 (Amazon 上的兩本原文書):