蔡一郎的部落格

Yilang's Blogger

一個虛實整合下的-足跡!

Published by Yi-Lang Tsai under on 5/09/2019 08:00:00 上午
保留在數位時代中的足跡,Google提供了一個「時間軸」的功能,雖然從資安的角度上來看,對於個人的隱私總有些疑慮,畢竟透過行動裝置記錄使用者的活動軌跡,並紀錄到雲端上,這往往就是「便利性」與「安全性」的觀點不同,不過這項服務本身,對使用者而言也是一種回憶的紀錄,有時候隨著年紀的增長,「忘性」總強過於「記性」,雖然現在的資訊平台多多少少都會收集使用者的資訊,不過這些就取決於使用者本身如何看待這樣的服務。


智慧型手機在目前已成為相當普及的通訊裝置,畢竟現在除非有特別的原因,例如:在嚴格管制資料安全的區域,大多數的人基本上都是人手一機,而且多數的情況都是隨時連接在網路上,因此透過網路連接這些終端設備,再利用這些設備本身所具備的資源進行資料的收集,再進行後續的資料分析作業,在目前的時代中,許多的裝置其實預設就會收集使用者的地理位置,當然有些應用裝置在使用的過程,也會詢問是否同意讓軟體收集與使用者有關的資料,這些當然多數的使用者為了要使用應用軟體所提供的完整功能,在大多數的情況都會默默的同意,就算心裏一直有個疑問?為什麼一定要同意讓軟體來收集我的資訊呢?不過還是會順手的按下了「同意」的選項。


在Google Map所提供的時間軸功能,會將使用者被紀錄下來的位置,依據指定的時間範圍,或是針對個日期來呈現,雖然不會詳細到一分一秒的紀錄,不過只要是大範圍的移動或是停留在某些特定的地點達一段時間,就一定會紀錄下該點的軌跡。


如果還是覺得不需要讓應用軟體取得與隱私相關的資訊,建議就直接在所使用的帳戶下,關閉這項紀錄的功能,近來許多的網站或是服務平台遭到攻擊而衍生的資料外洩事件層出不窮,在Google的服務中,為了要貼近與用戶間的距離,也為了可以透過收集用戶在網路上的行為,提供更精準的資訊,因此在「隱私權」中的「個人化Google服務」,只要您設定將自己的活動資料儲存在 Google 帳戶中,Google 的工具和服務就能運用這些資料提升執行速度和內容的實用性,包括在 Google 地圖中提供更精確的通勤路線選項,或是在 Google 搜尋中加快顯示搜尋結果。這些看似便利的服務方式,其實卻是隱藏著隱私外洩的風險,尤其在智慧型手機上,因為應用服務之間的互相「信任」,在安全軟體時,使用者往往同意這些應用軟體所列出需要的權限,造成隱私資訊的外洩更加的容易。

目前許多人習慣使用Google之類的搜尋引擎當成找到網路上資訊的主要管道,而這些搜尋引擎為了提供給更精確的服務,可能要會求使用者同意許多的功能,例如:網路和應用程式活動,這些軟體的活動紀錄,當使用者同意提供時,使用者在使用網路以及操作應用軟體的過程中,就會將其中的活動行為分享給這些服務平台的提供者。


定位紀錄在智慧型手機越來越普及的時代中,這些紀錄在使用者操作手機或是安裝其中的APP時,就直接洩露了所在的地理資訊,或是結合穿戴裝置,讓定位資訊的收集更加的容易。


目前流行的語音助理,雖然提供給使用者可以利用語音的方式,下達需要進行的指令或是取得應用服務,不過這些語音或是音訊活動,仍然存在著是否會竊聽或是收集使用者所在地點的環境聲音進行分析的可能性。

網際網路串起了許多新興的應用以及發揮資訊科技所帶來的便利性,實體的裝置與設備,扮演著在真實世界收集資訊的角色,而網路上的數位分身,有著與真實世界相仿的行為特性,這些代表的使用者行為隱私資訊,可能在不經意的情況下就遭到資訊的收集,或是做為其它網路犯罪的管道,如何讓本身在網路上的「足跡」是能夠被掌握的,在目前的數位時代中就更顯得其重要性。

數位時代下的多層次防禦

Published by Yi-Lang Tsai under , on 5/06/2019 10:06:00 下午
雲端時代的來臨,除了代表資訊技術的進步之外,也意味著傳統資訊安全防禦的概念,必須隨著時代的轉變而有所調整,想當初剛到目前服務的單位時,整個單位連外的線路是一條T3的線路,當時也正值乙太網路崛起的時代,沒過多久原本使用的 Lightstream1010 就退休了,取而代之的架構簡單化的乙太網路交換器,沒多久具備基本路由能力的交換器成為了主角,在這個時代其實資訊安全的議題還離我們有些遙遠,多數的情況只需要把網路存取的管理做好,就是把資安做好了。

想要瞭解目前該如何進入資訊安全的領域,就需要先對於資安這個領域的發展,有初步的瞭解與認識,尤其目前剛接觸資安領域的生力軍,對於過往的發展歷程,更是有瞭解的必要,因為資安的領域涵蓋的面向相當的廣泛,傳統上分成了系統安全、網路安全、程式安全、網站安全等,或是學理上談的密碼學等,在實務面又有現在引領風潮的CTF競賽,或是針對藍隊防禦進行的攻防賽,每個專業領域,都能夠建構一個完善資訊安全技術的環節。

從資訊安全的角度,個人簡單的將其分成以下幾個世代,不過先聲明一下,這些僅是個人就所見與經驗進行分類,並不代表學理或是教科書上的分類方式。

【使用者與主機端的防護】
在這個世代中,每台電腦或主機安裝防毒軟體是必要的工作,每當我們組裝好電腦接著安裝完作業系統,在連接上網路前的第一件事,就是在機器上安裝好防毒軟體,防毒軟體成為使用者的門神,隨時看著主機上的通訊,或是檔案系統在異動是否有比對到符合病毒特徵的檔案,當時特別有印象的是一套台灣廠商自行研發的「金帥防毒(Zlock)」,不過我想除非跟我一開始接觸電腦時,當時的作業系統是MS-DOS的網友,才會聽過它,在目前應該很少人知道有這段的歷史,不過大概跟筆者同世代的人而言,對於ZLOCK可是相當依賴的,當時所發展的一些概念,對應到目前而言仍然是相當有用的,物換星移下,目前大多由比較完整防禦的端點防護軟體,整合了單純以防毒為主的產品。
圖-GGreat在2003年的產品資訊


【網路安全幾乎等同資訊安全】
當時的網管人員所想像的資訊安全,就是直接觀看網路的流量,因為早期的網路頻寬遠小於目前的時代,所以只有網路上有一些風吹草動,還真的有機會直接從網路流量的變化,就能夠推論出網路上是否有攻擊行為的發生,因此網管人員還必須兼職的擔任起資安防禦的角色。

不過進入了100Gbps的時代之後,由網路流量的變化是很難看得出異常的,大概只有遭到DDoS(分散式阻斷服務)攻擊時,才能夠由網路流量的變化,斷定正在遭受大量的攻擊,不過往往以過往此類攻擊的資安事件來看,往往不到幾分鐘的時間,就能夠把目標主機打掛了,更不用說每五分鐘會自動輪詢一次的SNMP產生的MRTG圖能夠告訴我們是否發生的網路攻擊的事件。

圖. TANet流量圖

【網路安全威脅】
網路的應用服務呈爆炸性的發展之後,隨之而來的網路安全的問題,引起了大家的注意,許多的攻擊行為不再是單純的掃瞄或是利用系統的弱點進行攻擊,透過不同的攻擊工具或是針對系統或是軟體弱點所進行的攻擊行為,對於被攻擊的主機大多能夠造成重大的影響,而網頁程式開發或是運作的環境,往往受限於程式的開發環境以及網路服務不能夠中斷服務,此時許多的管理人員,其實是可以接觸網路存在資安上的風險,寧願冒著網站可能被入侵的風險,也無法因為開發環境被發現了可運用的漏洞,就把目前正在線上服務的網路關掉,就只為了等待把漏洞修完。

圖-CVE (https://cve.mitre.org/)

當越來越多的資訊服務,透過網路來提供時,來自網路上的攻擊威脅,也就成為最需要偵測的來源,透過資安設備或是誘捕系統之類的機制,其實就不難發現網路上其實並不如我們想像的平靜。

【區域聯防的概念】
隨著網路頻寬的增加,以及越來越多的使用者透過網路來取得資訊,一個階層式的管理架構逐漸成形,也由「技術思維」融入了「管理思維」,開始思考如何讓目前建置的系統與防禦機制能夠發揮更大的功能,並且協同相關的管理單位,進行事件的處理,以台灣學術網路而言,透過管理機制的建立,加上各區域網路中心間的合作,針對發生的資訊安全事件,能夠進行通報與應變,也可以讓資安事件對於網路世界造成的影響,能夠有效的受到掌握。

圖-TANet區域聯防架構(2001年)


【縱深防禦的架構】
「縱深防禦」是與「區域聯防」為相輔相成的架構,早期的區域聯防,主要是將資安的威脅,透過各個管理單位的力量進行掌控,避免事件影響範圍的擴大,目前的縱深防禦改以應用服務為導向,並且融合相同領域的使用者,共同建立該領域的防禦架構,近幾年來國內從政府單位開始推動的資訊分享與分析中心(ISAC, Information Sharing and Analysis Center)架構,就是希望透過聯防體系的建立,讓資訊安全威脅的情資,能夠在進行交換與分享,以建立初期的預警機制。

如何建立一個縱深防禦的架構,基本上需要涵蓋管理、政策以及技術等多個層面,以較容易理解的技術面問題,以後我們在進行資訊安全政策的制定時,當有了大的方向,接下來就是必須規劃實施的細節,甚至是建立防禦機制的步驟,這些都需要各個層面互相的配合,例如:一個網路管理政策藉由資安設施進行部署,而且實施預警或是阻擋的機制時,如何確保能夠持續有效運行,這個就成為關鍵的議題,尤其在目前雲端服務盛行的時代中,在建立整體的資安防禦時,往往需要考量從應用服務開始,一路到系統防護、網路安全的確保等多個層面,但是唯一可以確定的是重要的應用網路服務必須順利的提供給正確的對象,以及提供具安全保障的服務方式,但是當資訊服務的架構,因應網路問題或是系統資源需要進行調配時,資安的偵測規則仍然必須確定有效,而且能夠無縫轉移。

【多層次的全方位防禦】
資訊技術的發展也讓資安面臨新的挑戰,包括了近幾年的雲端服務、行動應用以及物聯網等新型態的資訊科技,結合網路的連結讓許多應用變得更容易實現,也更具有彈性,資安問題從來就不是單純的技術問題,如果單純使用資安技術就能夠解決的資安問題,其實並不是真正的資安問題,欠缺全方位的思維,以及全方位的防禦,往往為未來可能發生的資安事件留下了伏筆。

參考網站: