家貓帶給我們的網路安全啟示

史丹佛大學的資深研究學者Herbert Lin是網路政策與安全領域的專家,在洛杉磯時報(Los Angeles Times)的一篇社論文章中,Lin透過自身與家貓相處之案例,以淺顯易懂的方式說明為何保護電腦設備安全會如此困難。

Lin本身對貓過敏,偏偏他的女兒帶了一隻貓(名為Pounce)回家長住,這迫使Lin必須設法讓Pounce只能在禁閉區內活動,儘管一開始他的方法看似奏效,但Pounce很快就能突破屏障。

從這個經驗當中,我們可以看到幾項與網路安全有關的實例:

  • 若要成功對抗堅定的攻擊者(Pounce),必須儘早使出全力,如果只部署最低限度的安全措施,肯定會失敗。
  • Pounce具備反覆嘗試的時間優勢,只要成功一次就能脫身,因此每項禁閉措施都必須達到有效性。
  • 擁有更多資源與更高度的智慧,並不保證勝利,Pounce依然可以無限次的嘗試繞過障礙。
  • Pounce背後有一個強大的保護者——Lin的女兒,為了維護良好的關係,Lin不希望激怒女兒。同樣的,在境外活動的駭客即使名義上是自由行動者,往往也會得到政府的支援,因此很難說服這些保護者採取行動。
  • 在Pounce逃出禁閉區之前,Lin會認為自己的措施是有效的,這種情況會反復發生,因此容易讓人陷入虛假的安全感。
  • 試著以Pounce的高度去觀察環境並不容易,因此Pounce可以找出規避或是破壞禁閉措施的方法。
  • 操控人員可能勝過任何技術防禦,這在網路安全領域稱為「社交工程」(social engineering)。當Pounce哀怨的喵喵叫並望向主人時,主人便會主動打開禁閉區的門讓牠出去。以網路術語來說,Lin的女兒就是一位「受信任的內部使用者」,但她叛變了。

直到女兒帶著Pounce搬出家中,Lin才算真正贏得這場戰役。Lin表示,這個事件帶給我們的教訓是:沒有電腦設備的地方,便不存在網路安全威脅。牙刷與冰箱即使不具高科技的通訊功能,依然可以正常使用,別幫自己招來更多無謂的網路安全風險。

相關連結:

HERBERT LIN (2021). Op-Ed: What a house cat can teach us about cybersecurity. Los Angeles Times.

檢自:

https://www.latimes.com/opinion/story/2021-11-07/op-ed-what-a-house-cat-can-teach-us-about-cybersecurity (Nov. 18 , 2021)

Scroll to Top