威尼斯語的「quaranta」,意思是「40」。檢疫的目的是要將可能曾經暴露於某種疾病但卻仍然健康的人或動物分開並限制其行動,以便看看他們是否會發病。其 40 天的觀察期為了找出當年的鼠疫 (也就是黑死病) 帶原者而設定,以免帶原者上岸之後造成傳染病擴大。雖然非常時期需要非常手段,但這個概念已廣泛普及,且延續至今。
不過,今日資訊安全產業已完全誤用「檢疫」一詞,指的是將已知感染的檔案或系統移至受保護的區域等候進一步檢驗和清除。這種作法更精確說法應該是「隔離」,因為大多數的情況下我們已經知道它們遭到了感染或入侵。不過,這還是達到了防止入侵擴大與後續損害、防止系統遭人用於散布垃圾郵件(SPAM)、防止敏感資訊遭到竊取、防止感染繼續擴大等重要目的。
今日的執法機關、資訊安全廠商 (如趨勢科技) 以及網際網路服務業者之間前所未有的聯合打擊行動,讓我們有機會檢驗一下這樣的觀念有多普遍,以及如何運用這個概念來打擊網路犯罪。非常時期的確需要非常手段。
參與 GOZeuS 及 Cryptolocker 圍勦行動的網際網路服務業者可利用執法機關的情報來發掘他們有哪些客戶遭到感染,然後通知客戶並協助他們清除。難道這不應該當成一種未來應建立的標準嗎?已知遭到入侵的系統應該隔離到清除為止。
如今日所見,當我們發布全球警示以及推動一波教育行動時,成果或許看似斐然,尤其是對於參與的資訊安全相關人員:11個執法單位、一長串的資訊安全廠商、記者會以及全國和國際媒體報導。但事實上,對於絕大多數網際網路使用者來說卻有如耳邊風一樣。教育計劃的效果基本上還是信者恆信,不信者恆不信 (我們去年拍攝的《2020》 系列影片正是為了擴大對話)。
我們必須採取一些行動來讓一般網際網路使用者真正了解其行為及毫無作為的後果,因為即使是駭人的頭條新聞,明天過後就會被大家遺忘。更何況,在一樁又一樁的資料外洩事件之後,人們對這類警告早已痲木不仁。
網際網路服務業者應持續利用資訊安全產業所提供的情報來發掘有哪些受感染的系統連上他們的網路。這些系統應該移至隔離區域,並且通知帳號使用者,告訴他們如何清除系統並矯正這樣的情況。在感染清除之前,這些電腦可存取的網際網路資源應該受到限制。使用者將被迫必須在乎。
同樣的作法對車輛已行之有年。車輛每年都要接受定期檢驗,如不通過就無法上路,直到改善為止,因為不合格的車輛將對駕駛人和其他用路人造成危險。非常時期的確需要非常手段。
◎原文來源: https://countermeasures.trendmicro.eu/its-time-to-quarantine-infected-computers/