像競爭對手一樣思考,並發動攻擊:歐美企業都在用的「紅隊作業」

Share

像競爭對手一樣思考,並發動攻擊:歐美企業都在用的「紅隊作業」

Share
by 孫保忠 Steven Sun

美國國安局有一支菁英部隊,叫做「老虎小組(Tiger Team)」,這個部隊專門「自己人打自己人」,對美國軍隊發動無預警攻擊,以測試自家人的防衛、應變、安全管理能力...

「大多數企業根本不知道自己安全弱點在哪裡。」安全駭客Chris Nickerson說。

有一個下午,他打給美國名人圈最高調炫富的鑽石商「比佛利傑森(Jason of Beverly Hill)」,在電話裡聲稱自己是高檔生活時尚雜誌Crave 的記者,下個月要製作比佛利傑森的封面專題,要求進入比佛利傑森總部拍攝訪問。

隔天,Chris順利進入比佛利傑森公司內部,近距離訪問到比佛利傑森的CEO。

一個月後,Chris帶著兩名同夥,趁著陽光明朗的周末,在人來人往的比佛利精華地段,侵入比佛利傑森在商業大樓裡、戒備森嚴的公司總部。他們最後成功偷走了保險箱裡數百萬美元的鑽石,以及比佛利傑森所有好萊塢名人富人等客戶資料,包括銀行帳戶。Chris還大搖大擺地在CEO辦公桌上留下一張三人行竊得手後對著鏡頭大笑的拍立得照片。

但Chris並沒有被起訴。

相反地,他獲得了一筆比佛利傑森給他的豐厚酬勞。

誰來告訴我,應該怎麼做?

這是怎麼一回事?

話說,美國國安局有一支菁英部隊,叫做「老虎小組(Tiger Team)」,這個部隊專門「自己人打自己人」,對美國軍隊發動無預警攻擊,以測試自家人的防衛、應變、安全管理能力。

而Chris和他的夥伴,就是民間企業的老虎小組,又稱作「紅隊(Red Team)」──他們進行的紅隊作業(Red Team Operation),是接受企業委託的安全駭侵(hacking),嘗試攻破那些自稱安全的企業大樓和系統,找出防護弱點,然後提供改進方案。

就在Chris受比佛利傑森安全主管秘密委託、佯裝記者進入比佛利傑森公司訪問CEO的那個午後,他其實帶著隱藏攝影機,將公司內的監視器位置、室內布局、甚至在訪問過程中將CEO的生日和公司內部線索,都摸得一清二楚。他甚至還利用請櫃檯小姐幫他印一份USB文件當作藉口,在比佛利傑森公司的電腦下載後門程式,破解該企業所有安全密碼。

red team, 紅隊作業, chris nickerson

在美國電視節目Tiger Team, Chris示範趴在地上爬行,躲過比佛利傑森的動作感測監視器。(Credit: Youtube截圖)

在每次入侵「成功得手」後,Chris 都會在事後製作一份安全檢討報告書,告訴企業經營者他突破保安的方式,以及應該怎麼做,才能用最低的成本、最高的效益,讓安全系統更加完備──比方說,為企業門禁卡加一個只要區區幾百塊台幣的護套,就可以避免門禁卡資料被有心人士竊取。

Chris Nickerson不只被視為安全駭客界的最後良心,他的行動,也是民間紅隊作業的始祖。

企業嚴重自我認識不足的三大原因

就像Chris說的,大多數企業根本不知道自己的安全弱點在哪裡。但之所以如此,有三大原因:

  1. 安全設施防君子,不防小人

很多企業認為裝設安全系統,就「安全」了。事實上,警報器、防盜系統等安全措施雖然是必要的,卻完全阻擋不了「積極、有計畫」的入侵。

就拿比佛利傑森的例子來說,就算企業總部布滿密密麻麻的監視器、動作感測警報器、安檢雙層門、尖端保險箱…這些安全措施,還是輕而易舉地遭到Chris破解。就如另一位紅隊專家Jayson E. Street說,一般實體的安全設施「完全阻擋不了一個決心要入侵的惡棍。」

  1. 我會中樂透,他會遭小偷:大腦認知的欺騙伎倆

人,通常不願意仔細思考可能會發生在自己身上的倒楣事。認知科學家Tali Sharot指出,大多數人都有「樂觀偏見(Optimism Bias)」,亦即,在「已經被告知」事實數據的情況下(例如樂透得獎機率是千萬分之一,而離婚率是1/2),大多數人仍然會高估發生在自己身上的好事機率,低估發生在自己身上壞事的或然率。更別提人類認知中錨定效應、驗證偏誤等認知陷阱,使得像分析師等企業人員,很可能在一開始評估時,就給出具有誤導性的數據。

  1. 沒有壞消息,是最糟的壞消息:群體盲點

一個企業主管在會議上分享了一個想法、宣布一個決策,獲得全體一致無異議通過。這時,企業主感覺棒呆了。

但他並不應該。熟悉紅隊作業的人都深知,沒有壞消息背後通常有兩種原因:其一,它意謂著企業組織文化已經成功滲透到每個員工身上,每個人用習慣的文化,習慣的邏輯,習慣的語言,進行習慣的工作。以至於沒有人有能力,跳脫思考框架,查覺到潛在的重大風險。

其二,員工不敢表達反對意見的。多數企業經營者都高估了自己給予「員工表達反對意見」的空間,或者,好像有一個匿名申訴管道就可以解決這個問題,殊不知此舉只是暴露──甚至加強──「無法容忍公開異見」的企業文化。哈佛商學院教授Amy Edmonson則說得一針見血:「從來沒有人因為不說話而被開除」,向上司報告可能風險,員工就必須冒著失去工作的風險。

任何層級組織內部,都有溝通盲點。美國參謀長聯席會議主席Martin Dempsey回憶,他正式升任4星上將的那天,有另外一個四星上將向他道賀:「從現在開始,再也不會有人和你講真話了。」

用更強的力量反擊

沒有人可以當自己的裁判,為自己的表現評分;要求企業組織可以不靠外力自行產生有價值、有建設性的異見,更是不切實際。最理想的做法,還是請「組織外部」專業人士協助進行,校園、建築物等安全實體滲透,或是企業重要決策前的商戰模擬,讓沒有組織束縛的外部團隊,運用解放手段,和可靠的技術經驗,協助企業組織評估潛在風險。

就像美國知名大律師Dudley Malone說,「我從不曾從那些和我意見相同的人身上,學到任何東西。」為企業進行紅隊作業,讓企業經營者能夠在傷害發生前,先用「用敵人的角度思考」,學敵人的方式攻城,才能知道,怎麼把自己的牆蓋得更牢。

 

 

孫保忠 Steven Sun

曾任職於全球物流產業領導品牌Expeditors International、DHL Express的高階管理層,有十多年在跨國企業的風險管理、策略規劃、產品行銷、以及安全管理等領域的豐富實務經驗,他長期參與企業的核心運作,對於企業經營管理有獨到見解。目前為Xilienz實戰力企管顧問創辦人 & 執行長。

曾任職於全球物流產業領導品牌Expeditors International、DHL Express的高階管理層,有十多年在跨國企業的風險管理、策略規劃、產品行銷、以及安全管理等領域的豐富實務經驗,他長期參與企業的核心運作,對於企業經營管理有獨到見解。目前為Xilienz實戰力企管顧問創辦人 & 執行長。