關聯筆記:Google Cybersecurity Certificate > C1 網路安全基礎
C1W2 — 資安的演進
The history of cybersecurity
目錄
一、資安發展史
了解歷史攻擊事件,是因為今天的攻擊者常常「改良」舊手法,而非發明全新手法。
重要里程碑時間軸
| 年份 | 事件 | 意義 |
|---|---|---|
| 1986 | Brain Virus(腦病毒) | 史上第一個已知惡意程式 |
| 1988 | Morris Worm(莫里斯蠕蟲) | 觸發第一批 CERT 組織成立 |
| 2000 | LoveLetter / ILOVEYOU | 揭示社交工程在惡意軟體傳播中的威力 |
| 近年 | Equifax 資料外洩 | 數億人個資外洩,說明資安事故的廣泛影響與代價 |
Brain Virus(1986)
由巴基斯坦的 Alvi 兄弟創建,原意是追蹤非法拷貝的醫療軟體授權。
- 傳播方式:透過受感染的磁片在全球蔓延
- 影響:不破壞資料,但大幅拖慢電腦運作效能,干擾企業營運
- 啟示:組織必須建立主動的安全策略,而非事後補救
Morris Worm(1988)
由 Robert Morris 所創,原意是測量網際網路的大小,但設計出現致命缺陷。
- 致命缺陷:程式沒有追蹤「已感染的電腦」,導致持續重複感染同一台機器
- 影響:約 6,000 台電腦崩潰,相當於當時 10% 的網際網路,造成數百萬美元損失
- 啟示:直接促成 CERT(電腦緊急回應小組) 的誕生,後演變為現代的 CSIRT
資安實務案例:資料外洩現場
Sean — Google Workspace 技術專案經理,30 年資安資歷
發現有人在 eBay 購入二手伺服器,上面還存有 2,000 萬筆信用卡紀錄——沒有被正確清除過的設備直接流入市面。
處理原則(對初階分析師的建議):
- 先保持冷靜:面對外洩事件,你是現場最穩的那個人
- 先止血再調查:優先切斷資料洩漏源(關閉伺服器、網路、通訊系統)
- SOP 就是你的武器:按計畫系統性執行,不要憑感覺亂動
二、常見攻擊手法
釣魚攻擊(Phishing)
釣魚是利用數位通訊欺騙人交出敏感資料或部署惡意軟體。
| 類型 | 說明 | 目標 |
|---|---|---|
| BEC(商業電子郵件詐騙) | 偽裝成已知來源,發出看似合理的請求以獲取財務利益 | 一般員工 |
| Spear Phishing(魚叉式釣魚) | 針對特定使用者或群體的惡意郵件,看起來像可信來源 | 特定個人 |
| Whaling(鯨魚攻擊) | 魚叉式釣魚的進階版,專門鎖定高階主管 | C-level 主管 |
| Vishing(語音釣魚) | 透過電話語音騙取敏感資訊或冒充可信來源 | 電話通話對象 |
| Smishing(簡訊釣魚) | 透過簡訊欺騙使用者交出資訊或冒充可信來源 | 手機使用者 |
惡意軟體(Malware)
惡意軟體是設計用來傷害裝置或網路的軟體,主要目的是獲取金錢或情報優勢。
| 類型 | 核心特徵 | 記憶鉤子 |
|---|---|---|
| Virus(病毒) | 需要使用者手動觸發(點開附件/下載檔案),才會躲入其他檔案並蔓延 | 需要「宿主」的人工傳播 |
| Worm(蠕蟲) | 不需使用者操作,自我複製並透過網路擴散 | 自力更生的自動傳播 |
| Ransomware(勒索軟體) | 加密組織資料,要求贖金才還你存取權 | 「付贖金才解鎖」 |
| Spyware(間諜軟體) | 蒐集並出售使用者資訊(郵件、簡訊、錄音、位置),未經同意 | 偷偷監視你的間諜 |
病毒 vs 蠕蟲:最常考的差異
- 病毒:需要人類行動才能觸發(點開 = 開關)
- 蠕蟲:不需人類介入,自動複製傳播 Morris Worm 之所以叫「Worm」,正是因為它自動在網路機器間蔓延,完全不需要使用者點擊什麼。
社交工程(Social Engineering)
社交工程是利用人類錯誤來獲取私人資訊、存取權或財物的操控技術。
| 類型 | 說明 |
|---|---|
| 社群媒體釣魚 | 先從社群媒體蒐集目標詳細資料,再發動攻擊 |
| 水坑攻擊(Watering Hole) | 攻擊特定群體經常造訪的網站 |
| USB 誘餌(USB Baiting) | 故意把有惡意軟體的 USB 留在現場,讓員工「撿到並插上」 |
| 實體社交工程 | 冒充員工、客戶或供應商,取得實體場所的未授權進入 |
三、社交工程的六大原則
社交工程之所以有效,是因為攻擊者精準利用人類心理。
| 原則 | 說明 | 範例手法 |
|---|---|---|
| Authority(權威) | 冒充有權力的人,因為人天生習慣服從權威 | 假裝是主管、IT 部門 |
| Intimidation(恐嚇) | 用威脅或施壓讓受害者服從 | 「再不處理就停帳號」 |
| Consensus(從眾) | 聲稱「其他人都這樣做」讓目標放下戒心 | 「公司其他人都給我存取權了」 |
| Scarcity(稀缺性) | 暗示供應有限,製造緊迫感 | 「限時優惠,今天到期」 |
| Familiarity(熟悉感) | 建立虛假的情感連結,讓目標信任攻擊者 | 假裝跟你有共同朋友 |
| Trust(信任) | 長期經營關係,慢慢取得個人資訊 | 花幾週建立信任再出手 |
| Urgency(急迫性) | 催促對方快速行動、不加思索 | 「現在立刻點擊!」 |
原則的核心邏輯
這七個原則的共通點是:繞過理性思考。攻擊者製造讓你「來不及懷疑」的情境。多個原則通常同時使用(例如:權威 + 急迫性 + 恐嚇)。
四、CISSP 八大安全域
CISSP(Certified Information Systems Security Professional)是全球最知名的資安認證,將資安工作組織成 8 個領域(Domains)。
| # | 安全域 | 核心任務 | 範例工作 |
|---|---|---|---|
| 1 | 安全與風險管理 Security & Risk Management | 定義安全目標、風險緩解、合規、業務連續性、法律 | 更新符合 HIPAA 的政策 |
| 2 | 資產安全 Asset Security | 保護數位與實體資源(儲存、維護、保留、銷毀) | 確保報廢設備含機密資料被正確處置 |
| 3 | 安全架構與工程 Security Architecture & Engineering | 確保有效的工具、系統、流程以優化資料保護 | 設定防火牆以防止網路攻擊 |
| 4 | 通訊與網路安全 Communication & Network Security | 管理並保護實體網路與無線通訊 | 制定政策防止員工使用不安全的公共熱點 |
| 5 | 身份與存取管理 Identity & Access Management (IAM) | 確保使用者按政策控管實體與數位資產的存取 | 設定員工門禁卡系統 |
| 6 | 安全評估與測試 Security Assessment & Testing | 進行安全控制測試、資料分析、安全稽核 | 定期審查使用者權限,防止非授權存取薪資資料 |
| 7 | 安全作業 Security Operations | 調查事件並實施預防措施 | 快速回應未知設備連接內部網路的警報 |
| 8 | 軟體開發安全 Software Development Security | 在開發生命週期中整合安全編碼實踐 | 與開發團隊合作制定密碼政策與使用者資料保護 |
為什麼要懂八大安全域?
- 幫助你理解資安分析師的工作如何被組織成類別
- 幫助你理解如何管理風險
- 告訴你「我正在處理的這件事,屬於哪個領域」
五、攻擊類型對應安全域
不同的攻擊手法對應到不同的 CISSP 安全域,這也是考核的重要考點。
| 攻擊類型 | 對應安全域 |
|---|---|
| Password Attack(密碼攻擊) 暴力破解、彩虹表 | 通訊與網路安全 |
| Social Engineering(社交工程) 釣魚、Smishing、Vishing、BEC | 安全與風險管理 |
| Physical Attack(實體攻擊) 惡意 USB 線、惡意隨身碟、卡片複製竊取 | 資產安全 |
| Adversarial AI(對抗性人工智慧) | 通訊與網路安全 + 身份與存取管理 |
| Supply-Chain Attack(供應鏈攻擊) 攻擊第三方軟硬體以植入惡意程式 | 安全與風險管理 + 安全架構工程 + 安全作業 |
| Cryptographic Attack(密碼學攻擊) Birthday、Collision、Downgrade | 通訊與網路安全 |
供應鏈攻擊的特殊性
供應鏈攻擊之所以代價高昂,是因為它可能影響多個組織——攻擊一個上游供應商,就能傷害所有使用其產品的下游客戶。它跨越多個安全域,不像其他攻擊那樣單一歸屬。
六、攻擊者類型
威脅行為者(Threat Actors)
| 類型 | 特徵 | 動機 |
|---|---|---|
| APT(進階持續性威脅) | 資源充足、目標明確、能長期潛伏不被發現 | 破壞關鍵基礎設施、竊取智慧財產 |
| Insider Threats(內部威脅) | 有授權存取權但濫用 | 蓄意破壞、腐敗、諜報、未授權資料存取 |
| Hacktivists(駭客行動主義者) | 政治議程驅動,利用數位技術達成目的 | 示威、宣傳、社會變革運動、名聲 |
駭客類型(Hacker Types)
駭客的定義是「任何使用電腦取得系統、網路或資料存取權的人」,分三大類:
| 類型 | 別名 | 特徵 |
|---|---|---|
| Authorized(授權駭客) | 道德駭客(Ethical Hacker) | 遵守道德準則與法律,進行組織風險評估,保護組織安全 |
| Semi-authorized(半授權駭客) | 研究員 | 搜尋漏洞,但不利用找到的漏洞 |
| Unauthorized(未授權駭客) | 不道德駭客(Unethical Hacker) | 惡意行為者,違法收集並販售機密資料牟利 |
其他值得知道的類型
- 新手 / 技術不足的威脅行為者:動機包括練習技能、報仇、或使用現成惡意軟體
- 承包駭客(Contractor):不特別有政治立場,有償接案,可能做合法或非法任務
- 義警駭客(Vigilante):目標是對抗不道德的駭客,保護世界
七、術語速查表
攻擊手法
| 英文 | 中文 | 白話解釋 |
|---|---|---|
| Phishing | 釣魚攻擊 | 用數位通訊欺騙人,讓你交出敏感資料 |
| Spear Phishing | 魚叉式釣魚 | 針對特定人的精準釣魚郵件 |
| Whaling | 鯨魚攻擊 | 專打高階主管的魚叉式釣魚 |
| Vishing | 語音釣魚 | 用電話語音詐騙 |
| Smishing | 簡訊釣魚 | 用簡訊詐騙 |
| BEC | 商業電子郵件詐騙 | 假冒已知來源郵件騙取財務利益 |
| Malware | 惡意軟體 | 設計用來傷害裝置或網路的軟體 |
| Computer Virus | 電腦病毒 | 需人工觸發才啟動的惡意程式 |
| Worm | 蠕蟲 | 自動自我複製傳播,不需人工觸發 |
| Ransomware | 勒索軟體 | 加密資料索討贖金 |
| Spyware | 間諜軟體 | 未經同意蒐集並出售資訊 |
| Social Engineering | 社交工程 | 利用人類錯誤獲取私人資訊或存取 |
| Watering Hole Attack | 水坑攻擊 | 攻擊特定群體常去的網站 |
| USB Baiting | USB 誘餌 | 放置惡意 USB 讓員工「撿到插上」 |
| Physical Social Engineering | 實體社交工程 | 冒充身份取得實體場所存取 |
| Social Media Phishing | 社群媒體釣魚 | 先蒐集社群媒體資料再發動攻擊 |
| Password Attack | 密碼攻擊 | 嘗試存取密碼保護裝置或資料 |
| Physical Attack | 實體攻擊 | 影響數位與實體環境的安全事件 |
| Supply-chain Attack | 供應鏈攻擊 | 攻擊上游軟硬體,再透過供應鏈散播惡意程式 |
| Cryptographic Attack | 密碼學攻擊 | 影響傳送者與接收者之間安全通訊的攻擊 |
| Adversarial AI | 對抗性人工智慧 | 操控 AI/ML 技術讓攻擊更有效率 |
攻擊者
| 英文 | 中文 | 白話解釋 |
|---|---|---|
| Threat Actor | 威脅行為者 | 任何對安全構成風險的人或組織 |
| Hacker | 駭客 | 使用電腦取得系統或資料存取的人(中性定義) |
| APT | 進階持續性威脅 | 有大量資源、長期潛伏的高階攻擊者 |
| Insider Threat | 內部威脅 | 濫用授權存取的員工、前員工或合作者 |
| Hacktivists | 駭客行動主義者 | 以政治議程為驅動的攻擊者 |
| CSIRT | 電腦安全事件回應小組 | 現代版 CERT,負責即時回應安全事件 |
| CISSP | 資訊系統安全認證專家 | 全球最知名的資安認證,由 ISC² 頒發 |
筆記建立日期:2026-03-26 | 課程:Google Cybersecurity Certificate C1W2