卫生保健中易发生流行及大流行的急性呼吸道疾病感染预防与控制
世卫组织临时指南
– 1 –
卫生保健中易发生流行及大流行的
急性呼吸道疾病感染预防与控制
世卫组织临时指南
2007年6月
2020年1月31日 星期五
開工兩天,武漢肺炎仍在持續發燒中,屏除一些「花邊」,有幾個我們可以關注的面向,如:世衛到底怎麼了?中共治理上出了哪些問題?封城真的能降低感染率嗎?(台灣第9例印證「隱形患者」的不確定性)各式各樣的數據能提供抗疫什麼樣的資訊?擴大「社會互動距離」真能減緩人傳人?有症狀還趴趴走該怎麼罰?
另外,除了做好自我防護外(密閉空間或有不舒服戴口罩、勤洗手),勿製造恐慌與散播謠言,加重防疫工作的難度,也不要囤積防疫品(口罩、消毒液),先把它們留給最需要的人(醫護、機場與各交通要塞、有感冒症狀或慢性病患者),擋下「社區感染」的發生是目前重中之重。
別因「意識形態」而有幸災樂禍或扯後腿的心態,「疾病沒有國界」,配合防疫單位與國家政策,是一般民眾能做到的最大助力。
最後,感謝醫護與相關防疫人員站在第一線,非常辛苦的為台灣築構防護網。有任何我們忽略的角度,都歡迎來投書。
(世衛到底怎麼了?)→過去十餘年來,中國對於國際組織的積極部署,可從其掌握的機構領導職位加以觀察。在聯合國體系內的14個專門機構(specialized agencies)中,有5個機構的祕書長為中國籍,包括聯合國工業發展組織、國際電信聯盟、國際民用航空組織、聯合國糧食及農業組織,以及世界衛生組織(2006-2017年擔任祕書長的港籍陳馮富珍女士)。若再加上2016年起擔任世界銀行首席行政官的楊少林、2017年6月出任聯合國副祕書長的劉振民,以及2018年「被辭職」的國際刑警組織主席孟宏偉,可知北京確實已經在政府間國際組織建立了可觀的影響網路。……並迫使美國國務院在上周任命職業外交官蘭伯特(Mark Lambert)出任特使,抗衡中國在聯合國體系的「惡性影響力」。
■顏永銘:健康堪虞的世界衛生組織
https://tw.news.appledaily.com/forum/20200130/PE73Z52MA2XGHIB3YNIBR6MS4E/
(中共治理上出了哪些問題?)→當前中共對外戰略的重要手段,就是透過大力推動所謂「全球治理改革」、建構「人類命運共同體」等方式,逐步擴大對國際事務話語權、影響力,以及對增修國際制度的參與、主導權,並潛移默化獲得「相應大國地位」,其中一項重要途徑,即為積極搶佔各重要國際機構組織要職,以在處理全球性、熱點性議題時,能發揮關鍵作用。……這次「世衛組織」(WHO)對中共極力呵護吹捧,讓北京予取予求的態度展現,除已是中共外交策略的一大勝利,證明此途徑是可行有效的,也將成為國際政治上,中共全面提升國際實力的一次關鍵例證。
■鄒文豐:從「武漢肺炎」看中共3治理問題
https://tw.news.appledaily.com/forum/20200130/FIXK6FL7UA33D44Y5LGKMBPNPU/
(封城真的能降低感染率嗎?)→武漢封城史無前例,隔離千萬人,實乃流行病學裡的所謂「圍堵政策」之極端體現也。若然圍堵政策無濟於事,社區傳播已然發生,我們可參考歷史上的流感大流行疫情制定應變方略,施行各項減害措施,……除非我們有能力確保所有患者都已就醫隔離,又能夠找出所有病徵輕微的患者以及那些「隱形患者」再診治之,不然,即使封城停運真讓疫情在10天內達顛峰後下滑,當中國解除隔離措施時,病毒會否再由「隱形患者」或者其他病徵輕微的患者傳播開去呢?疫情會否再次上升呢?
■馮儁熙:「圍堵」武漢肺炎 隱形患者是關鍵
https://tw.news.appledaily.com/forum/20200130/F6FX35CWS3RH4MQ77VTMD2GZAE/
(數據提供抗疫什麼資訊?)→一旦此新病毒進入社區傳播,較重要的流行病學問題是一位在潛伏期未發病者、沒發燒僅咳嗽的病人、輕症患者與重症病患此四類感染者,各平均能傳播多少人,病毒傳播期有差異否?又哪一種病人易導致後續受感染者變成重症?更重要的是免疫力差者若有糖尿病、肝硬化等共病,是否具更高傳播力?甚而讓病毒產生多子代而惡化病情?這些均待血清流行病學與疫情調查,提供有助未來疫情防控與重症治療的資訊。
■金傳春、陳世英、石富元、高全良:武漢肺炎最新數據對防疫的啟示
https://tw.news.appledaily.com/forum/20200130/EKBYUACYYIQSVXHCZ2QMSKD4WE/
(擴大「社會互動距離」真能減緩人傳人?)→香港的防疫模式是透過堅壁清野的全面消毒、延後開學開工、實施在家上班、關閉遊樂運動場所、取消大型聚會運動賽事……等等擴大「社會互動距離」的防疫方式來減緩人對人傳染的發生。但是「武漢肺炎」病毒真的是一隻很不一樣的新興病毒,它在感染者還沒有症狀時就有傳染力,這讓「有症狀戴口罩」、「有症狀強制隔離」等SARS防治的標準做法在這次疫情控制的效益上打折。香港模式可以讓香港撐多久不發生本土傳染仍有待觀察,但是起碼香港模式目前在阻斷本土傳染上比台灣現有的防疫模式有效一些。
■詹長權:武漢肺炎的防疫要更全面
https://reurl.cc/A15aOp
(有症狀還趴趴走該怎麼罰?)→對於自己可能罹患引發肺炎的冠狀病毒,卻仍執意與人接觸,導致傳染他人,原本就成立得科處5年徒刑的《刑法》第277條傷害罪;如屬過失,仍成立第284條過失傷害罪。傷害罪不罰未遂,只要遭其接觸的他人,像金芭黎舞廳小姐一樣走運未受感染,檢察官就無法起訴傷害。只是被害人的躲過一劫,不該作為罔顧其身體安全之人的倖免事由,應如德國法般地對傷害未遂進行處罰。
■許澤天:請蘇院長帶領修法防疫情散布
https://reurl.cc/L1EgMx
(★★★近期其他關於武漢肺炎文章★★★)
■從市場開始的新型冠狀病毒(黃馨頤)
https://reurl.cc/qDE25R
■由擲幣看病例 如何推算武漢疫情(馮儁熙)
https://reurl.cc/W4ngr5
■遭不明病毒性肺炎偷襲的香港(馬仲儀)
https://reurl.cc/Va9g16
■中應效法港 公布肺炎疫情資訊(馮儁熙)
https://reurl.cc/5gmQpR
#2019新型冠狀病毒 #2019-nCoV #武漢肺炎 #許澤天 #詹長權 #金傳春 #陳世英 #石富元 #高全良 #鄒文豐 #顏永銘 #黃馨頤 #馮儁熙 #馬仲儀 #防疫總動員 #1922
#台灣蘋果日報論壇
另外,除了做好自我防護外(密閉空間或有不舒服戴口罩、勤洗手),勿製造恐慌與散播謠言,加重防疫工作的難度,也不要囤積防疫品(口罩、消毒液),先把它們留給最需要的人(醫護、機場與各交通要塞、有感冒症狀或慢性病患者),擋下「社區感染」的發生是目前重中之重。
別因「意識形態」而有幸災樂禍或扯後腿的心態,「疾病沒有國界」,配合防疫單位與國家政策,是一般民眾能做到的最大助力。
最後,感謝醫護與相關防疫人員站在第一線,非常辛苦的為台灣築構防護網。有任何我們忽略的角度,都歡迎來投書。
(世衛到底怎麼了?)→過去十餘年來,中國對於國際組織的積極部署,可從其掌握的機構領導職位加以觀察。在聯合國體系內的14個專門機構(specialized agencies)中,有5個機構的祕書長為中國籍,包括聯合國工業發展組織、國際電信聯盟、國際民用航空組織、聯合國糧食及農業組織,以及世界衛生組織(2006-2017年擔任祕書長的港籍陳馮富珍女士)。若再加上2016年起擔任世界銀行首席行政官的楊少林、2017年6月出任聯合國副祕書長的劉振民,以及2018年「被辭職」的國際刑警組織主席孟宏偉,可知北京確實已經在政府間國際組織建立了可觀的影響網路。……並迫使美國國務院在上周任命職業外交官蘭伯特(Mark Lambert)出任特使,抗衡中國在聯合國體系的「惡性影響力」。
■顏永銘:健康堪虞的世界衛生組織
https://tw.news.appledaily.com/forum/20200130/PE73Z52MA2XGHIB3YNIBR6MS4E/
(中共治理上出了哪些問題?)→當前中共對外戰略的重要手段,就是透過大力推動所謂「全球治理改革」、建構「人類命運共同體」等方式,逐步擴大對國際事務話語權、影響力,以及對增修國際制度的參與、主導權,並潛移默化獲得「相應大國地位」,其中一項重要途徑,即為積極搶佔各重要國際機構組織要職,以在處理全球性、熱點性議題時,能發揮關鍵作用。……這次「世衛組織」(WHO)對中共極力呵護吹捧,讓北京予取予求的態度展現,除已是中共外交策略的一大勝利,證明此途徑是可行有效的,也將成為國際政治上,中共全面提升國際實力的一次關鍵例證。
■鄒文豐:從「武漢肺炎」看中共3治理問題
https://tw.news.appledaily.com/forum/20200130/FIXK6FL7UA33D44Y5LGKMBPNPU/
(封城真的能降低感染率嗎?)→武漢封城史無前例,隔離千萬人,實乃流行病學裡的所謂「圍堵政策」之極端體現也。若然圍堵政策無濟於事,社區傳播已然發生,我們可參考歷史上的流感大流行疫情制定應變方略,施行各項減害措施,……除非我們有能力確保所有患者都已就醫隔離,又能夠找出所有病徵輕微的患者以及那些「隱形患者」再診治之,不然,即使封城停運真讓疫情在10天內達顛峰後下滑,當中國解除隔離措施時,病毒會否再由「隱形患者」或者其他病徵輕微的患者傳播開去呢?疫情會否再次上升呢?
■馮儁熙:「圍堵」武漢肺炎 隱形患者是關鍵
https://tw.news.appledaily.com/forum/20200130/F6FX35CWS3RH4MQ77VTMD2GZAE/
(數據提供抗疫什麼資訊?)→一旦此新病毒進入社區傳播,較重要的流行病學問題是一位在潛伏期未發病者、沒發燒僅咳嗽的病人、輕症患者與重症病患此四類感染者,各平均能傳播多少人,病毒傳播期有差異否?又哪一種病人易導致後續受感染者變成重症?更重要的是免疫力差者若有糖尿病、肝硬化等共病,是否具更高傳播力?甚而讓病毒產生多子代而惡化病情?這些均待血清流行病學與疫情調查,提供有助未來疫情防控與重症治療的資訊。
■金傳春、陳世英、石富元、高全良:武漢肺炎最新數據對防疫的啟示
https://tw.news.appledaily.com/forum/20200130/EKBYUACYYIQSVXHCZ2QMSKD4WE/
(擴大「社會互動距離」真能減緩人傳人?)→香港的防疫模式是透過堅壁清野的全面消毒、延後開學開工、實施在家上班、關閉遊樂運動場所、取消大型聚會運動賽事……等等擴大「社會互動距離」的防疫方式來減緩人對人傳染的發生。但是「武漢肺炎」病毒真的是一隻很不一樣的新興病毒,它在感染者還沒有症狀時就有傳染力,這讓「有症狀戴口罩」、「有症狀強制隔離」等SARS防治的標準做法在這次疫情控制的效益上打折。香港模式可以讓香港撐多久不發生本土傳染仍有待觀察,但是起碼香港模式目前在阻斷本土傳染上比台灣現有的防疫模式有效一些。
■詹長權:武漢肺炎的防疫要更全面
https://reurl.cc/A15aOp
(有症狀還趴趴走該怎麼罰?)→對於自己可能罹患引發肺炎的冠狀病毒,卻仍執意與人接觸,導致傳染他人,原本就成立得科處5年徒刑的《刑法》第277條傷害罪;如屬過失,仍成立第284條過失傷害罪。傷害罪不罰未遂,只要遭其接觸的他人,像金芭黎舞廳小姐一樣走運未受感染,檢察官就無法起訴傷害。只是被害人的躲過一劫,不該作為罔顧其身體安全之人的倖免事由,應如德國法般地對傷害未遂進行處罰。
■許澤天:請蘇院長帶領修法防疫情散布
https://reurl.cc/L1EgMx
(★★★近期其他關於武漢肺炎文章★★★)
■從市場開始的新型冠狀病毒(黃馨頤)
https://reurl.cc/qDE25R
■由擲幣看病例 如何推算武漢疫情(馮儁熙)
https://reurl.cc/W4ngr5
■遭不明病毒性肺炎偷襲的香港(馬仲儀)
https://reurl.cc/Va9g16
■中應效法港 公布肺炎疫情資訊(馮儁熙)
https://reurl.cc/5gmQpR
#2019新型冠狀病毒 #2019-nCoV #武漢肺炎 #許澤天 #詹長權 #金傳春 #陳世英 #石富元 #高全良 #鄒文豐 #顏永銘 #黃馨頤 #馮儁熙 #馬仲儀 #防疫總動員 #1922
#台灣蘋果日報論壇
2020年1月30日 星期四
零 Zero Combat System:Red Team 紅隊測試
20
Red Team
零 Zero Combat System
紅隊,這是個廣泛的名詞,簡單解釋就是測試,包含了壓力測試、實境模擬、恐懼克服等3大項;不同於比賽競技,因為它必須是相同的技術、同樣的體重等級、在一個固定的環境擂台、有一位甚至多個裁判、有限的時間和規則下,進行一個得分和規範下的勝利,許多系統都稱它為格鬥、對打,同時也聲稱提供了自我防衛;但在防衛訓練(self defense)中,這並不符合暴力場景中的現實面,
我們也許知道,暴力攻擊並非機器人般的打擊與律動,當做出對攻擊者反應時,攻擊者也相對的做出反應,對雙方而言,這類似驚喜與預想不到的。
這訓練必須跳脫理所當然與預先設計的攻擊機器人模式,許多狀態下反擊技術並非能百分百讓被襲擊者全身而退、許多場景很多單一技術並無法適用、大師般的手拍手動作對抗攻擊者,在非機器人模式下並不是有效。
1.
幸運的大數人未曾遭遇暴力場景及意外,我們先讓訓練者模擬一位暴力攻擊者,讓他以暴力方式試圖達成某些目的,如口角爭吵提升至肢體衝突、搶劫甚至暴力脅迫,或是反社會人格,用攻擊者的角度思考行為模式,用攻擊者的角度理解暴力。
2.
許多狀態下,言語、動作都會提升威脅層級,這對攻擊者而言,立場是對調且相反的;原本言語的衝突升高、原本單純的肢體碰觸升高至攻擊者拿出預藏的各式工具或是眼前足以傷人的物品,這對防衛者而言,是非常不利的狀態;在模擬互動中,我們判斷被襲擊者的行為、動作,逐步降低或升高威脅等級,這無法預判的型態,有助於大腦的判斷訓練;在每項模擬之前,疲勞訓練已經提前運作,被襲者將是腎上腺素提升且呼吸急促與心跳加快,這可部分模擬當下緊張或慌張狀態,被襲者必須學會自我控制,包含情緒與思考甚至語言、肢體表達。
3.
這類測試的型態非常廣泛與無情,對一般人而言,生活中的一切都能導入衝突威脅,目的是體驗真實的暴力場景,將學習的防禦框架、防衛技術或本能反應行為,在一對一、一對多的環境下,做出思考、判斷與動作,最終的要求並非反擊或戰鬥,人類最特別的地方是無盡學習的大腦,許多方式都能避開危險、遠離危險,保持自己的安全才是存活的重點。
特定工作需求的學習夥伴如執法者或相關安全從事人員,Red Team 相對複雜許多與嚴苛。徒手及器械運用、控制要求、清場以及個人、團隊合作,日後再詳細說明。
總結:
Red Team是pressure testing (壓力測試)升級訓練,心理、身理素質都必須接受考驗,從未接受相關訓練的人,也能從這類低強度的訓練中,體驗暴力襲擊,或者驗證自我技術及概念;Red Team成員的構成,以相關暴力威脅受害者及相關安全人員為最佳,包含了犯罪行為、人類行為研究者、實際接觸戰鬥戰術經驗者、系統武術學習及教育推廣家、特定訓練單位成員。
對大多數的一般人而言,打鬥、器械反擊並不是我們的要求,ZCS的三項訓練(Urban survival、Self protection、Personal security)也非格鬥為主體;在確保自身安全為主的條件下,冷靜、正確的大腦思考、有效率的侵略式防衛、日常的指標性體能訓練,Red Team相關訓練或許讓提倡武術運動、防身搏擊格鬥單位質疑防衛技術/概念系統的的正統性;但依照個人所學及接觸,防衛效率、安全是必須融合各項技術,藉由高威脅驗證和實作才能雙向學習成長,更有助於大眾對暴力的認識。
註:沒有限制、沒有規則、沒有公平這是暴力威脅衝突的特性,我們的訓練很簡單~Hard to Kill
紅隊,這是個廣泛的名詞,簡單解釋就是測試,包含了壓力測試、實境模擬、恐懼克服等3大項;不同於比賽競技,因為它必須是相同的技術、同樣的體重等級、在一個固定的環境擂台、有一位甚至多個裁判、有限的時間和規則下,進行一個得分和規範下的勝利,許多系統都稱它為格鬥、對打,同時也聲稱提供了自我防衛;但在防衛訓練(self defense)中,這並不符合暴力場景中的現實面,
我們也許知道,暴力攻擊並非機器人般的打擊與律動,當做出對攻擊者反應時,攻擊者也相對的做出反應,對雙方而言,這類似驚喜與預想不到的。
這訓練必須跳脫理所當然與預先設計的攻擊機器人模式,許多狀態下反擊技術並非能百分百讓被襲擊者全身而退、許多場景很多單一技術並無法適用、大師般的手拍手動作對抗攻擊者,在非機器人模式下並不是有效。
1.
幸運的大數人未曾遭遇暴力場景及意外,我們先讓訓練者模擬一位暴力攻擊者,讓他以暴力方式試圖達成某些目的,如口角爭吵提升至肢體衝突、搶劫甚至暴力脅迫,或是反社會人格,用攻擊者的角度思考行為模式,用攻擊者的角度理解暴力。
2.
許多狀態下,言語、動作都會提升威脅層級,這對攻擊者而言,立場是對調且相反的;原本言語的衝突升高、原本單純的肢體碰觸升高至攻擊者拿出預藏的各式工具或是眼前足以傷人的物品,這對防衛者而言,是非常不利的狀態;在模擬互動中,我們判斷被襲擊者的行為、動作,逐步降低或升高威脅等級,這無法預判的型態,有助於大腦的判斷訓練;在每項模擬之前,疲勞訓練已經提前運作,被襲者將是腎上腺素提升且呼吸急促與心跳加快,這可部分模擬當下緊張或慌張狀態,被襲者必須學會自我控制,包含情緒與思考甚至語言、肢體表達。
3.
這類測試的型態非常廣泛與無情,對一般人而言,生活中的一切都能導入衝突威脅,目的是體驗真實的暴力場景,將學習的防禦框架、防衛技術或本能反應行為,在一對一、一對多的環境下,做出思考、判斷與動作,最終的要求並非反擊或戰鬥,人類最特別的地方是無盡學習的大腦,許多方式都能避開危險、遠離危險,保持自己的安全才是存活的重點。
特定工作需求的學習夥伴如執法者或相關安全從事人員,Red Team 相對複雜許多與嚴苛。徒手及器械運用、控制要求、清場以及個人、團隊合作,日後再詳細說明。
總結:
Red Team是pressure testing (壓力測試)升級訓練,心理、身理素質都必須接受考驗,從未接受相關訓練的人,也能從這類低強度的訓練中,體驗暴力襲擊,或者驗證自我技術及概念;Red Team成員的構成,以相關暴力威脅受害者及相關安全人員為最佳,包含了犯罪行為、人類行為研究者、實際接觸戰鬥戰術經驗者、系統武術學習及教育推廣家、特定訓練單位成員。
對大多數的一般人而言,打鬥、器械反擊並不是我們的要求,ZCS的三項訓練(Urban survival、Self protection、Personal security)也非格鬥為主體;在確保自身安全為主的條件下,冷靜、正確的大腦思考、有效率的侵略式防衛、日常的指標性體能訓練,Red Team相關訓練或許讓提倡武術運動、防身搏擊格鬥單位質疑防衛技術/概念系統的的正統性;但依照個人所學及接觸,防衛效率、安全是必須融合各項技術,藉由高威脅驗證和實作才能雙向學習成長,更有助於大眾對暴力的認識。
註:沒有限制、沒有規則、沒有公平這是暴力威脅衝突的特性,我們的訓練很簡單~Hard to Kill
上文承蒙 曾彥霖 先生同意,引用他的「臉書」系列文章,特此致謝!
★ ★ ★ ★
紅隊測試:戰略級團隊與低容錯組織如何靠假想敵修正風險、改善假設?
RED TEAM: how to succeed by thinking like the enemy
作者: 米卡.岑科 追蹤作者 新功能介紹
原文作者: Micah Zenko
譯者: 許瑞宋
出版社:大寫出版
出版日期:2016/12/15
內容簡介
風行華府國安級戰略單位與智庫機構,
美國「紅隊作業」圈內人首次完整揭露:
「像敵人一樣思考而成功」的策略對抗內幕與弱點驗證演練
美國「紅隊作業」圈內人首次完整揭露:
「像敵人一樣思考而成功」的策略對抗內幕與弱點驗證演練
.設立假想敵或壓力測試者,用獨立的眼光找出自己的弱點。
.17個橫跨軍事、企業、公共安全領域精采案例解說評述,實際看見「紅隊」作業對強化自身能力,找出策略弱點的貢獻。
一群「白帽駭客」正故意尋找簡易的漏洞,讓企業資安系統出盡洋相。
一隊安檢調查員正試圖佯裝無害者,混入本該森嚴的機場海關或情報機構大樓。
一支被設定為劣勢敵方的演訓團隊,正以正規美軍作戰指揮官料想不到的方式部署與反擊高科技武器。
以上這些人,都是「紅隊」。他們是組織特意設計出的「嚴厲反對者」。
人們未必喜歡被他們檢驗,卻往往會因為他們的貢獻而得以「像敵人一樣思考」辨識出自身盲點。
紅隊的作業看似神秘,但他們可能會告訴所有被他們擊敗的脆弱組織、共錯團體領導者,「……這不過是換個角度應用常識。」
「紅隊作業」(red teaming)的概念可追溯至十一世紀梵蒂岡負責質疑封聖候選人資格的「魔鬼代言人」。如今公共和私營部門均廣泛應用紅隊作業,而紅隊人員主要是由無畏的懷疑者和扮演破壞者的人組成,他們致力加強了解目標機構或潛在對手的意圖、能力和關注事項。紅隊作業手段包括模擬、探查弱點和另類分析,有助競爭環境下的機構辨明弱點、質疑假設,以及在下一次的突擊行動、惡意網路攻擊或企業併購之前,預見潛在的威脅。但是,紅隊並非都是一樣的;事實上,有些紅隊造成的損害比它們防止的損害還大。
美國的國家安全專家岑科在本書中將深入探索紅隊的工作,闡明典範做法、常見陷阱,以及這些現代「魔鬼代言人」最有效的應用方式。紅隊典範做法可以應用在中央情報局(CIA)、紐約市警察局或某家製藥公司。紅隊作業應用得當,可以產生出色的成效:企業可以占據競爭優勢,情報單位可以找出關鍵推測報告中的錯誤,軍方可以遠在執行危險任務之前辨明潛在問題、改善行動計畫。但是,紅隊能發揮多大的作用,也取決於組織領導層的意願。本書不但說明如何建立紅隊並賦予他們力量,還闡述如何運用紅隊產生的資訊。
本書是企業領袖、政策制定者和好奇讀者的必讀之作,徹底揭露這種對組織思考體制長處和弱點的獨到方式。透過鮮為人知的案例內幕和對各國紅隊精英空前廣泛深入的訪問,說明了從軍事部門到友善駭客,所有群體都可以利用「敵方思維」取得勝利之道。
作者簡介
米卡.岑科(Micah Zenko)
美國外交關係協會(Council on Foreign Relations)資深研究員,居於紐約。
譯者簡介
許瑞宋
香港科技大學會計系畢業,曾任路透中文新聞部編譯、培訓編輯和責任編輯,亦曾從事審計與證券研究工作。2011年獲第一屆林語堂文學翻譯獎。譯有《大鴻溝》、《資本社會的17個矛盾》(重譯)和《交易本事》等數十本書。(facebook.com/victranslates)
米卡.岑科(Micah Zenko)
美國外交關係協會(Council on Foreign Relations)資深研究員,居於紐約。
譯者簡介
許瑞宋
香港科技大學會計系畢業,曾任路透中文新聞部編譯、培訓編輯和責任編輯,亦曾從事審計與證券研究工作。2011年獲第一屆林語堂文學翻譯獎。譯有《大鴻溝》、《資本社會的17個矛盾》(重譯)和《交易本事》等數十本書。(facebook.com/victranslates)
目錄
引言 白帽駭客,情報局長與魔鬼代言人
艾其巴:「務必保密,務必確信正確」
組織失敗但不自知的原因
紅隊的作業方式
紅隊成敗的原因
探索紅隊世界
第1章 紅隊作業典範做法
一、老闆必須支持
二、若即若離,客觀又明事理
三、無畏且有技巧的懷疑者
四、足智多謀
五、願意聽壞消息並據此採取行動
六、適可而止,不多不少
典範做法的最高原則
第2章 起源──現代軍隊中的紅隊作業
紅隊大學
紙牌把戲:減輕層級和團體盲思問題
海軍陸戰隊的紅隊作業:挑戰指揮風氣
千禧挑戰:被踢屁股的一次演習
美國以外的軍事紅隊作業
結論
第3章 另類分析──情報系統的紅隊作業
B隊:「反映他們眼中的世界」
西法製藥廠:錯失機會的例子
中情局紅色小組:「我希望刺激一下自己的頭腦」
賓拉登的大宅:零至五○%的機率
結論
第4章 敵人──國家安全的紅隊作業123
九一一之前的航空安全紅隊:「重大且明確的公共危險」
如何擊落飛機:評估肩射飛彈的威脅
NYPD的桌上演練:「絕對不要讓他們認為自己已經解決了問題」
資訊設計保證紅隊:把紅隊作業變成一種大宗化工具
結論
第5章 競爭對手──民間部門的紅隊作業
模擬策略決策:商戰模擬
白帽駭客與倉鼠輪:網路滲透測試
我能聽見你(和所有其他人):駭入Verizon
安全的大樓為何不安全:實體滲透測試
結論
第6章 紅隊作業的實際結果、錯誤印象和未來
紅隊作業的實際結果
有關紅隊作業的錯誤印象和誤用
對政府紅隊的建議
紅隊作業的未來
致謝
各章注釋
艾其巴:「務必保密,務必確信正確」
組織失敗但不自知的原因
紅隊的作業方式
紅隊成敗的原因
探索紅隊世界
第1章 紅隊作業典範做法
一、老闆必須支持
二、若即若離,客觀又明事理
三、無畏且有技巧的懷疑者
四、足智多謀
五、願意聽壞消息並據此採取行動
六、適可而止,不多不少
典範做法的最高原則
第2章 起源──現代軍隊中的紅隊作業
紅隊大學
紙牌把戲:減輕層級和團體盲思問題
海軍陸戰隊的紅隊作業:挑戰指揮風氣
千禧挑戰:被踢屁股的一次演習
美國以外的軍事紅隊作業
結論
第3章 另類分析──情報系統的紅隊作業
B隊:「反映他們眼中的世界」
西法製藥廠:錯失機會的例子
中情局紅色小組:「我希望刺激一下自己的頭腦」
賓拉登的大宅:零至五○%的機率
結論
第4章 敵人──國家安全的紅隊作業123
九一一之前的航空安全紅隊:「重大且明確的公共危險」
如何擊落飛機:評估肩射飛彈的威脅
NYPD的桌上演練:「絕對不要讓他們認為自己已經解決了問題」
資訊設計保證紅隊:把紅隊作業變成一種大宗化工具
結論
第5章 競爭對手──民間部門的紅隊作業
模擬策略決策:商戰模擬
白帽駭客與倉鼠輪:網路滲透測試
我能聽見你(和所有其他人):駭入Verizon
安全的大樓為何不安全:實體滲透測試
結論
第6章 紅隊作業的實際結果、錯誤印象和未來
紅隊作業的實際結果
有關紅隊作業的錯誤印象和誤用
對政府紅隊的建議
紅隊作業的未來
致謝
各章注釋
序
引言
白帽駭客,情報局長與魔鬼代言人(節錄)
組織失敗但不自知的原因
本書探討如何幫助組織以一種新的、不同的方式看世界,藉此改善組織的表現。無論是軍事單位、政府機構或小型企業,組織都是根據長期策略、近期計畫、日常作業和待辦事項的某種組合來運作。決策者和組織人員並不是每天上班時,當場重新決定要做什麼和怎麼做。組織既有的指南、常規和文化,是組織有效運作必需的。但是,組織如果在資訊不完整和快速變化的競爭環境中運作,則它面臨的一個難題,是必須設法確定其標準程序和策略何時開始導致不理想的結果,甚至可能釀成大災難。更糟的是,如果組織用來處理修正資訊(corrective information)的方法本身是有問題的,則這些方法最終可能導致組織失敗。
這種固有的問題關係到本書的核心主題:你不能替自己的表現評分。回想一下你高中時覺得很難的一科。想像一下:老師授權你替自己的作業評分。起初這似乎是一件大好事:你每次都可以給自己一百分!無論你實際上做得多差,你都可以決定每一份作業的分數。替自己的作業評分時,你會想出各種理由,說服自己值得最高的分數,儘管你其實做得不好。這些理由可能包括:「課堂上沒教這些」、「老師教得很差」、「我累壞了」,又或者「這是最後一次」。再想像一下你面臨以下情況時感受到的震撼:在自我評分一學期之後,老師發出期末考卷,並宣佈這一次她將親自評分。如此一來,你應學但沒學好、以為自己懂但其實不懂的東西,全都將暴露出來。替自己評分或許能使你短期內自我感覺良好,但也可能令你完全失去自知之明,最終導致你不及格。
「你不能替自己的表現評分」是一個重要警告,其意義遠非僅限於學校。我們來看看美國中情局的一個例子:該組織在九一一恐怖攻擊之後的拘留和訊問方案,錯誤採用了自我評估策略。對於中情局對付疑似恐怖份子的行動(包括使用「加強型訊問手段」,也就是動用酷刑)有多必要和有效,中情局的內部評估,是由負責策劃和管理行動的同一批人和外部承包商(延續和擴大行動規模顯然有助他們賺更多錢)做的。二○一三年六月,中情局的內部檢查發現,中情局人員藉由「臨時起意的評估」、觀察遭拘留者舉止的變化,來確定「各種加強型訊問手段是否有效」。中情局人員和外部承包商都自信地宣稱他們負責的方案非常有效,而且很有必要;這結果毫不令人意外。
儘管國家安全顧問萊斯(Condoleezza Rice)和參議院情報特別委員會二○○五年左右曾提出要求,希望中情局針對那些行動做相當於紅隊另類分析的評估,但中情局高層從不曾下令做這種分析。中情局承認:「中情局訊問方案僅有的外部分析,仰賴兩名評審;其中一人承認欠缺評估該方案所需要的知識和技術,另一人則表示,他未能得到準確評估該方案所需要的資料。」中情局若能安排得到充分資訊和授權、由通過必要安全審查的專家組成的紅隊做分析,應該可以得到真實得多的評估結果,以及有關如何修改(或乾脆結束)拘留和訊問方案的建議。
數目多得驚人的高層領袖「系統性失能」,無法辨明所在組織最明顯和危險的缺點。這不是因為他們愚蠢,而是源自限制所有人的思想和行為的兩種慣常問題。第一種是個人的認知偏差,例如鏡像效應(mirror imaging)、定錨效應(anchoring)和驗證偏誤(confirmatory bias)。在不確定的情況下,我們的決定無意識地受這些認知偏差影響,我們因此很難評估自己的判斷和行為,而且這是一種本質上的困難。康乃爾大學心理學教授鄧寧(David Dunning)已在無數的實驗中證明,技能和知識很差的人,對自身表現的判斷也非常不準確。例如在突擊測驗中成績最差的人,對自身分數的估計與實際分數的差距也是最大的。
第二種問題源自組織偏差:員工成為組織文化的俘虜,接受了老闆的個人喜好和他們日常體驗到的組織文化。逾一個世紀前,傑出經濟學家和社會學家范伯倫(Thorstein Veblen)便說明了我們的日常事務如何塑造和窄化了我們的心智:
人可以輕鬆做的是他們慣常做的事,而這決定了他們可以輕鬆思考和知道些什麼。人因為日常活動而熟悉的各種概念,便是他們感到自在的概念。慣常的活動構成慣常的思路,產生用來理解事實和事件、進而歸納成一個知識體系的觀點。與慣常的行動方案相符,便是與慣常的思路相符;決定性的知識基礎,以及任何社群中自滿和認可的傳統標準由此產生。
雖然我們會嘲笑這種失去批判反省能力的情況(例如持續研究某個題目多年的人,可能無法再以批判的態度去理解該題目),誠實的員工應該承認這種非常普遍的現象造成組織偏差。這種問題在某些工作中尤其顯著,例如必須長期埋首研究技術或機密知識的工作,以及採用嚴格層級制度的組織(軍方是一個明顯的例子)中的工作。這些常見的個人和組織問題結合起來,普遍導致組織難以聽到壞消息,因此也就不會採取行動去處理既有問題或新浮現的問題。
組織領袖談到自己的領導和管理風格時,通常會承認必須鼓勵和感謝員工提出反對意見,必須傾聽並認真考慮這些意見。受尊敬的領袖不會宣稱:「我特地打擊員工暢所欲言的意願,並且維持一種嚴防員工發表異議的組織文化。」多數領袖甚至會說,他們是支持員工發表異議的。這種觀點經常出現在《紐約時報》「角落辦公室」專欄(Corner Office)中。這個專欄每週在該報商業版刊出,訪問企業、大學和非營利組織的領袖。在這些訪問中,受訪的領袖被問到他們的管理技巧,而許多人會宣稱自己持續鼓勵下屬在組織內部提出抗議。媒體業者Clear Channel Communications執行長皮特曼(Bob Pittman)受訪時便說:「我希望我們能聽這些異議者的說法,因為他們可能想告訴你為什麼我們做不到某件事。但如果你認真聽,他們真正想告訴你的,是你必須做些什麼才能做成某件事。」我們聽美國的領袖描述他們領導的組織,會以為這些組織的管理方式比較像無政府主義者的合作社,而非採用層級制度的組織。
皮特曼的想法是有問題的,因為他錯誤假定替領袖做事的人有辨明潛在問題的技能(可能性很低)、會向上司報告這些問題(這麼做可能損害自己的職涯),以及向上司提出這些問題不會有不良後果(通常會有,因為這會擾亂傳統觀念)。想想你覺得自己在工作上顯而易見的缺點。你會冒著損害自己名聲或職涯的風險,向上司報告這些缺點嗎(即使上司要求你這麼做)?又或者假設組織面臨一些即將發生、但未有人察覺的災難。在受到種種限制的情況下,你認為自己辨明潛在災難並向上司報告的可能性有多大?哈佛商學院教授艾蒙森(Amy Edmondson)研究為什麼員工在多種情況下會認為,承認和向上司報告他們工作中觀察到的嚴重問題是不安全的。「我們繼承了一種根深柢固的觀念,導致我們擔心自己在層級制度中留給別人什麼印象。」她並補充道:「從來沒有人因為不講話而被開除。」我們不能指望組織可以公正地替自身的表現評分;同樣道理,我們也不能指望組織可靠地自行產生異見,並提交給領導高層參考。
白帽駭客,情報局長與魔鬼代言人(節錄)
組織失敗但不自知的原因
本書探討如何幫助組織以一種新的、不同的方式看世界,藉此改善組織的表現。無論是軍事單位、政府機構或小型企業,組織都是根據長期策略、近期計畫、日常作業和待辦事項的某種組合來運作。決策者和組織人員並不是每天上班時,當場重新決定要做什麼和怎麼做。組織既有的指南、常規和文化,是組織有效運作必需的。但是,組織如果在資訊不完整和快速變化的競爭環境中運作,則它面臨的一個難題,是必須設法確定其標準程序和策略何時開始導致不理想的結果,甚至可能釀成大災難。更糟的是,如果組織用來處理修正資訊(corrective information)的方法本身是有問題的,則這些方法最終可能導致組織失敗。
這種固有的問題關係到本書的核心主題:你不能替自己的表現評分。回想一下你高中時覺得很難的一科。想像一下:老師授權你替自己的作業評分。起初這似乎是一件大好事:你每次都可以給自己一百分!無論你實際上做得多差,你都可以決定每一份作業的分數。替自己的作業評分時,你會想出各種理由,說服自己值得最高的分數,儘管你其實做得不好。這些理由可能包括:「課堂上沒教這些」、「老師教得很差」、「我累壞了」,又或者「這是最後一次」。再想像一下你面臨以下情況時感受到的震撼:在自我評分一學期之後,老師發出期末考卷,並宣佈這一次她將親自評分。如此一來,你應學但沒學好、以為自己懂但其實不懂的東西,全都將暴露出來。替自己評分或許能使你短期內自我感覺良好,但也可能令你完全失去自知之明,最終導致你不及格。
「你不能替自己的表現評分」是一個重要警告,其意義遠非僅限於學校。我們來看看美國中情局的一個例子:該組織在九一一恐怖攻擊之後的拘留和訊問方案,錯誤採用了自我評估策略。對於中情局對付疑似恐怖份子的行動(包括使用「加強型訊問手段」,也就是動用酷刑)有多必要和有效,中情局的內部評估,是由負責策劃和管理行動的同一批人和外部承包商(延續和擴大行動規模顯然有助他們賺更多錢)做的。二○一三年六月,中情局的內部檢查發現,中情局人員藉由「臨時起意的評估」、觀察遭拘留者舉止的變化,來確定「各種加強型訊問手段是否有效」。中情局人員和外部承包商都自信地宣稱他們負責的方案非常有效,而且很有必要;這結果毫不令人意外。
儘管國家安全顧問萊斯(Condoleezza Rice)和參議院情報特別委員會二○○五年左右曾提出要求,希望中情局針對那些行動做相當於紅隊另類分析的評估,但中情局高層從不曾下令做這種分析。中情局承認:「中情局訊問方案僅有的外部分析,仰賴兩名評審;其中一人承認欠缺評估該方案所需要的知識和技術,另一人則表示,他未能得到準確評估該方案所需要的資料。」中情局若能安排得到充分資訊和授權、由通過必要安全審查的專家組成的紅隊做分析,應該可以得到真實得多的評估結果,以及有關如何修改(或乾脆結束)拘留和訊問方案的建議。
數目多得驚人的高層領袖「系統性失能」,無法辨明所在組織最明顯和危險的缺點。這不是因為他們愚蠢,而是源自限制所有人的思想和行為的兩種慣常問題。第一種是個人的認知偏差,例如鏡像效應(mirror imaging)、定錨效應(anchoring)和驗證偏誤(confirmatory bias)。在不確定的情況下,我們的決定無意識地受這些認知偏差影響,我們因此很難評估自己的判斷和行為,而且這是一種本質上的困難。康乃爾大學心理學教授鄧寧(David Dunning)已在無數的實驗中證明,技能和知識很差的人,對自身表現的判斷也非常不準確。例如在突擊測驗中成績最差的人,對自身分數的估計與實際分數的差距也是最大的。
第二種問題源自組織偏差:員工成為組織文化的俘虜,接受了老闆的個人喜好和他們日常體驗到的組織文化。逾一個世紀前,傑出經濟學家和社會學家范伯倫(Thorstein Veblen)便說明了我們的日常事務如何塑造和窄化了我們的心智:
人可以輕鬆做的是他們慣常做的事,而這決定了他們可以輕鬆思考和知道些什麼。人因為日常活動而熟悉的各種概念,便是他們感到自在的概念。慣常的活動構成慣常的思路,產生用來理解事實和事件、進而歸納成一個知識體系的觀點。與慣常的行動方案相符,便是與慣常的思路相符;決定性的知識基礎,以及任何社群中自滿和認可的傳統標準由此產生。
雖然我們會嘲笑這種失去批判反省能力的情況(例如持續研究某個題目多年的人,可能無法再以批判的態度去理解該題目),誠實的員工應該承認這種非常普遍的現象造成組織偏差。這種問題在某些工作中尤其顯著,例如必須長期埋首研究技術或機密知識的工作,以及採用嚴格層級制度的組織(軍方是一個明顯的例子)中的工作。這些常見的個人和組織問題結合起來,普遍導致組織難以聽到壞消息,因此也就不會採取行動去處理既有問題或新浮現的問題。
組織領袖談到自己的領導和管理風格時,通常會承認必須鼓勵和感謝員工提出反對意見,必須傾聽並認真考慮這些意見。受尊敬的領袖不會宣稱:「我特地打擊員工暢所欲言的意願,並且維持一種嚴防員工發表異議的組織文化。」多數領袖甚至會說,他們是支持員工發表異議的。這種觀點經常出現在《紐約時報》「角落辦公室」專欄(Corner Office)中。這個專欄每週在該報商業版刊出,訪問企業、大學和非營利組織的領袖。在這些訪問中,受訪的領袖被問到他們的管理技巧,而許多人會宣稱自己持續鼓勵下屬在組織內部提出抗議。媒體業者Clear Channel Communications執行長皮特曼(Bob Pittman)受訪時便說:「我希望我們能聽這些異議者的說法,因為他們可能想告訴你為什麼我們做不到某件事。但如果你認真聽,他們真正想告訴你的,是你必須做些什麼才能做成某件事。」我們聽美國的領袖描述他們領導的組織,會以為這些組織的管理方式比較像無政府主義者的合作社,而非採用層級制度的組織。
皮特曼的想法是有問題的,因為他錯誤假定替領袖做事的人有辨明潛在問題的技能(可能性很低)、會向上司報告這些問題(這麼做可能損害自己的職涯),以及向上司提出這些問題不會有不良後果(通常會有,因為這會擾亂傳統觀念)。想想你覺得自己在工作上顯而易見的缺點。你會冒著損害自己名聲或職涯的風險,向上司報告這些缺點嗎(即使上司要求你這麼做)?又或者假設組織面臨一些即將發生、但未有人察覺的災難。在受到種種限制的情況下,你認為自己辨明潛在災難並向上司報告的可能性有多大?哈佛商學院教授艾蒙森(Amy Edmondson)研究為什麼員工在多種情況下會認為,承認和向上司報告他們工作中觀察到的嚴重問題是不安全的。「我們繼承了一種根深柢固的觀念,導致我們擔心自己在層級制度中留給別人什麼印象。」她並補充道:「從來沒有人因為不講話而被開除。」我們不能指望組織可以公正地替自身的表現評分;同樣道理,我們也不能指望組織可靠地自行產生異見,並提交給領導高層參考。
內容連載
第5章 競爭對手──民間部門的紅隊作業(節錄)
白帽駭客與倉鼠輪:網路滲透測試
紅隊作業非常符合民間部門的網路保安需求,尤其是因為網路安全漏洞一旦遭利用,代價和後果可能非常慘重。雖然企業相當成功地隱瞞了它們不時遇到的網路攻擊,這種攻擊的頻率和嚴重程度無疑正與日俱增。針對網路保安人員的匿名調查顯示,企業如果不認真做網路滲透測試, 因此承受的代價非常可觀,而且正愈來愈大(以金錢和時間損失衡量均如此)。卡巴斯基實驗室(Kaspersky Lab)二○一四年調查三千九百名資訊科技專業人士,發現員工少於一千五百人的公司遇到一次資料安全事件的平均損失為四萬九千美元,員工超過一千五百人的公司則是平均損失七十二萬美元。研究機構Ponemon Institute二○一四年做過一項類似調查,訪問五十九家美國公司,發現解決一次網路攻擊平均需要四十五天,平均耗費一百六十萬美元,較上一年的平均三十二天和略高於一百萬美元顯著增加。這些攻擊主要是阻斷服務、惡意的內部人士和網頁式攻擊(web-based attacks),總共占網路安全成本逾五五%;約八六%的犯案者是在公司以外,一二%在公司內部,二%為內外部人士聯手。員工超過兩千五百人的大公司曾經是多數網路攻擊的直接目標,但如今愈來愈多犯案者轉向從較小型的公司竊取資料,或是藉由攻擊第三方供應商侵入大公司。
白帽駭客與倉鼠輪:網路滲透測試
紅隊作業非常符合民間部門的網路保安需求,尤其是因為網路安全漏洞一旦遭利用,代價和後果可能非常慘重。雖然企業相當成功地隱瞞了它們不時遇到的網路攻擊,這種攻擊的頻率和嚴重程度無疑正與日俱增。針對網路保安人員的匿名調查顯示,企業如果不認真做網路滲透測試, 因此承受的代價非常可觀,而且正愈來愈大(以金錢和時間損失衡量均如此)。卡巴斯基實驗室(Kaspersky Lab)二○一四年調查三千九百名資訊科技專業人士,發現員工少於一千五百人的公司遇到一次資料安全事件的平均損失為四萬九千美元,員工超過一千五百人的公司則是平均損失七十二萬美元。研究機構Ponemon Institute二○一四年做過一項類似調查,訪問五十九家美國公司,發現解決一次網路攻擊平均需要四十五天,平均耗費一百六十萬美元,較上一年的平均三十二天和略高於一百萬美元顯著增加。這些攻擊主要是阻斷服務、惡意的內部人士和網頁式攻擊(web-based attacks),總共占網路安全成本逾五五%;約八六%的犯案者是在公司以外,一二%在公司內部,二%為內外部人士聯手。員工超過兩千五百人的大公司曾經是多數網路攻擊的直接目標,但如今愈來愈多犯案者轉向從較小型的公司竊取資料,或是藉由攻擊第三方供應商侵入大公司。
我們來看近年的三個重要案例。二○一三年,美國高級百貨公司尼曼(Neiman Marcus)遭駭客攻擊:安裝在該公司系統中的惡意程式蒐集並傳送了二○一三年七月十六日至十月三十日的付款資料,可能影響三十五萬名顧客。因為這次攻擊,這家零售業者在二○一四會計年度第二季承受的代價初估為四百一十萬美元。二○一四年五月,美國中西部超市集團Schnucks Markets宣佈,該公司遭惡意駭客侵入,超過四個月才發現,估計因此損失約八千萬美元。最值得注意的案例發生在二○一三年:美國零售商Target 遇到嚴重的資料安全問題,事件始於「黑色星期五」(美國感恩節翌日,聖誕節購物季的第一天),駭客竊取了至少四千萬名Target顧客的信用卡號碼。在這次攻擊中,駭客先是偷到Target提供給法齊奧機械服務(Fazio Mechanical Services,替Target監測商店能源消耗情況的承包商)的網路憑證,然後再侵入Target的內部網絡。此次攻擊造成的直接財務代價初估為六千一百萬美元,並導致Target執行長和資訊長遭公司開除;事件發生後不到八個月,Target承受的財務代價達到一億四千八百萬美元。
……
因應這問題,企業除了以內部的典範做法改善網路安全外,也愈來愈重視紅隊的弱點探查作業。這種作業人稱滲透測試(penetration tests或pen tests),由「白帽」駭客執行;「白帽」這說法源自好萊塢西部片,片中的「善良」牛仔戴白帽。與白帽駭客相對的是「黑帽」駭客,後者往往是帶著惡意擅自侵入目標組織的電腦網絡和軟體。這種區分可能過度簡化了實際情況,因為所有的頂尖白帽駭客起初都做過黑帽駭侵,後來才把這種活動變成合法的職業。此外,不少駭客在做合法的滲透測試工作之餘,私下也會出於政治或意識形態的原因駭入某些網絡(有時只是覺得好玩)。事實上,駭客圈內身分流動,是這個圈子的關鍵特徵之一,而駭客往往強烈抗拒把人歸類。根據我與駭客的無數次談話,他們的核心驅動力是一種天生的好奇心,希望知道自己在得到授權或未經授權的情況下,可以完成哪些新的駭侵(雖然他們的具體說法略有差異)。這種好奇心一般會隨著駭客年紀漸長而減弱:多數駭客最終會比較重視可靠的薪酬和穩定的生活,而非收入微薄下的自由探索。
……
因應這問題,企業除了以內部的典範做法改善網路安全外,也愈來愈重視紅隊的弱點探查作業。這種作業人稱滲透測試(penetration tests或pen tests),由「白帽」駭客執行;「白帽」這說法源自好萊塢西部片,片中的「善良」牛仔戴白帽。與白帽駭客相對的是「黑帽」駭客,後者往往是帶著惡意擅自侵入目標組織的電腦網絡和軟體。這種區分可能過度簡化了實際情況,因為所有的頂尖白帽駭客起初都做過黑帽駭侵,後來才把這種活動變成合法的職業。此外,不少駭客在做合法的滲透測試工作之餘,私下也會出於政治或意識形態的原因駭入某些網絡(有時只是覺得好玩)。事實上,駭客圈內身分流動,是這個圈子的關鍵特徵之一,而駭客往往強烈抗拒把人歸類。根據我與駭客的無數次談話,他們的核心驅動力是一種天生的好奇心,希望知道自己在得到授權或未經授權的情況下,可以完成哪些新的駭侵(雖然他們的具體說法略有差異)。這種好奇心一般會隨著駭客年紀漸長而減弱:多數駭客最終會比較重視可靠的薪酬和穩定的生活,而非收入微薄下的自由探索。
有些人認為駭入資訊網絡是迷人和刺激的事,但事實遠非如此。說到底,駭客的本領其實就是能夠坐下來極其細心地盯住電腦螢幕(往往必須仰賴許多能量飲料支持),找出可以利用的形態或弱點。駭客表示,他們做的事類似整理不完整外文手稿的書籍編輯,或把經文抄到羊皮紙上的中世紀修道士。現在有一些功能日強的軟體可以將駭客的部分工作自動化,尤其是自動辨識網絡弱點和逐行檢視原始碼。但是,相對於這種自動化作業,人工駭侵網站和檢視原始碼仍往往可以找到更多重大弱點……
……
駭侵與其說是科學,不如說是藝術,因為駭客使用的方法和戰術主要取決於個人的背景和技能。資深白帽駭客估計,如果你請兩名駭客找出某個網站的所有安全弱點,他們找到的弱點大概只有一半相同。如果叫他們檢視軟體原始碼,他們找到的相同弱點會更少。駭客的資歷和背景相當多元,滲透測試人員並無公認的行業標準,但有「道德駭客認證」(Certified Ethical Hacking):只需要上五天的課,通過一個四小時、一百二十五題的考試,便能取得這資格。在滲透測試界,幾乎所有知名高手都認為這項認證非常公式化,提供的訓練顯然不足和過時;他們甚至多數認為,個人履歷表最好不要列出這項資格。二○一四年二月,提供道德駭客認證的國際電子商務顧問局的網站遭駭客侵入,首頁貼出了斯諾登(Edward Snowden)的護照和他申請道德駭客認證的信。
……
駭侵與其說是科學,不如說是藝術,因為駭客使用的方法和戰術主要取決於個人的背景和技能。資深白帽駭客估計,如果你請兩名駭客找出某個網站的所有安全弱點,他們找到的弱點大概只有一半相同。如果叫他們檢視軟體原始碼,他們找到的相同弱點會更少。駭客的資歷和背景相當多元,滲透測試人員並無公認的行業標準,但有「道德駭客認證」(Certified Ethical Hacking):只需要上五天的課,通過一個四小時、一百二十五題的考試,便能取得這資格。在滲透測試界,幾乎所有知名高手都認為這項認證非常公式化,提供的訓練顯然不足和過時;他們甚至多數認為,個人履歷表最好不要列出這項資格。二○一四年二月,提供道德駭客認證的國際電子商務顧問局的網站遭駭客侵入,首頁貼出了斯諾登(Edward Snowden)的護照和他申請道德駭客認證的信。
駭客攻擊的情況,某程度上可以藉由觀察駭客會議的趨勢來了解。駭客會議曾經只是少數駭客展現自身技術、建立名聲和培養一種社群感的場合,但這種會議的數目和出席人數近年均大增。根據一項估計,美國二○○九年專門討論駭侵的會議只有五個。到了二○一四年,這種會議有三十七個,另有十七個會議是討論網路安全。在此期間,規模最大的兩個會議的出席人數也大增:比較自由的DEF CON從一萬人增至一萬六千人,比較專業的「黑帽會議」(Black Hat)從四千人增至九千人。但是,長期出席的人表示,這些會議已變得愈來愈平淡乏味,因為上台報告的人總是在描述他們的最新駭侵特技,希望得到媒體的報導,而不是誠心希望分享有用的資訊。另一個原因,是「零日攻擊」的市場大有成長;零日攻擊基本上就是尚未揭露或目標組織尚未察覺的駭侵。以前駭客會在同業會議上炫耀他們最了不起的駭侵,如今則多數會保持沈默, 把這種資訊賣給易受攻擊的公司或對此有興趣的政府機構或犯罪集團。零日攻擊市場非常不透明,但可能有用的駭侵估計可賣四萬至二十五萬美元,最大的買家據稱是美國政府。
DEF CON和後來的「黑帽會議」,都是綽號「黑暗切線」(Dark Tangent)的莫斯(Jeff Moss)創辦的。四十歲的莫斯被視為駭客圈的祖宗和良心,是網際網路指定名稱與位址管理機構(ICANN,制定網際網路規則的國際組織)的安全總監。他談到上述的黑市現象時表示:「早年根本不可能拿駭侵換現金。如今駭侵資訊在地下市場很值錢,這種資訊也就比較少公開了。在此情況下,駭客會議也就有點走下坡,因為一些最有意思的駭侵技術和構想不會公開。」此外,因為駭客圈規模快速擴大,分出了一些非常專門的技術領域,駭客會議的社群感隨之變淡,愈來愈少人認為有公認的駭客行為規範。莫斯說:「早年你可以從留言板和駭客會議認識到所有重要人物,現在是無法追蹤所有動態了。我一直覺得網路安全這圈子不可能再擴大和變得更多元,但事實一再證明我錯了。」
DEF CON和後來的「黑帽會議」,都是綽號「黑暗切線」(Dark Tangent)的莫斯(Jeff Moss)創辦的。四十歲的莫斯被視為駭客圈的祖宗和良心,是網際網路指定名稱與位址管理機構(ICANN,制定網際網路規則的國際組織)的安全總監。他談到上述的黑市現象時表示:「早年根本不可能拿駭侵換現金。如今駭侵資訊在地下市場很值錢,這種資訊也就比較少公開了。在此情況下,駭客會議也就有點走下坡,因為一些最有意思的駭侵技術和構想不會公開。」此外,因為駭客圈規模快速擴大,分出了一些非常專門的技術領域,駭客會議的社群感隨之變淡,愈來愈少人認為有公認的駭客行為規範。莫斯說:「早年你可以從留言板和駭客會議認識到所有重要人物,現在是無法追蹤所有動態了。我一直覺得網路安全這圈子不可能再擴大和變得更多元,但事實一再證明我錯了。」
……
白帽滲透測試有多種形式,但可分三大類:
黑箱測試:測試者除了知道網站或軟體的名稱外,對目標一無所知;
白箱測試:測試者完全了解網絡組態,也能進入網絡和使用相關裝置;
灰箱測試:測試者掌握若干資訊和某程度的進入權。企業選擇什麼類型的測試,取決於它最想保護什麼、最擔心什麼類型的敵人,以及它估計敵人會蒐集多少資訊來發動惡意攻擊。
一家公司的電腦網絡接受典型的白帽滲透測試,有四個步驟。
黑箱測試:測試者除了知道網站或軟體的名稱外,對目標一無所知;
白箱測試:測試者完全了解網絡組態,也能進入網絡和使用相關裝置;
灰箱測試:測試者掌握若干資訊和某程度的進入權。企業選擇什麼類型的測試,取決於它最想保護什麼、最擔心什麼類型的敵人,以及它估計敵人會蒐集多少資訊來發動惡意攻擊。
一家公司的電腦網絡接受典型的白帽滲透測試,有四個步驟。
首先,白帽業者會藉由電話、面對面交談和訪問公司資訊長和資訊安全主管,確定滲透測試的範圍和條件。白帽業者了解目標組織委託測試的原因,將為此次作業(包括執行改善建議)投入多少資源和時間,以及最擔心網路攻擊造成什麼後果(財務和名譽損失總是它們最擔心的)。在這個階段,白帽業者將確定這次測試的規則,包括測試的目標(什麼人和什麼系統)、何時測試,以及測試前要通知誰(越少人越好)。測試的類型和範圍決定了白帽團隊的人員組成──可能包括網絡、作業系統、資料庫和行動裝置的專家,以及一名當「指揮」和「壁畫家」(muralist)的經理。
第二步是白帽業者偵察目標組織,利用到處都能取得的軟體勘測目標網絡,了解網絡使用什麼作業系統,並尋找人人可以進入的門戶。白帽業者實際上可以很快找出誰是目標組織的網絡管理者,從領英(LinkedIn)上的個人介紹、社群網站和公開的資料庫蒐集網絡管理者的個人資料, 用軟體建立他們可能使用的密碼清單,根據可能性替這些「密碼」排序,然後試用它們登入目標網絡。如果網絡管理者進入網絡需要第二層驗證(例如指紋、聲音或臉部辨識,或眼球掃描),白帽業者會設法避開這種要求,或設計軟體偽造所需要的東西來騙過系統。他們也會蒐集所有員工的電子郵件地址和電話號碼、伺服器機房的位置、系統使用的作業系統類型和版本、供應商的資料,以及許多其他資訊(視他們投入多少時間而定)。
第二步是白帽業者偵察目標組織,利用到處都能取得的軟體勘測目標網絡,了解網絡使用什麼作業系統,並尋找人人可以進入的門戶。白帽業者實際上可以很快找出誰是目標組織的網絡管理者,從領英(LinkedIn)上的個人介紹、社群網站和公開的資料庫蒐集網絡管理者的個人資料, 用軟體建立他們可能使用的密碼清單,根據可能性替這些「密碼」排序,然後試用它們登入目標網絡。如果網絡管理者進入網絡需要第二層驗證(例如指紋、聲音或臉部辨識,或眼球掃描),白帽業者會設法避開這種要求,或設計軟體偽造所需要的東西來騙過系統。他們也會蒐集所有員工的電子郵件地址和電話號碼、伺服器機房的位置、系統使用的作業系統類型和版本、供應商的資料,以及許多其他資訊(視他們投入多少時間而定)。
第三步是滲透測試本身,而白帽業者幾乎總是可以在某程度上擅自侵入系統,而這往往拜目標組織一些令人咋舌的愚蠢做法所賜。資深白帽業者肯尼迪(David Kennedy)發現,侵入目標網絡有兩種最常奏效的方法。第一種是使用網絡的預設密碼,因為網絡管理者根本不改這些密碼。第二種是針對目標公司員工的魚叉式網路釣魚(spear phishing),例如寄一些偽造的電子郵件給這些員工,誘使他們點擊有問題的連結。許多員工接受過辨識這種釣魚手段的訓練,但白帽業者也很清楚這一點,因此早就相應調整做法。康倫(Brendan Conlon)曾經是美國國家安全局「特定入侵行動」的駭客,後來創辦滲透測試公司Vahna。他曾針對一家小公司做過魚叉式網路釣魚:「我們假裝是富達(Fidelity)公司,寄一封有關退休計畫的電子郵件給一百名員工,有五十人立即打開郵件,並按照指示輸入了他們所有的個人資料。」這種情況並不罕見。
第四步是最後階段,白帽業者會向客戶提交一份報告,內含摘要、詳細說明(以螢幕截圖和文字解說,具體指出他們發現的安全漏洞),以及根據急迫性和成本排序的改善建議。多數白帽業者表示,目標組織的資訊長(有時是執行長)通常只看報告摘要,然後指向建議部分問道:「這些措施需要多少錢?」雖然不常見,但企業高層有時甚至會對白帽業者做到的事嗤之以鼻,因為他們誤以為白帽測試者能力超強,是黑帽駭客無法相比的。莫斯表示:「企業經理人會試圖貶低你做到的事。他們會說,那只是一時僥倖,又或者剛好他們的系統發生故障。」白帽業者有時為了傳達他們的訊息,會在執行長的電腦上啟動惡意程式,讓他知道自己的電腦被駭了。白帽業者也提供跟進的滲透測試服務,頻率隨客戶喜歡,而多數業者建議,財星雜誌五百強公司應該至少每年做一次測試。多數白帽業者表示,四分之三的目標組織會處理最嚴重的安全漏洞,比較次要的問題則通常不理會。
第四步是最後階段,白帽業者會向客戶提交一份報告,內含摘要、詳細說明(以螢幕截圖和文字解說,具體指出他們發現的安全漏洞),以及根據急迫性和成本排序的改善建議。多數白帽業者表示,目標組織的資訊長(有時是執行長)通常只看報告摘要,然後指向建議部分問道:「這些措施需要多少錢?」雖然不常見,但企業高層有時甚至會對白帽業者做到的事嗤之以鼻,因為他們誤以為白帽測試者能力超強,是黑帽駭客無法相比的。莫斯表示:「企業經理人會試圖貶低你做到的事。他們會說,那只是一時僥倖,又或者剛好他們的系統發生故障。」白帽業者有時為了傳達他們的訊息,會在執行長的電腦上啟動惡意程式,讓他知道自己的電腦被駭了。白帽業者也提供跟進的滲透測試服務,頻率隨客戶喜歡,而多數業者建議,財星雜誌五百強公司應該至少每年做一次測試。多數白帽業者表示,四分之三的目標組織會處理最嚴重的安全漏洞,比較次要的問題則通常不理會。
延伸閱讀:
點選下方的可留言給作者哦
發現更多有趣邦邦
政論人文 今日熱門文章
- +1
1月30日 週四
全台十大熱門廟宇 美食懶人包看這裡 👉