紅隊測試：戰略級團隊與低容錯組織如何靠假...

名人推薦：─　深度探索決策驗證世界，名家好評　─

政治、政府、戰爭和商界方面的重大失敗，事後最常見的解釋是自滿、團體盲思、惰性和視野狹窄。岑科在這本書中提出清晰的分析，輔以許多趣味盎然的常見錯誤例子，並整理出一套有用的典範做法。所有組織的決策者都應該看這本書。
奈姆（Moises Naim），卡內基國際和平基金會傑出研究員，著有《微權力》（The End of Power）

人人都聽過有關「扮演魔鬼代言人」或「避免團體盲思」的陳詞濫調。本書探討組織可以如何發揮內部反向思維的最大價值，以重視實用的態度，提出了清晰且具說服...

白帽駭客，情報局長與魔鬼代言人（節錄）

組織失敗但不自知的原因

本書探討如何幫助組織以一種新的、不同的方式看世界，藉此改善組織的表現。無論是軍事單位、政府機構或小型企業，組織都是根據長期策略、近期計畫、日常作業和待辦事項的某種組合來運作。決策者和組織人員並不是每天上班時，當場重新決定要做什麼和怎麼做。組織既有的指南、常規和文化，是組織有效運作必需的。但是，組織如果在資訊不完整和快速變化的競爭環境中運作，則它面臨的一個難題，是必須設法確定其標準程序和策略何時開始導致不理想的結果，甚至可能釀成大災難。更糟的是，如果組織用來處理修正資訊（corrective information）的方法本身是有問題的，則這些方法最終可能導致組織失敗。

這種固有的問題關係到本書的核心主題：你不能替自己的表現評分。回想一下你高中時覺得很難的一科。想像一下：老師授權你替自己的作業評分。起初這似乎是一件大好事：你每次都可以給自己一百分！無論你實際上做得多差，你都可以決定每一份作業的分數。替自己的作業評分時，你會想出各種理由，說服自己值得最高的分數，儘管你其實做得不好。這些理由可能包括：「課堂上沒教這些」、「老師教得很差」、「我累壞了」，又或者「這是最後一次」。再想像一下你面臨以下情況時感受到的震撼：在自我評分一學期之後，老師發出期末考卷，並宣佈這一次她將親自評分。如此一來，你應學但沒學好、以為自己懂但其實不懂的東西，全都將暴露出來。替自己評分或許能使你短期內自我感覺良好，但也可能令你完全失去自知之明，最終導致你不及格。

「你不能替自己的表現評分」是一個重要警告，其意義遠非僅限於學校。我們來看看美國中情局的一個例子：該組織在九一一恐怖攻擊之後的拘留和訊問方案，錯誤採用了自我評估策略。對於中情局對付疑似恐怖份子的行動（包括使用「加強型訊問手段」，也就是動用酷刑）有多必要和有效，中情局的內部評估，是由負責策劃和管理行動的同一批人和外部承包商（延續和擴大行動規模顯然有助他們賺更多錢）做的。二○一三年六月，中情局的內部檢查發現，中情局人員藉由「臨時起意的評估」、觀察遭拘留者舉止的變化，來確定「各種加強型訊問手段是否有效」。中情局人員和外部承包商都自信地宣稱他們負責的方案非常有效，而且很有必要；這結果毫不令人意外。

儘管國家安全顧問萊斯（Condoleezza Rice）和參議院情報特別委員會二○○五年左右曾提出要求，希望中情局針對那些行動做相當於紅隊另類分析的評估，但中情局高層從不曾下令做這種分析。中情局承認：「中情局訊問方案僅有的外部分析，仰賴兩名評審；其中一人承認欠缺評估該方案所需要的知識和技術，另一人則表示，他未能得到準確評估該方案所需要的資料。」中情局若能安排得到充分資訊和授權、由通過必要安全審查的專家組成的紅隊做分析，應該可以得到真實得多的評估結果，以及有關如何修改（或乾脆結束）拘留和訊問方案的建議。

數目多得驚人的高層領袖「系統性失能」，無法辨明所在組織最明顯和危險的缺點。這不是因為他們愚蠢，而是源自限制所有人的思想和行為的兩種慣常問題。第一種是個人的認知偏差，例如鏡像效應（mirror imaging）、定錨效應（anchoring）和驗證偏誤（confirmatory bias）。在不確定的情況下，我們的決定無意識地受這些認知偏差影響，我們因此很難評估自己的判斷和行為，而且這是一種本質上的困難。康乃爾大學心理學教授鄧寧（David Dunning）已在無數的實驗中證明，技能和知識很差的人，對自身表現的判斷也非常不準確。例如在突擊測驗中成績最差的人，對自身分數的估計與實際分數的差距也是最大的。

第二種問題源自組織偏差：員工成為組織文化的俘虜，接受了老闆的個人喜好和他們日常體驗到的組織文化。逾一個世紀前，傑出經濟學家和社會學家范伯倫（Thorstein Veblen）便說明了我們的日常事務如何塑造和窄化了我們的心智：

人可以輕鬆做的是他們慣常做的事，而這決定了他們可以輕鬆思考和知道些什麼。人因為日常活動而熟悉的各種概念，便是他們感到自在的概念。慣常的活動構成慣常的思路，產生用來理解事實和事件、進而歸納成一個知識體系的觀點。與慣常的行動方案相符，便是與慣常的思路相符；決定性的知識基礎，以及任何社群中自滿和認可的傳統標準由此產生。

雖然我們會嘲笑這種失去批判反省能力的情況（例如持續研究某個題目多年的人，可能無法再以批判的態度去理解該題目），誠實的員工應該承認這種非常普遍的現象造成組織偏差。這種問題在某些工作中尤其顯著，例如必須長期埋首研究技術或機密知識的工作，以及採用嚴格層級制度的組織（軍方是一個明顯的例子）中的工作。這些常見的個人和組織問題結合起來，普遍導致組織難以聽到壞消息，因此也就不會採取行動去處理既有問題或新浮現的問題。

組織領袖談到自己的領導和管理風格時，通常會承認必須鼓勵和感謝員工提出反對意見，必須傾聽並認真考慮這些意見。受尊敬的領袖不會宣稱：「我特地打擊員工暢所欲言的意願，並且維持一種嚴防員工發表異議的組織文化。」多數領袖甚至會說，他們是支持員工發表異議的。這種觀點經常出現在《紐約時報》「角落辦公室」專欄（Corner Office）中。這個專欄每週在該報商業版刊出，訪問企業、大學和非營利組織的領袖。在這些訪問中，受訪的領袖被問到他們的管理技巧，而許多人會宣稱自己持續鼓勵下屬在組織內部提出抗議。媒體業者Clear Channel Communications執行長皮特曼（Bob Pittman）受訪時便說：「我希望我們能聽這些異議者的說法，因為他們可能想告訴你為什麼我們做不到某件事。但如果你認真聽，他們真正想告訴你的，是你必須做些什麼才能做成某件事。」我們聽美國的領袖描述他們領導的組織，會以為這些組織的管理方式比較像無政府主義者的合作社，而非採用層級制度的組織。

皮特曼的想法是有問題的，因為他錯誤假定替領袖做事的人有辨明潛在問題的技能（可能性很低）、會向上司報告這些問題（這麼做可能損害自己的職涯），以及向上司提出這些問題不會有不良後果（通常會有，因為這會擾亂傳統觀念）。想想你覺得自己在工作上顯而易見的缺點。你會冒著損害自己名聲或職涯的風險，向上司報告這些缺點嗎（即使上司要求你這麼做）？又或者假設組織面臨一些即將發生、但未有人察覺的災難。在受到種種限制的情況下，你認為自己辨明潛在災難並向上司報告的可能性有多大？哈佛商學院教授艾蒙森（Amy Edmondson）研究為什麼員工在多種情況下會認為，承認和向上司報告他們工作中觀察到的嚴重問題是不安全的。「我們繼承了一種根深柢固的觀念，導致我們擔心自己在層級制度中留給別人什麼印象。」她並補充道：「從來沒有人因為不講話而被開除。」我們不能指望組織可以公正地替自身的表現評分；同樣道理，我們也不能指望組織可靠地自行產生異見，並提交給領導高層參考。




第5章　競爭對手──民間部門的紅隊作業（節錄）

白帽駭客與倉鼠輪：網路滲透測試

紅隊作業非常符合民間部門的網路保安需求，尤其是因為網路安全漏洞一旦遭利用，代價和後果可能非常慘重。雖然企業相當成功地隱瞞了它們不時遇到的網路攻擊，這種攻擊的頻率和嚴重程度無疑正與日俱增。針對網路保安人員的匿名調查顯示，企業如果不認真做網路滲透測試， 因此承受的代價非常可觀，而且正愈來愈大（以金錢和時間損失衡量均如此）。卡巴斯基實驗室（Kaspersky Lab）二○一四年調查三千九百名資訊科技專業人士，發現員工少於一千五百人的公司遇到一次資料安全事件的平均損失為四萬九千美元，員工超過一千五百人的公司則是平均損失七十二萬美元。研究機構Ponemon Institute二○一四年做過一項類似調查，訪問五十九家美國公司，發現解決一次網路攻擊平均需要四十五天，平均耗費一百六十萬美元，較上一年的平均三十二天和略高於一百萬美元顯著增加。這些攻擊主要是阻斷服務、惡意的內部人士和網頁式攻擊（web-based attacks），總共占網路安全成本逾五五％；約八六％的犯案者是在公司以外，一二％在公司內部，二％為內外部人士聯手。員工超過兩千五百人的大公司曾經是多數網路攻擊的直接目標，但如今愈來愈多犯案者轉向從較小型的公司竊取資料，或是藉由攻擊第三方供應商侵入大公司。

我們來看近年的三個重要案例。二○一三年，美國高級百貨公司尼曼（Neiman Marcus）遭駭客攻擊：安裝在該公司系統中的惡意程式蒐集並傳送了二○一三年七月十六日至十月三十日的付款資料，可能影響三十五萬名顧客。因為這次攻擊，這家零售業者在二○一四會計年度第二季承受的代價初估為四百一十萬美元。二○一四年五月，美國中西部超市集團Schnucks Markets宣佈，該公司遭惡意駭客侵入，超過四個月才發現，估計因此損失約八千萬美元。最值得注意的案例發生在二○一三年：美國零售商Target 遇到嚴重的資料安全問題，事件始於「黑色星期五」（美國感恩節翌日，聖誕節購物季的第一天），駭客竊取了至少四千萬名Target顧客的信用卡號碼。在這次攻擊中，駭客先是偷到Target提供給法齊奧機械服務（Fazio Mechanical Services，替Target監測商店能源消耗情況的承包商）的網路憑證，然後再侵入Target的內部網絡。此次攻擊造成的直接財務代價初估為六千一百萬美元，並導致Target執行長和資訊長遭公司開除；事件發生後不到八個月，Target承受的財務代價達到一億四千八百萬美元。

……

因應這問題，企業除了以內部的典範做法改善網路安全外，也愈來愈重視紅隊的弱點探查作業。這種作業人稱滲透測試（penetration tests或pen tests），由「白帽」駭客執行；「白帽」這說法源自好萊塢西部片，片中的「善良」牛仔戴白帽。與白帽駭客相對的是「黑帽」駭客，後者往往是帶著惡意擅自侵入目標組織的電腦網絡和軟體。這種區分可能過度簡化了實際情況，因為所有的頂尖白帽駭客起初都做過黑帽駭侵，後來才把這種活動變成合法的職業。此外，不少駭客在做合法的滲透測試工作之餘，私下也會出於政治或意識形態的原因駭入某些網絡（有時只是覺得好玩）。事實上，駭客圈內身分流動，是這個圈子的關鍵特徵之一，而駭客往往強烈抗拒把人歸類。根據我與駭客的無數次談話，他們的核心驅動力是一種天生的好奇心，希望知道自己在得到授權或未經授權的情況下，可以完成哪些新的駭侵（雖然他們的具體說法略有差異）。這種好奇心一般會隨著駭客年紀漸長而減弱：多數駭客最終會比較重視可靠的薪酬和穩定的生活，而非收入微薄下的自由探索。

有些人認為駭入資訊網絡是迷人和刺激的事，但事實遠非如此。說到底，駭客的本領其實就是能夠坐下來極其細心地盯住電腦螢幕（往往必須仰賴許多能量飲料支持），找出可以利用的形態或弱點。駭客表示，他們做的事類似整理不完整外文手稿的書籍編輯，或把經文抄到羊皮紙上的中世紀修道士。現在有一些功能日強的軟體可以將駭客的部分工作自動化，尤其是自動辨識網絡弱點和逐行檢視原始碼。但是，相對於這種自動化作業，人工駭侵網站和檢視原始碼仍往往可以找到更多重大弱點……

……

駭侵與其說是科學，不如說是藝術，因為駭客使用的方法和戰術主要取決於個人的背景和技能。資深白帽駭客估計，如果你請兩名駭客找出某個網站的所有安全弱點，他們找到的弱點大概只有一半相同。如果叫他們檢視軟體原始碼，他們找到的相同弱點會更少。駭客的資歷和背景相當多元，滲透測試人員並無公認的行業標準，但有「道德駭客認證」（Certified Ethical Hacking）：只需要上五天的課，通過一個四小時、一百二十五題的考試，便能取得這資格。在滲透測試界，幾乎所有知名高手都認為這項認證非常公式化，提供的訓練顯然不足和過時；他們甚至多數認為，個人履歷表最好不要列出這項資格。二○一四年二月，提供道德駭客認證的國際電子商務顧問局的網站遭駭客侵入，首頁貼出了斯諾登（Edward Snowden）的護照和他申請道德駭客認證的信。

駭客攻擊的情況，某程度上可以藉由觀察駭客會議的趨勢來了解。駭客會議曾經只是少數駭客展現自身技術、建立名聲和培養一種社群感的場合，但這種會議的數目和出席人數近年均大增。根據一項估計，美國二○○九年專門討論駭侵的會議只有五個。到了二○一四年，這種會議有三十七個，另有十七個會議是討論網路安全。在此期間，規模最大的兩個會議的出席人數也大增：比較自由的DEF CON從一萬人增至一萬六千人，比較專業的「黑帽會議」（Black Hat）從四千人增至九千人。但是，長期出席的人表示，這些會議已變得愈來愈平淡乏味，因為上台報告的人總是在描述他們的最新駭侵特技，希望得到媒體的報導，而不是誠心希望分享有用的資訊。另一個原因，是「零日攻擊」的市場大有成長；零日攻擊基本上就是尚未揭露或目標組織尚未察覺的駭侵。以前駭客會在同業會議上炫耀他們最了不起的駭侵，如今則多數會保持沈默， 把這種資訊賣給易受攻擊的公司或對此有興趣的政府機構或犯罪集團。零日攻擊市場非常不透明，但可能有用的駭侵估計可賣四萬至二十五萬美元，最大的買家據稱是美國政府。

DEF CON和後來的「黑帽會議」，都是綽號「黑暗切線」（Dark Tangent）的莫斯（Jeff Moss）創辦的。四十歲的莫斯被視為駭客圈的祖宗和良心，是網際網路指定名稱與位址管理機構（ICANN，制定網際網路規則的國際組織）的安全總監。他談到上述的黑市現象時表示：「早年根本不可能拿駭侵換現金。如今駭侵資訊在地下市場很值錢，這種資訊也就比較少公開了。在此情況下，駭客會議也就有點走下坡，因為一些最有意思的駭侵技術和構想不會公開。」此外，因為駭客圈規模快速擴大，分出了一些非常專門的技術領域，駭客會議的社群感隨之變淡，愈來愈少人認為有公認的駭客行為規範。莫斯說：「早年你可以從留言板和駭客會議認識到所有重要人物，現在是無法追蹤所有動態了。我一直覺得網路安全這圈子不可能再擴大和變得更多元，但事實一再證明我錯了。」

……

白帽滲透測試有多種形式，但可分三大類：黑箱測試：測試者除了知道網站或軟體的名稱外，對目標一無所知；白箱測試：測試者完全了解網絡組態，也能進入網絡和使用相關裝置；灰箱測試：測試者掌握若干資訊和某程度的進入權。企業選擇什麼類型的測試，取決於它最想保護什麼、最擔心什麼類型的敵人，以及它估計敵人會蒐集多少資訊來發動惡意攻擊。

一家公司的電腦網絡接受典型的白帽滲透測試，有四個步驟。首先，白帽業者會藉由電話、面對面交談和訪問公司資訊長和資訊安全主管，確定滲透測試的範圍和條件。白帽業者了解目標組織委託測試的原因，將為此次作業（包括執行改善建議）投入多少資源和時間，以及最擔心網路攻擊造成什麼後果（財務和名譽損失總是它們最擔心的）。在這個階段，白帽業者將確定這次測試的規則，包括測試的目標（什麼人和什麼系統）、何時測試，以及測試前要通知誰（越少人越好）。測試的類型和範圍決定了白帽團隊的人員組成──可能包括網絡、作業系統、資料庫和行動裝置的專家，以及一名當「指揮」和「壁畫家」（muralist）的經理。

第二步是白帽業者偵察目標組織，利用到處都能取得的軟體勘測目標網絡，了解網絡使用什麼作業系統，並尋找人人可以進入的門戶。白帽業者實際上可以很快找出誰是目標組織的網絡管理者，從領英（LinkedIn）上的個人介紹、社群網站和公開的資料庫蒐集網絡管理者的個人資料， 用軟體建立他們可能使用的密碼清單，根據可能性替這些「密碼」排序，然後試用它們登入目標網絡。如果網絡管理者進入網絡需要第二層驗證（例如指紋、聲音或臉部辨識，或眼球掃描），白帽業者會設法避開這種要求，或設計軟體偽造所需要的東西來騙過系統。他們也會蒐集所有員工的電子郵件地址和電話號碼、伺服器機房的位置、系統使用的作業系統類型和版本、供應商的資料，以及許多其他資訊（視他們投入多少時間而定）。

第三步是滲透測試本身，而白帽業者幾乎總是可以在某程度上擅自侵入系統，而這往往拜目標組織一些令人咋舌的愚蠢做法所賜。資深白帽業者肯尼迪（David Kennedy）發現，侵入目標網絡有兩種最常奏效的方法。第一種是使用網絡的預設密碼，因為網絡管理者根本不改這些密碼。第二種是針對目標公司員工的魚叉式網路釣魚（spear phishing），例如寄一些偽造的電子郵件給這些員工，誘使他們點擊有問題的連結。許多員工接受過辨識這種釣魚手段的訓練，但白帽業者也很清楚這一點，因此早就相應調整做法。康倫（Brendan Conlon）曾經是美國國家安全局「特定入侵行動」的駭客，後來創辦滲透測試公司Vahna。他曾針對一家小公司做過魚叉式網路釣魚：「我們假裝是富達（Fidelity）公司，寄一封有關退休計畫的電子郵件給一百名員工，有五十人立即打開郵件，並按照指示輸入了他們所有的個人資料。」這種情況並不罕見。

……

第四步是最後階段，白帽業者會向客戶提交一份報告，內含摘要、詳細說明（以螢幕截圖和文字解說，具體指出他們發現的安全漏洞），以及根據急迫性和成本排序的改善建議。多數白帽業者表示，目標組織的資訊長（有時是執行長）通常只看報告摘要，然後指向建議部分問道：「這些措施需要多少錢？」雖然不常見，但企業高層有時甚至會對白帽業者做到的事嗤之以鼻，因為他們誤以為白帽測試者能力超強，是黑帽駭客無法相比的。莫斯表示：「企業經理人會試圖貶低你做到的事。他們會說，那只是一時僥倖，又或者剛好他們的系統發生故障。」白帽業者有時為了傳達他們的訊息，會在執行長的電腦上啟動惡意程式，讓他知道自己的電腦被駭了。白帽業者也提供跟進的滲透測試服務，頻率隨客戶喜歡，而多數業者建議，財星雜誌五百強公司應該至少每年做一次測試。多數白帽業者表示，四分之三的目標組織會處理最嚴重的安全漏洞，比較次要的問題則通常不理會。

白帽駭客，情報局長與魔鬼代言人（節錄）

組織失敗但不自知的原因

本書探討如何幫助組織以一種新的、不同的方式看世界，藉此改善組織的表現。無論是軍事單位、政府機構或小型企業，組織都是根據長期策略、近期計畫、日常作業和待辦事項的某種組合來運作。決策者和組織人員並不是每天上班時，當場重新決定要做什麼和怎麼做。組織既有的指南、常規和文化，是組織有效運作必需的。但是，組織如果在資訊不完整和快速變化的競爭環境中運作，則它面臨的一個難題，是必須設法確定其標準程序和策略何時開始導致不理想的結果，甚至可能釀成大...

引言 白帽駭客，情報局長與魔鬼代言人
艾其巴：「務必保密，務必確信正確」
組織失敗但不自知的原因
紅隊的作業方式
紅隊成敗的原因
探索紅隊世界

第1章 紅隊作業典範做法
一、老闆必須支持
二、若即若離，客觀又明事理
三、無畏且有技巧的懷疑者
四、足智多謀
五、願意聽壞消息並據此採取行動
六、適可而止，不多不少
典範做法的最高原則

第2章 起源──現代軍隊中的紅隊作業
紅隊大學
紙牌把戲：減輕層級和團體盲思問題
海軍陸戰隊的紅隊作業：挑戰指揮風氣
千禧挑戰：被踢屁股的一次演習
美國以外的軍事紅隊作業
結論

第3章 另類分析──情報系統的紅隊作業
B隊：「反映他們眼中的世界」
西法製藥廠：錯失機會的例子
中情局紅色小組：「我希望刺激一下自己的頭腦」
賓拉登的大宅：零至五○％的機率
結論

第4章 敵人──國家安全的紅隊作業123
九一一之前的航空安全紅隊：「重大且明確的公共危險」
如何擊落飛機：評估肩射飛彈的威脅
NYPD的桌上演練：「絕對不要讓他們認為自己已經解決了問題」
資訊設計保證紅隊：把紅隊作業變成一種大宗化工具
結論

第5章 競爭對手──民間部門的紅隊作業
模擬策略決策：商戰模擬
白帽駭客與倉鼠輪：網路滲透測試
我能聽見你（和所有其他人）：駭入Verizon
安全的大樓為何不安全：實體滲透測試
結論

第6章 紅隊作業的實際結果、錯誤印象和未來
紅隊作業的實際結果
有關紅隊作業的錯誤印象和誤用
對政府紅隊的建議
紅隊作業的未來

致謝
各章注釋

引言 白帽駭客，情報局長與魔鬼代言人
艾其巴：「務必保密，務必確信正確」
組織失敗但不自知的原因
紅隊的作業方式
紅隊成敗的原因
探索紅隊世界

第1章 紅隊作業典範做法
一、老闆必須支持
二、若即若離，客觀又明事理
三、無畏且有技巧的懷疑者
四、足智多謀
五、願意聽壞消息並據此採取行動
六、適可而止，不多不少
典範做法的最高原則

第2章 起源──現代軍隊中的紅隊作業
紅隊大學
紙牌把戲：減輕層級和團體盲思問題
海軍陸戰隊的紅隊作業：挑戰指揮風氣
千禧挑戰：被踢屁股的一次演習
美國以外的軍事紅隊作...