網絡攻防如同抗疫

回顧最近的三年抗疫生活,我們都不難發現很多生活習慣,以及約定俗成的工作模式都被改變了。然而,在這一場持久戰當中,除了守護着自己及家人的健康,我們在應付及處理突發事情與危機,也變得更熟練了。

從面對疫情的經驗當中,亦可總結出一些重要因素,幫助我們重新思考及鞏固我們的網絡安全防禦系統及策略。

黑客精心製作的木馬程式及病毒,就像是新型冠狀病毒,能夠通過電子郵件,在大氣電波中與我們的電腦接觸,無聲無息感染我們的系統,並潛伏在電腦當中,等待適當的機會作進一步的擴散。

像隱藏在社區裏的隱形傳播鏈,被木馬軟件控制的電腦,就是超級傳播者,能夠幫助黑客把木馬軟件,複製到企業裏的其他電腦。當企業絕大部分的電腦及系統,都被木馬軟件控制後,黑客就能很輕鬆及精準地盜取對企業至為重要的關鍵數據,例如客户資料、信用卡資料等。

收集實時分析重要數據

快速檢測及詳細的核酸檢測,都是讓我們找出超級傳播者的重要手段之一。在網絡世界,殺毒軟件及網絡安全偵察/響應系統,能夠自動化及恒常地檢查哪一些電腦已被感染。在病毒進一步擴散前,先把受感染的系統隔離,例如把這些電腦系統重新安裝,要求電腦用戶重新設定密碼等,然後找出病毒傳入的方法及源頭,從源頭堵截木馬病毒傳播鏈。

最常見的三種源頭分別是:
一、對互聯網開放的系統及伺服器,例如是企業網站,直接遭受入侵。這亦包括管理員無意中把內部系統錯誤設定為對互聯網開放的情況。
二、員工的企業帳號密碼被盜取,讓網絡犯罪分子能以員工的身分,連接對外網開放的企業系統例如電子郵箱、VPN、辦公系統等等。
三、通過釣魚郵件或其他社交工程的騙術,誘使員工安裝隱含在附件的木馬程式。

當面對網絡危機時,企業往往很難保持冷靜,細心分析上述源頭的可能性,從而制定及實行針對性的抗疫手段。因此,最危險的莫過於企業自以為實行了有效的措施後,卻直到木馬軟件蔓延,並控制更多重要的系統後,才驚覺網絡仍然受感染

要做到準確的分析,企業可以使用全天候的網絡安全監控服務中心,通過收集及實時分析不同的重要數據,來確認感染源頭,例如防火牆的日誌中,是否出現與網絡犯罪集團組織相關的IP Address?網絡系統設定中,是否有不為人知的高權限帳戶?用戶電腦的事件日誌中,是否有特殊程序如Powershell、mimikatz、psexec運行的痕迹等?

最後,更重要的是在整個抗疫行動中,如何利用相關的數據,供企業管理層掌握抗疫行動的成效。這些數據可以是有多少受感染的系統已安裝有效的殺毒程序,防火牆的黑名單加入了多少IP Address,曾被黑客佔領的帳號是否有再被啟用的痕迹。在網絡攻防戰發生之前,預先制定這一些評核抗疫成效的主要數據,就可以讓我們更加從容地指揮及應對突如其來的網絡攻擊。

簡培欽
香港電腦學會網絡安全專家小組執行委員會成員

Click here to read the full article on 星島日報 (Chinese only).