来论|网络攻防如同抗疫
2022-05-08 00:00 
从面对疫情的经验当中,亦可总结出一些重要因素,帮助我们重新思考及巩固我们的网络安全防御系统及策略。
黑客精心制作的木马程式及病毒,就像是新型冠状病毒,能够通过电子邮件,在大气电波中与我们的电脑接触,无声无息感染我们的系统,并潜伏在电脑当中,等待适当的机会作进一步的扩散。
像隐藏在社区里的隐形传播链,被木马软件控制的电脑,就是超级传播者,能够帮助黑客把木马软件,复制到企业里的其他电脑。当企业绝大部分的电脑及系统,都被木马软件控制后,黑客就能很轻松及精准地盗取对企业至为重要的关键数据,例如客户资料、信用卡资料等。
收集实时分析重要数据
快速检测及详细的核酸检测,都是让我们找出超级传播者的重要手段之一。在网络世界,杀毒软件及网络安全侦察/响应系统,能够自动化及恒常地检查哪一些电脑已被感染。在病毒进一步扩散前,先把受感染的系统隔离,例如把这些电脑系统重新安装,要求电脑用户重新设定密码等,然后找出病毒传入的方法及源头,从源头堵截木马病毒传播链。
最常见的三种源头分别是:
一、对互联网开放的系统及伺服器,例如是企业网站,直接遭受入侵。这亦包括管理员无意中把内部系统错误设定为对互联网开放的情况。
二、员工的企业帐号密码被盗取,让网络犯罪分子能以员工的身分,连接对外网开放的企业系统例如电子邮箱、VPN、办公系统等等。
三、通过钓鱼邮件或其他社交工程的骗术,诱使员工安装隐含在附件的木马程式。
当面对网络危机时,企业往往很难保持冷静,细心分析上述源头的可能性,从而制定及实行针对性的抗疫手段。因此,最危险的莫过于企业自以为实行了有效的措施后,却直到木马软件蔓延,并控制更多重要的系统后,才惊觉网络仍然受感染。
要做到准确的分析,企业可以使用全天候的网络安全监控服务中心,通过收集及实时分析不同的重要数据,来确认感染源头,例如防火墙的日志中,是否出现与网络犯罪集团组织相关的IP Address?网络系统设定中,是否有不为人知的高权限帐户?用户电脑的事件日志中,是否有特殊程序如Powershell、mimikatz、psexec运行的痕迹等?
最后,更重要的是在整个抗疫行动中,如何利用相关的数据,供企业管理层掌握抗疫行动的成效。这些数据可以是有多少受感染的系统已安装有效的杀毒程序,防火墙的黑名单加入了多少IP Address,曾被黑客占领的帐号是否有再被启用的痕迹。在网络攻防战发生之前,预先制定这一些评核抗疫成效的主要数据,就可以让我们更加从容地指挥及应对突如其来的网络攻击。
简培钦
香港电脑学会网络安全专家小组执行委员会成员
關鍵字
最新回应