近来香港多间机构连环遭受攻击者入侵,令本地企业管理层深深感受到危机已迫在眉睫,开始积极部署更多网络安全工具。不过,乱石投林式的添置安全工具,对提升防禦力是否真的有帮助?早前 DICT 数智通讯服务供应商中信国际电讯 CPC(以下简称 CPC)与网络安全服务供应商 Fortinet,便特别举办人工智能攻防战「卡牌盛会」,破格地以卡牌游戏形式,展示完美安全防护所需具备的灵活解决方案组合,以及最重要的全面佈局思维,让参与今次盛会的企业IT领导专员及业界专家,日后能够将整套思维融入企业的防禦架构之中。
![【超越游戏】攻防实战卡牌盛会解构安全策略思维 预测入侵链精准阻截黑客入侵]()
香港电脑保安事故协调中心 Otto 透露正跟其他地区的 CERT 合作,建构一个可提升侦测网络钓鱼域名的 AI 模型,以缓解企业面对最多的网络攻击问题。
人工智能提升黑客攻击力 全新思维扭转防禦劣势
开始卡牌模拟实战前,香港电脑保安事故协调中心主管Otto Lee 首先跟参与者分析了现时香港的网络安全状况。他指出从近年本地发生的多宗安全事件可见,黑客均加大力度运用AI,令各种网络攻击来得更快更具针对性。以企业接获得最多的钓鱼电邮为例,黑客可借助 AI 更快地产生出高质素的诈骗内容,令收到信件的企业员工更难防范,再配合深度伪冒(Deepfake)AI 技术,令企业防不胜防。要应对这些挑战,Otto 认为企业除了可执行他在会上提出的安全建议外,还应制定完整的安全策略,并相信卡牌模拟实战可为参加者对制定防禦策略的思维带来新的见解。
![【超越游戏】攻防实战卡牌盛会解构安全策略思维 预测入侵链精准阻截黑客入侵]()
每轮赛事开始前,参赛队伍都要代入不同的攻击场景,根据面对的威胁,以有限资金选择合适的安全解决方案组合。
正式进入模拟实战,各参赛队伍分别要因应大会提出的三个攻击场景,以有限的资金选择出最佳的安全解决方案组合,如组合未能成功阻截攻击,该参赛队伍便需要接受「大惩罚」,转动轮盘以决定攻击最终会对企业资产带来的损失百分率,由于最高可达100%令公司损失惨重,因而各队伍都积极参与,讨论气氛热烈,期望防禦组合能瓦解黑客的入侵。
安全事件催生危机意识 平台化管理提升自动回应成效
经过三轮实战体验,四队的策略都各有千秋,但距离全面的安全防护仍有进步的空间。Fortinet 北亚区首席信息安全官 Daniel Kwong 笑说结果颇能反映现实,因为香港大部分企业对网络安全的关注度仍处于起步阶段。他指出近期在香港地区发生的多宗安全事件,除了成为大家茶馀饭后讨论的话题,还让企业管理者的危机意识大增,即使是规模较小的中小企业,也会因一些简单的钓鱼电邮问题向他再三请教,从另一角度看,不幸事件也能带来正面影响。
![【超越游戏】攻防实战卡牌盛会解构安全策略思维 预测入侵链精准阻截黑客入侵]()
Fortinet Daniel说以往网络安全讲求数据可视性,但现时亦同时讲求平台化,才能集中处理所有数据,揪出可疑活动,并自动化按剧本执行回应。
Daniel 认为现时的科技发展很快,网络安全人员要管理应用服务、网络、基础设施的运作,同时又要兼顾网络安全,是一项绝不简单的工作,特别是应用在不同领域的安全工具众多,单是 Fortinet 已有50 多个,因此作为企业的 CISO,在决定选用哪些方案时,便需要有一套完整的策略。他特别提醒网络安全工具平台化的重要性,如端点、防火牆、网络管理等各有各运作,相互之间无法进行沟通,那麽就算其中一个工具能截获恶意攻击,也不能将相关资讯传递到其他工具上,让黑客可以继续横向或深入移动。而 Fortinet 的 Cybersecurity Fabric 便非常着重完整保护、平台化及自动化,有了一体化的管理平台,才能将安全威胁指标(IoC)自动推送至其他安全工具,及时制止入侵行为。
拆解入侵链 以有限资源应对网络安全挑战
对于参赛队伍的投入程度,CPC 网络安全顾问Dr. Sung Liu感到非常满意,认为已达到今次活动的预期目标。他说香港企业管理者在网络安全层面的最普遍问题是没有一套完整的安全策略,当发现缺少了哪一类安全工具,或近期流行哪种网络攻击,才会花钱买入,实际上却用不得其所。他希望今次卡牌盛会可以令参赛队伍明白,由于每一个行业面对的安全威胁也不一样,因此必须因应其独特风险,从黑客角度思考其攻击链(kill chain),有了清晰的步骤,便可在每个环节检视是否已有足够的安全防禦工具,将卡牌游戏的玩法应用到实际环境。
![【超越游戏】攻防实战卡牌盛会解构安全策略思维 预测入侵链精准阻截黑客入侵]()
CPC 网络安全顾问Dr. Sung Liu指出黑客的攻击会由侦测弱点开始,然后因应弱点武器化入侵工具,于企业内部建设立足点等,最后才会执行行动。只要坚守每个环节,便可阻止黑客入侵。
Sung 承认每间企业拨给网络安全的预算「永远都不够」,所以 CISO 便要更精准及灵活使用这笔预算,当中交由第三方供应商进行一次完整的评估,便可找出各种潜在的问题及漏洞,并由专家提供改善建议,优先处理紧急的问题。另外,网络安全託管服务供应商(MSSP)亦可让企业得到 24/7 全天候的分析及支援,以 CPC TrustCSI MSS 服务为例,系统除了收集全球最新的威胁指标,还有人工智能技术支援,可预示各种网络攻击的演变,连病毒的新变种也能拦截下来。另一方面,TrustCSI 3.0 亦具备 AI 红蓝攻防能力,可使用AI定期自动进行渗透测试,减轻员工的工作负担,企业更可根据定期提交的报告改善防禦能力,达到完美防守的目标。
![【超越游戏】攻防实战卡牌盛会解构安全策略思维 预测入侵链精准阻截黑客入侵]()
中港网络安全协会副会长Dicky 提醒企业在遭受入侵后必须冷静处理,尽快调查清楚事件起因及损失,才能作出适当的回应。
冷静应对入侵事件 先评估损失后行动
接近活动尾声,中港网络安全协会副会长 Dicky Wong 亦就企业最害怕面对的勒索软件攻击进行分享,他说很多企业在遭受勒索软件攻击,导致系统及档案被加密后,很多时都难以保持冷静,以为必须尽快交赎金才能解决问题。他强调即使受到勒索软件攻击,对方未必一定好像勒索信上所说,已盗取企业的机密数据,所以如企业已採用有效的备份方案,而且在调查后亦没有发现任何数据外洩痕迹,根本毋须交赎金,更何况对方也有可能在收取赎金后出尔反尔。因此管理层必须保持冷静,才是最佳解决问题的态度。
