暗網潛航——虛擬戰場生死最前線(三):情報無價

  我在研討會經常說:「系統出現問題,如果你能發現或者對應,那就不是問題;但是如果問題發生,你也不知道,那才是大問題。」安全監控中心(SOC)最重要的功能,就是預早洞悉問題,並作出對應。

  我在課堂上常常和學生說,SOC的「氣勢」應該像《倚天屠龍記》中九陽真經的一句口訣:「他自狠來他自惡,我自一口真氣足。」其本質不是主動攻擊敵人,而是如何發現和對應。不過我又不是先知,如果在被攻擊前就知道?

  那就是:「Intelligence is never too dear.」 (情報無價),出自英國伊利沙伯女王的特務頭子法蘭西斯·沃辛漢爵士,而我一直把這句話寫進教材之中,過去十多年都要求學生永遠記着。

  SOC能有效運作,最重要的是情報。情報分漏洞(Vulnerabilities)及危機(Threats)兩種。其中漏洞情報分為已知的或未知的(Known / Zero day vulnerabilities),已知漏洞有數據庫記錄,各地政府都設有國家漏洞數據庫,可免費獲取數據。但也有一些廠商聲稱付費就能取得更多漏洞資料,到底兩者有沒有分別?其實不管是否收費,他們的數據都不全面。

  舉個例子,有一件產品從來都沒有在美國出現,美國漏洞數據庫又怎會有它的資料呢?雖然各國數據庫會互相交換資料,但你相信他們會全盤交出具戰略意義的漏洞嗎?WannaCry勒索軟件所使用的漏洞,其實美國國家安全局早已知悉,但一直藏起來不向外公佈啊。

  至於未知漏洞,則是世界各地的漏洞研究隊伍、信息安全專家或黑客發現的新漏洞。這些漏洞「有價有市」,存在於暗網(deep web)黑市買賣、信息安全專家的非公開漏洞交易平台或情報交換網絡當中。這些交易平台一般人難以觸及察覺,主要買家是各國執法機關、軍政部門或信息安全公司。

  所以,專業的SOC除了會根據用戶需求,同時導入多個相關數據庫,並會有一支未知漏洞研究隊伍及鑒證調查專家小組,處理未知漏洞。要判斷SOC是否專業,問幾個問題就知道:你們擁有漏洞研究隊伍嗎?他們公開發表過甚麼漏洞?你們擁有鑒證調查專家小組嗎?他們曾經在法庭上擔任過專家證人嗎?

  篇幅所限,下周我會談及另一個重要情報:「危機情報」(Threats Intelligence)。

TOZ聯合創辦人

龐博文


hd