暗網潛航——虛擬戰場生死最前線(四):苟能知己,則安有不利乎?

     上周提到,信息安全監控中心(SOC)必須獲取外部情報才可確保安全性及可用性。其實是否已經足夠呢? 《孫子兵法》有說:「知彼知己,百戰不殆」,外部情報只是「知彼」,那麼到底甚麼是「知己」?

  知己就是對客戶整個系統架構的理解。我不是開玩笑,過去24年我進行無數次信息安全審計,九成客戶電腦系統的倉存清單(Inventory)及網絡拓撲圖(Network Topology)都沒有更新。硬件不清不楚,軟件更慘不忍睹,有時不禁反問對方:你知道你的內部使用者究竟在做甚麼嗎?怎樣去保護及監控它們?

  要達到知己有兩種方法:「主動發現」和「管理制度」。今次我先簡介如何主動發現網絡系統究竟有甚麼奇怪東西。

  究竟在須保護的網域裏,有多少台主機硬件?有多少個操作系統?操作系統究竟在運行甚麼軟件、有多少使用者、使用哪個連接埠傳輸數據?不過,不少IT部門只有一幅很多年沒更新的網絡資料,要梳理這些系統資料,不就是要「考古」嗎?

        其實,只需要利用漏洞掃描器(Vulnerability scanner)就能解決問題。這種軟件能定期自動檢查系統是否有已知漏洞外,另一重要功能是快速掃描「發現」及「勘探」網絡,尋找系統到底有多少台物理主機、連接埠等,並提出警示,例如系統有沒有安全更新?有沒有系統突然消失在網絡架構中?

  漏洞掃描器分為網絡硬件掃描器和軟件掃描器(醫生都有分內外科醫生啦),須一併使用,否則只能夠發現一半東西,加上漏洞掃描器本身是「漏洞攻擊模擬器」,透過模擬攻擊檢測目標系統有沒有漏洞,以及對抗漏洞的能力,所以使用前請先找有經驗及合格的安全專家做設置,因錯誤使用而打死自己的系統,並不罕見。

  唐太宗則說過,「苟能知己,則安有不利乎? 」知己之後,才能做好防禦工事,有效應對對手的攻擊。

TOZ聯合創辦人

龐博文


hd