暗網潛航——虛擬戰場生死最前線(五): 攻守兩齊,奇正相變

  漏洞掃描是營運安全監控中心(SOC)的必備功能,能夠快速發現系統架構中危險的已知漏洞。也許有人會問,這個功能是不是傳聞中的「黑客術」麼?

  黑客術並不是在網絡下載一些木馬或入侵工具那麼簡單,而是專門因應信息網絡環境的格鬥技術。它有一整套嚴謹格鬥守則和戰術步驟,分為漏洞掃描(Vulnerability Scanning)、滲透測試 (penetration testing)和道德黑客術 (Ethical Hacking)。

  漏洞掃描是對大範圍網絡設備掃描已知漏洞(Known vulnerability),讓信息安全人員修復。它的優點是快速及範圍大,但無法發現未知漏洞(Unknown vulnerability)及漏洞之間的相互影響。

  完成漏洞掃描後,若深入測試系統安全,則可進行滲透測試。漏洞掃描除發現已知漏洞外,也會發現一些不能被修復的固有漏洞,或軟硬件上的邏輯錯誤和缺陷,信息安全人員利用這些弱點規劃攻擊流程,嘗試滲透系統。

  用這種方法找到問題,單純依靠升級或補丁難以解決,需要修改軟硬件運作流程或訊息處理方法才可以阻擋攻擊。它的好處是可以發現深入問題,但缺點是規劃攻擊所耗時間長,不能大範圍測試,而且非常倚賴測試人員的經驗。

  通過上述測試後,就具備道德黑客術測試資格了。該測試的針對性會比之前更集中,要求測試人員在一個幾乎沒有流程或邏輯錯誤的環境內,利用自己編制的特殊工具,甚至配合工程學或物理保安攻擊技術混合使用,測試定點目標。這種測試只會用在一些很關鍵或高危的環境,例如重點基建或持牌娛樂場等。

  不過,黑客術最重要的不是技術,而是「人」。就算你有世界上最強的安全工具,如果操縱者沒有相關能力,所有安全工具會全都是廢物。香港有航空公司曾經買了以億計的安全工具,結果還是被入侵!

  有人以為利用人工智能做漏洞分析及使用安全工具,能保護系統,不要跟我開玩笑吧!我營運多個安全監控中心,還不是要不停教學培訓人才嗎?如果沒有具經驗的人,決策最終都是沒用,在這24年的信息安全專家生涯裏我見得太多。我們只能做到工序上的自動化,加快速度和協助分析,但使用人工智能代替人類則從來沒有成功。

TOZ聯合創辦人

龐博文


hd