電子靶場除了讓訊息安全專家模擬網絡對抗外,這種演練方法也可應用在電子鑑識上。電子鑑識是現代法醫科學內一門新分支,倚靠嚴謹科學驗證,不斷反覆檢驗犯罪現場所發生的種種可能,非常着重取證的充份性、完整性及可重現性。在這一點上合乎「世界最古的法醫學著作」《洗冤集錄》開篇第一句話︰「獄事莫重於大辟,大辟莫重於初情,初情莫重於檢驗」,其實就是證據至上。
不過我在課堂常常和學生說,法醫和電子鑑證專家收集證物進行檢驗,都面對一個問題:雖然可以嘗試不同檢驗方法,但證物只有一件,所以可用方法相當有限。
相對於法醫,電子鑑證專家有一個特殊優勢,就是如果檢測範圍屬於數據和系統,我們可以將其無限複製,再配合不同場景及手法測試。這個特性不僅局限於數據層面,如果配備適合硬件,甚至可以把硬件層面場景也完全重現。電子靶場則可以成為模擬測試沙盒,盡可能重現整個犯罪過程。
一些高階電子靶場不止是模擬單機或單一系統,而是建基於雲端系統,並模擬複數關聯系統供我們訓練。假設一台伺服器被攻擊,其他處於同一網域的系統,往往也成為攻擊者跳板,所以調查攻擊者入侵手法時,我們不能忽略關聯過程,這就是我們做漏洞研究或電子鑒識時所說的「攻擊路徑」。
以一個網上銷售數據庫被黑客盜取資料為例,一般來說,黑客首先要越過防火牆,然後進入網站伺服器獲取權限,接着利用權限欺騙軟件伺服器,由數據庫中調出目標數據。所以在進行鑑識時,如果我們只檢驗受害機器,而沒有把關聯機器和系統一併檢驗,我可以保證過程中絕對有盲點。
如果一個高階電子靶場,利用雲端系統模擬複數關聯繫統場景,應用在電子鑑識中,作用可以超乎想像。試想一下,一個能夠隨意穿梭時空、身處任何場景的調查員,攻擊者手法絕對無所遁形。
TOZ聯合創辦人
龐博文
;){kind=link}
;){kind=link}
;){kind=link}
;){kind=link}
;){kind=link}
;){kind=link}