網絡攻擊層出不窮 三大對策助企業化險為夷

相信不少 IT 管理層的願望是「網絡零意外」。但是對於網絡保安而言,這可算是不切實際。過去 10 年,網絡攻擊拖垮整個企業的事件已是累見不鮮。不過,優秀的網絡安全事故應變(Cyber Incident Response),不單可以減輕事故所造成的破壞,甚至可以提升企業形象,轉危為機。

據網絡保安培訓機構 SANS 的研究,指出由發現事故開始,事故應變大致可分為 5 個階段:

鑑定(Identification):確認是否網絡安全事故,再繼而評估嚴重性;

遏制(Containment):控制入侵範圍,避免進一步擴大;

消除(Eradication):分析攻擊來源,再加以清除;

恢復(Recovery):恢復正常業務運作,並監測攻擊會否捲土重來;

檢討(Lesson Learnt):從事故中學習,加強網絡保安能力。

篇幅所限,筆者未能逐一講解。反而,筆者希望能把自己的實戰經驗,歸納成之以下幾個要點分享:

靈活變通的戰術

某些企業,預早制定了非常詳盡的應變程序,並要求應變小組一步步照做。這是一個很理想的做法,只可惜實際上卻難以執行。

網絡攻擊種類繁多,而且千變萬化。這一刻我們認為黑客是來竊取資料,下一刻卻發現原來是勒索程式。如果硬性規定應變小組只可以跟既定程序,不但會阻礙他們隨機應變,還徒添心理壓力。

因此,筆者建議可以將硬梆梆的程序,分拆成多款「招數」。使用防火牆攔截是一招、檢查伺服器狀態,又是另一招。當網絡安全事故發生時,應變小組因應現場情況,將適合的招數像「砌拼圖」一般,拼湊成最有效的應變計劃。

業務部門積極參與

某些部門的主管,可能會覺得網絡保安事故只是 IT 部門的工作,因此未有及時參與應變行動。其實,在事故中遏制和消除階段,一些行動是會直接影響業務運作的。例如,當公司網站遭到入侵,關掉伺服器的確可以停止攻擊擴散,但與此同時,網站亦需暫停服務。這種時候,正需要各業務部門的全面配合,管理層才能有足夠的支援作出決定,保全大局。

檢討措施對事不對人

在檢討階段中,焦點應該放在哪些地方可以改善,而避免問「誰犯了錯?誰應負責?」例如事故是因為某位員工中了釣魚電郵而引發,我們不應把責任歸咎該員工。相反,我們可理解為整體網絡安全意識有所不足,公司應加強員工培訓。只有在正面的討論氣氛下,企業中的參與者才能夠消除顧慮,發表更多意見。

事故應變是一個博大精深的範疇,並非短短一篇文章可以全面解釋。筆者志在拋磚引玉,嘗試帶起多一點的注意和討論。現今業界發展的趨勢,正由怎樣「阻擋」網絡攻擊,轉化為如何「應對」。由此可見,事故應變將成為企業網絡安全不可或缺的一環。

以上內容純屬作者個人意見,並不代表本網立場。

 

鄧穎暉
香港電腦學會HKCS網絡安全專家小組成員

Click here to read the full article on 香港經濟日報 (Chinese only).