作者:Mandiant 港澳區總經理徐伊芬
每當有重大活動舉行,具破壞性的網絡攻擊風險便會增加。要維護大型活動的網絡安全需要獲得潛在攻擊者的最新情報。同時,主辦單位需要制定詳盡的網絡安全策略,並在活動舉行前擬定技術解決方案以加強安全防禦,以便在出現問題時能夠及時支援系統運作。
在大型活動前及舉行期間需要考慮以下三大要素:
- 熟悉網絡環境:預先準備、強化完善及測試演練;
- 預測網絡威脅:測試、管理及防禦;
- 應對網絡攻擊:即時應對、隔離及補救。
熟悉網絡環境
要完善活動網絡安全系統並達至主動防護,需在大型活動開始之前,便已進行網絡安全部署。除了了解潛在攻擊對手外,亦需讓執行人員作好準備以便支援操作流程和配備所需技術,隨時作出應對。
要熟悉網絡環境,主辦方需要考慮以下關鍵要素:
• 確保系統進行監察及調查警示,並能夠主動找出攻擊者以解除威脅;
• 於整個網絡環境部署端點偵測技術,對所有帳戶及對外服務及通訊進行多重身分驗證;
• 透過最新的威脅趨勢訊息為即將面臨和出現漏洞的威脅設定警報;
• 監察社交媒體、網誌、論壇、新聞網站和聊天等應用程式,以防網絡威脅、錯誤資訊及虛假情報出現;
• 與相關國家機構合作交換最新網絡安全情報。
為加强關鍵基礎架構的網絡安全,應進行風險評估及驗證控制,以檢視網絡環境和關鍵數據的安全和完整。同時,企業需假設黑客以不同方式進入網絡環境,並確保定期記錄及掃描網絡上所有對外資產。
預測網絡威脅
面對具破壞性的網絡攻擊風險增加之時,測試便會變得極重要,需要對所有對外資產進行臨時深入測試,檢視内部團隊及系統內的檢測、預防和應對的能力,及測試團隊於真實事件發生時的應對及所需時間。
實時監察現況是預測網絡威脅的關鍵:
• 需建立情報室,以整合營運現況、網絡情報和外部機構的資料及通訊;
• 透過網絡情報以持續監察、報告和分析相關數據;
• 提高警惕、加强追捕及監察線上可疑活動;
• 持續驗證對主動攻擊行為的安全控制的有效性;
• 限制關鍵系統的一些對外通訊。
企業視為最有價值的資產,亦是攻擊者所覬覦之物,保護重要資產是重中之重。著重保護具有高價值的基礎架構和網絡系統,以限制或阻截對手對關鍵系統的訪問,並確保得到各方支援,以防不時之需。
應對網絡攻擊
有效的事件應對不會局限於技術審查、遏制危機及從事件中恢復,還包括在法律、監管和面對公衆時與決策者的溝通及風險管理。要做好這一步還需從潛在攻擊者的角度思考現況。只從單一角度做準備,而不運用實際經驗及已知的威脅情報,不足以解決問題。
在重大賽事結束後,花點時間探討此次成功的原因、遇到的挑戰及讓方案更完善的建議。藉此能從事件中學習,並盡可能地嘗試分享更多相關資訊,以避免類似的網絡攻擊再次發生。
現今面對網絡安全挑戰已無法獨善其身,網絡安全系統的完善度和成效仍需持續關注,並投入資源去支持。一份完備的網絡安全策略議案不僅僅是對主辦方,對所有參與者、觀衆、和世界各地的看衆而言,都是百利而無一害。