網絡保安可說是場激烈的攻防戰。網絡威脅層出不窮,縱使保安方案廠商及專家致力埋首安全防護,然而企業保安政策和終端使用者行為,往往才是最弱的一環,讓黑客有機可乘。
卡巴斯基實驗室深明保安推廣和教育的重要性,是以連續7年舉辦國際學生會議,廣邀全球大學學生及研究生,就保安議題提交研究項目,又請來各地保安專家、科學家和研究員,提供一個學術及保安技術交流平台,探討網絡保安問題。今年,卡巴斯基實驗室以「CyberSecurity for the Next Generation」為題,收到逾900份研究項目提交申請。卡巴斯基實驗室教育動力副主管Natasha Obelets透露,相較去年600多份申請,今年踴躍得多,其中以亞洲地區學生最為積極,佔總申請超過一半,提交逾500份研究項目申請。
推廣保安兼吸引學界人才
秉承往例,比賽合分為三個階段:首階段進行地區篩選,4個地區各自挑選入圍學生;次階段由入圍學生進行研究項目簡報,爭取地區代表出線機會;最後,12位來自8個國家的地區代表,須接受卡巴斯基實驗室的5項挑戰,除考驗參賽學生的保安知識水平,亦能充分展示他們的創意、臨場反應、保安攻防技巧、簡報和研究技巧及水平。
是次會議聚焦5大保安議題:一、新興平台帶來的新威脅;二、如何實現雲運算、虛擬化及海量數據基礎設施保安;三、未來防護技術;四、企業基建保安;五、保安教育。Obelets不諱言,會議目的是想藉此招攬保安技術人才,「無論每年有多少學生畢業,保安專才永遠渴市。卡巴斯基實驗室當然希望能透過比賽,招攬最優秀的研究人員,但我們的目光並不止於此。透過舉辦這類國際性學術活動,盼能引起更多學界和學生關注,吸引更多專才投身保安業界,助我們推廣保安技術的重要性,為學術界、企業和保安業界提供交流平台及機會,才是我們最終的成就。」
為此,Obelets的團隊每年均為會議注入新元素,例如今年即添加了錄影簡報,參賽學生被假設為2020年的媒體,報道當時最值得關注的保安課題。此挑戰除可測試學生的簡報及多媒體技巧,亦可進一步了解新生代對未來保安威脅趨勢的看法,讓他們發揮創意。此挑戰最後由來自倫敦大學皇家哈洛威學院(Royal Holloway)之學生代表David Korczynski,憑藉其天馬行空的創意,及輕鬆惹笑的報道手法突圍而出。
30分鐘成功入侵政府部門網絡
學生地區代表除可會於國際性會議上,與來自不同國家的菁英交流保安心得,學習其他大學的研究專長,亦有機會向國際頂尖保安專家及學界領導人物取經,由專業人士引導進行各種保安挑戰。此外,會議亦安排專家探討不同的保安課題,其中,卡巴斯基實驗室環球研究及分析團隊高級保安研究員David Jacoby,即於會上分享其黑客經驗,以及探討企業現正面對的保安挑戰。
「我們到底在面對怎樣的保安漏洞?不少人認為是零日攻擊(0-day attack),或進階持續性滲透攻擊(Advanced Persistent Threat,APT)。事實上,世上沒有能完全堵截的漏洞,企業網絡永遠有新的零日攻擊出現,但我們最需要擔心的真的是零日攻擊嗎?」為了證明他的論點,他與某政府部門主管安排了一場保安攻防實驗,在不使用專業黑客工具下,測試政府部門的網絡保安有多嚴謹。協議下,部門主管讓Jacoby嘗試入侵該政府部門網絡,前題是是次入侵不會預先通知其IT部。
結果他只花了3分鐘,即成功經由鄰接政府大樓的咖啡室大刺刺地進入該辦公大樓;5分鐘後,他找到了打印室,成功將筆記簿型電腦接入該大樓的打印網絡,並且假裝成IT部員工,須進行維護,直截了當問員工取得合法存取的密碼。10分鐘後,他已成功在該網絡安裝了虛假的後門程式;30分鐘後更成功下截大量用戶帳號及密碼,以及其他有用的資訊。
「企業漏洞層出不窮,最常被黑客利用的漏洞,往往是10年前已發現的漏洞。坊間常為零日攻擊做文章,其實真正的問題是企業真箇關心網絡保安嗎?」Jacoby笑言網管人員與管理層往往無法達成共識,無論IT部要求投放多少資源在保安上,對管理層來說永遠太多。即使保安專家埋首發掘保安漏洞,向企業匯報,然而企業得悉後往往沒有即時採取保安措施,待爆發保安事故後才亡羊補牢,這才是問題的核心所在。
沒有留言:
發佈留言