【创科广场】PwC打造黑客机械人 具实战经验对症下药
数码化转型加速,企业更依赖系统营运,遭黑客攻击风险和代价,亦随之大增。网络保安出现不少新方案;新一代防火墙,保护应用层的WAF, SIEM方案及托管服务等。
讽刺的是,保安产品过多,又构成了保安风险。市场合资格网络保安人员不足,加上金融机构为符合法规要求,竞争人才,以至保安人才,一直有巨大缺口。
网络保安人员的例行工作,不外乎是调查事故,并填补漏洞,确保软件版本符合安全并合规。系统看起来安全,不一定就是安全,系统一直运行,一旦升级和变更,又须再测试,工作繁重。
类似WAF安装不难,反而日常维护,尤其确保软件升级,仍达到安全要求,往往经常测试和漏洞/弱点扫描。碍于系统运行和预算,并非所有系统可以升级或修补,部分透过虚拟补丁(Virtual Patch)暂时修补;繁重管理背后,往往是挂一漏万,结果黑客乘虚而入。
近年应用开发DevOps加速周期,开发人员从开源GitHub下载,中间亦有不少漏洞。
另外,黑客变得专业化,分工精细,黑客工具网上采购,零日攻击和针对漏洞的攻击手法,可网上搜寻和分享,门槛大幅降低。看似固若金汤,其实可能不堪一击,看似是安全,实际未经考验,随时可长驱直进。
漏洞管理工具计有Tenable、Qualys、Rapid7多家厂商,配置并不容易,人手不足,往往无从也兼顾。
道德黑客
此消彼长,本港保安事故按年倍增。罗兵咸永道香港(PwC)的Dark Lab为本港最大保安事故应变服务(Incident response)团队,经验最为丰富。过去数年,事故飙升,2019年PwC网络安全及私隐服务,侦查了超过40宗事故,较5年前升超过10倍。
近年PwC推出保安服务产品,透过自动化技术,类似RPA机械人(Robotic Process Automation)、大数据及云运算,推出处理事故的衍生产品。
业内一向有「白帽黑客」服务,测试网络和系统是否足以抵御入侵;度身订造「走火警」,价格不菲。「走火警」训练只能偶尔举行,攻击威胁却无日无之,IT须靠技术和人才,加上严谨程序,才能维持风险水平。
PwC处理入侵事故的经验,发觉企业难以击退黑客,甚至手足无措,原因在于IT资产分布和数量,竟亦毫无掌握,更不知恶意程式的藏身点。
数码资产管理和统计,许多时是IT保安的短板;一般漏洞扫描工具,却很少整合资产管理,结果一旦受攻击,如何防御就茫无头绪。
PwC推出「道德黑客机械人」(Ethical Hack Bot),自动化漏洞扫描流程,以简化保安管理,减少人为的犯错。
黑客机械人为整合性的平台,结合防御弱点技术,再以机械人技术自动化威胁及弱点管理,「黑客机械人」可让团队及早准备,运筹帷幄,一旦遇上事故,就可有条不紊。
黑客机械人
PwC香港网络安全及私隐服务合伙人颜国定表示:「黑客机械人让保安主管及早作准备,订下处理优先次序。」
企业可能早有威胁及弱点管理(Threat Vulnerability Management)工具,黑客机械人不取代扫描引擎,可整合Nessus、Burp、Acunetix、Qualys等流行弱点扫描引擎,管理不同系统的扫描程序,定期作针对性扫描,再整合扫描结果,成为单一仪表板。
颜国定说,现代IT系统过于复杂,威胁弱点的管理,须依赖良好程序,管控遭入侵的风险,预先梳理好所有资产,包括拥有者和性质,以管理风险和减少攻击面。
弱点扫描可发现系统的弱点,并建议升级软件,碍于软件授权限制,网络保安人员每次可能扫描少量的机器,不会一次过大规模扫描。IT对资产的风险水平,缺乏全盘观点;黑客机械人整合数码资产发现(Asset Discovery)功能,加以整合以管控资产风险。
连接资产管理
一般弱点扫描,并没连接数码资产的「组态管理数据库」(Configuration Management Database,CMDB)整合,自动发现数码资产,并整理各项细节。
实际上,CMDB涉及数量庞大,究竟多少系统和设备接连系统,即使跨国机构,也不可能有全盘掌握。部分威胁及弱点管理,可能整合ServiceNow资产管理,建立自动化程序;不过工作量庞大,非所有机构能负担。
颜国定认为,关键任务的系统,应至少每月扫描一次,碍于人手紧绌,根本上不可能完成,黑客机械人自动化扫描,决定系统商业的拥有和开发者,自动检测安全水平,决定优先的次序,定时修改错误的组态,纠正一般易犯错设定。
网络保安必须从技术、人手、程序三方面,加以配合,黑客机械人非单纯是新技术,也解决了网络保安管治,包括人手紧绌和标准程序。
除了整合IT资产各项数据,自动发现主机和应用,黑客机械人也可以发出钓鱼连结,以训练员工保持警觉,并搜寻内部的敏感数据,例如是否有用户在公用档案夹,储存个人密码之类。
PwC团队具多年实战经验,总结用户教训,用户介面和功能,较为直接,更能对症下药,解决受攻击时各项挑战。
