媒体报导 @ IT Square
(从左至右) 中信国际电信CPC安全服务交付及运维总监黄钧达、信息科技服务与数据科学部助理总监林宇铃、Fortinet 东南亚与香港资讯安全总监邝伟基分享网络安全的应对方案。
网络攻击肆虐,机构受到攻击往往只能採取防御,不过防守始终难以一成不变。
中信国际电信CPC一直有提供代管的网络安全服务TrustCSI,透过多种业界先进工具;包括保安资讯和事件管理(SIEM)和端点防御及反应(EDR)方案等。但是保安形势不断转变,中信国际电信CPC推出了TrustCSI 3.0,加入渗透测试和「红蓝攻防」形式,加入人工智能(AI)自动化,时刻提升网络安全。
中信国际电信CPC安全服务交付及运维总监黄钧达说,例如钓鱼邮件和恶意网站连结,可以利用防火墙或软件工具过滤,亦难免会有漏网之鱼。
「部分连结加入其他语系鱼目混珠,例如俄罗斯语「西里尔」字母,部份字母与英文字母非常相似,即使经验有素用户也可能会中招。」
TrustCSI 3.0,加入渗透测试和「红蓝攻防」形式,加入人工智能(AI)自动化,时刻提升网络安全。
近年,不少研发发现,渗透测试和「红蓝攻防」亦可持续性改善防御能力。
Fortinet 东南亚与香港资讯安全总监邝伟基说,市场上最普遍参考美国MITRE推出的ATT&CK架构下,瞭解与分析黑客大部分的攻击手法。
但是,即使有明确参考框架,黑客攻击时刻转变,难免挂一漏万而被黑客得逞。例如不少人仍以为,钓鱼邮件是最常见攻击,其实上半年Fortinet侦察出大量以(Removable media)抽取式储存装置与媒体攻击,现已佔去入侵攻击一半。
黑客在USB记忆体驱动器植入恶意软体,窃取主机敏感资讯,档案可从一个系统接力传送另一系统。
邝伟基说,攻击手法转变,原因不一而足,其中可能是疫情后远程用户惯用USB和NAS等储存,又缺乏适当保护;另一个原因来自「营运技术」(OT)系统,以往OT缺乏保护意识,感染抽取式储存,终于变成了攻击源头。
黄钧达说,中信国际电信CPC亦有提供数据保护方案,防御抽取式储存的攻击,实施时期可能会影响正常业务,员工适应需时,持续性去改善防御仍有其必要。
黄钧达说,客户须清晰数码资产分佈,而以渗透测试软件,可对数产建立可视性;并跟踪修补漏洞最新状态,非所有系统都可升级至最新版本,但至少清楚资产位置和受保护的程度,设计出应变的计画。
邝伟基说,例如以往Web应用防火墙保护(WAF)只抵御网络攻击规则,以阻挡IP 位址、HTTP 标头、HTTP 主体、URI 字串、跨网站命令档(XSS)、SQL injection及OWASP等传统漏洞,黑客又採用更先进的手法,例如记忆体篡改和Heap缓冲区溢位攻击等,例如漏过Message Queuing服务攻击。
「不少应用开发採用大量开源软件,有时用户也不知道自已应用,已利用有关服务。」对基建和应用缺乏可视性,也是何以须要渗透测试,并及早加入相应保护。」
中信国际电讯CPC一直研究数据技术,开发多种AI和训练模型。该公司信息科技服务与数据科学部助理总监林宇铃说,AI可实现自动化,并减轻保安分析工作量。
林宇铃说,IT保安最大漏洞其实是人,因为人会疏忽和犯错,为黑客制造可乘之机,团队之间须有清晰沟通,并保持警惕,除了靠演练提高保安意识,系统设计确保处理手法一致,并要尽力堵塞漏洞,不断测试更新。
林宇铃说,自然语言处理技术和AI模型,可补充人手疏忽和不足。中信国际电讯CPC利用AI辅助渗透测试,以应对日新月异的攻击。
「理论上,渗透测试愈密愈好,现实上一般机构难以有足够保安分析人员,经常执行渗透测试。AI工具提供应用,为测试产生「恶意负载」(Payload),即时产生进入目标主机,并产生远端系统作攻击的恶意代码。」不少安装基建和开发应用人员,本身安全意识并不高,每次完工要求保安分析人员检查,其实不切实际,AI可读取系统后作预测,按照系统或程式产生恶意负载攻击代码,并定时自行作渗透测试。
AI从不同来源发现新攻击手段后,产生新渗透测试代码,定期自动执行,确定即使黑客不断演变,机构预先掌握先机,与时并进,及早採取保护措施。
一般查询 / 销售热线 +852 2170 7401
客户服务热线 +852 2331 8930
Copyright © 中信国际电讯(信息技术)有限公司 CITIC Telecom International CPC Limited