本港IT保安愈來愈多,隨著企業數碼化轉型,透過網絡空間經營的業務,愈來愈多,但保安事故頻生,專業人手嚴重不足,窒礙數碼行業創新和發展。
去年,羅兵咸永道(PwC)會計師事務所,本港舉行了首屆HackaDay比賽,模擬不同網絡場景,受黑客的攻擊,邀請本港大學生充當黑客,入侵模擬企業場景,提高網絡保安水平,激發學生對IT保安的興趣。
PwC風險及控制服務,為本港處理企業IT保安事故(Incident Response)最大團隊。該部門合夥人顏國定回憶,2006年他加入PwC之時,部門只有三人,至今達六十人,十二年間擴大廿倍,可見本港對保安事故控制需求急增。
顏國定說,風險及控制服務工作,部分亦是黑客角色;分別在扮演「白帽黑客」,也就是「道德黑客」,負責為企業系統和方案尋找保安漏洞,或當系統遭入侵時尋找蛛絲螞跡,重組黑客入侵過程,並加以補救。
「HackaDay內的情境皆是模擬現實情況;從掃描漏洞,繼而攻入網絡,盗取密碼,更改設定,控制設備。均是風險及控制服務的工作範圍,通過模擬黑客行為,以促進網絡安全,或控制風險和資料外洩。」
物聯網成入侵目標
今屆HackaDay除了包括攻擊Web、Network、Binary三項,今年再增加了物聯網(IoT)的智能家居和智能汽車。HackaDay要求參賽者指定時間內,找出弱點並攻擊,找到弱點和攻擊成功獲得分數,最多分數隊伍就會勝出。
不少企業網站受到攻擊,甚至通過弱點掃描或監聽技術,被黑客找出弱點。企業網絡內也可能有不同系統和數據庫,黑客入侵後要決定從攻擊的次序,Binary則是如何拆解檔案,甚至以逆向工程還原內容。黑客常以還原程式源碼,破解系統漏洞。
顏國定說,上述情況全都是據真實環境仿製,只不過已沒有敏感數據。當企業被攻擊後,專業隊伍亦是首先隔離病毒,先行恢復業務運作。然後,團隊逆向重組黑客入侵過程,追查入侵的足跡,清除惡意程式和堵截入侵。
「處理IT保安事故,其實要模仿黑客行為,只不過彼此目標不同,我們是為了保護網絡,確保網絡空間安全發展。不少系統面世之前,亦邀請白帽黑客作模擬攻擊,找出漏洞和設計瑕疵。部分企業亦會邀請作第三方PwC執行入侵演習,核實系統安全程度,是否符合預期。」PwC甚至有模擬的網絡保安中心,演習攻擊和防守,以助企業設計更完善保安系統。
業內預計,隨著IoT興起,未來保安事故必然大增。HackaDay新增了IoT內容,顏國定建立了家居和智能汽車環境,利用工業用IoT協定和技術;參賽者先從無線Wi-Fi和路由器,攻入智能家居和設備,再控制智能汽車轉向和啟動燈光;結果其中有五隊成功攻入了智能家居,三隊控制智能汽車。
今次中大組成隊伍獲得冠軍。第二名則是城市大學,第三是理工。中大已是連續兩年蟬聯HackaDay冠軍,除了兩位是電算系學生,亦有兩位數學系同學。
「黑客利用左腦邏輯較多,數學系學生較有優勢。尤其參考攻擊模式,更是數學家的專長。」顏國定說,學生參加HackaDay之後,親身領略過解破系統興奮,不少均有興趣加入處理IT事故,或深造研究網絡保安,間接促進了行業發展。