全國性大規模攻防戰!政府自製攻擊事件作壓力測試!

假如一間企業要進行資安漏洞測試,滲透性測試會是一個常被使用的方法。所謂的滲透性測試,是指通過模擬駭客的手段去攻擊企業現有設備及網絡,而這些測試往往都會在普通員工不知情的情況下進行,以便一同找出欠缺資安危機意識的員工。但是在政府或國家層面又應如何進行測試?

其實很多先進的國家都擁有自家一套測試方式,每一種測試方式都有不同的要求。其中以美國及歐洲的測試方式最具代表性及參考價值,以下將會為大家介紹一下美國的「Cyber Storm」。

美國國土安全部(Department of Homeland Security)
國家層面的測試,不得不提由美國政府推行,美國國土安全部主導的「Cyber Storm」, 說得上是全世界首個針對國家層面的資安測試方式。有關計劃自 2006 年開始便進行第一次全國性資安測試,在首次測試期間,便已成功與 115 個政府部門作聯合測試工作,有關測試工作還包括了重要的政府部門,例如聯邦政府、地區政府及公營機構等。

第一次的測試內容比較簡單,包括測試參與機構在面對網絡攻擊時的反應速度及模擬針對基礎設施的攻擊,包括當時十分流行的網絡攻擊方式!並同時針對現有的網絡安全政策作出檢討,包括檢討是否足夠應對日新月異的網絡安全威脅,另外亦會就不同部門之間的協作進行檢討。

香港政府的資安測試
自 2006 年開始,美國每隔兩年便會進行一次「Cyber Storm」,現時香港政府亦會不定期聯合不同部門進行小規模的資安測試,主要測試常見的網絡攻擊方法,例如:分散式阻斷服務攻擊、塗改網頁、入侵網絡及資訊系統、勒索軟件、惡意程式及敏感資料外洩等等。

然而有關測試仍有可改善空間,事關對比起網絡攻擊,行政上的各種事宜,例如:處理相關事宜時,負責支付費用的部門、部門之間的溝通、如何提升反應速度等等,這些才最值得深究。所謂的資安防禦,由於香港政府沒有能力自行開發方案,基本上是採購不同資安廠商的產品,而這些產品相信已能提供應有的防禦能力,而且有國際權威機構作測試,香港政府的測試比較像「試用」,其意義亦有明顯分別。

「Cyber Storm V」可作參考
香港政府其實可以參考美國國土安全部最新的「Cyber Storm V」 測試,以改進現有測試。在 Cyber Storm V 的測試之中,美國當局考慮了網絡攻擊模式的多變性,因此其測試重點已由以往針對個別安全風險,例如:DDoS 等測試轉變為針對行政上的事宜,諸如建立訊息共享全新方式,並且建立一個能供不同部門作快速匯報威脅情報的途徑,而有關平台亦希望可建立模擬環境,並作為資安風險測試的地方,讓不同部門均更容易測試各種威脅的實況。

另外,當資安事故發生時,反應時間的速度決定了成敗,因此具遠見的政府已不再只針對攻擊事件作防禦測試,由於政府或私人機構,其實都是使用由資安廠商提供的方案作防禦,反而應該著重評估網絡事件及反應的速度,以及資源使用的優先次序等,始終對於國家層面的資安防禦,反應速度才是一切!