我們想讓你知道的是
扮演網路世界鑑識英雄的資安事件分析工程師一職應運而生,他們在客戶系統遭受駭客攻擊時爭取時間進行採證,分析攻擊來源與行為,降低受「駭」災情,並提出資安系統改善建議,協助搭建資安防護網,消弭資安危害於無形。
文:郭慧
攝影:林冠良
隨著數位化浪潮席捲全球,有許多服務以線上模式進行,使得越來越多重要資訊存在於網路空間中,也讓資訊安全維護成為數位時代的一大挑戰。
因此,扮演網路世界鑑識英雄的資安事件分析工程師一職應運而生,他們在客戶系統遭受駭客攻擊時爭取時間進行採證,分析攻擊來源與行為,降低受「駭」災情,並提出資安系統改善建議,協助搭建資安防護網,消弭資安危害於無形。
「我在求學時期就對網路世界感興趣,也對駭客感到好奇,想要跟他們攻防對抗,因此踏入資安領域。」資訊工業策進會資安科技研究所副主任吳東杰說道。
在資安領域擁有豐富經驗的他,如今主要工作便是為客戶處理資安危機,當企業或法人遭受駭客攻擊,導致資料外洩時,便會委請吳東杰及其團隊出馬,分析根本原因、進行應變處置,以即時控制並降低災損,保護珍貴的資訊。
吳東杰觀察到,「特別是這幾年,由於數位發展及疫情影響,許多企業紛紛實施居家辦公;然而家中電腦的安全管理措施往往較為粗糙,也因此讓駭客有更多可趁之機。」
不只如此,近年來駭客不僅會針對攻擊對象「量身打造」攻擊模式,也以長期、隱晦的方式滴水穿石地竊取其客戶資料與研發機密。「這類資料一旦洩漏,將為企業帶來極大損失,甚至影響商譽,這也是為何維護資訊安全如此重要的原因。」
蒐集犯罪證據 網羅駭客蹤跡
作為資安事件分析工程師,吳東杰與團隊應對網路攻擊事件時,主要從「數位採證」、「資料分析」、「報告製作」三大部分著手。
首先,當顧客回報系統遭受駭客攻擊時,他們便會攜帶採證儀器前往顧客公司,蒐集伺服器、資料庫、電腦主機紀錄檔案等內容。在此階段蒐集的證據,不僅是分析駭客路徑的素材,也將成為重要的犯罪證據。
值得一提的是,正如警察會盡量保持犯案現場完整,資安事件分析工程師在蒐證過程中,也會借助專業採證儀器,以不影響資訊完整度的「唯讀」方式,降低電腦系統變更幅度,讓證據保持完整,同時還原駭客刻意抹除的入侵足跡,抽絲剝繭找出駭客究竟從何而來,又躲到哪去。
地毯式搜索 確認被攻擊範圍
在完成數位蒐證後,資安事件分析工程師接著就會開始分析採集到的證據,「我們會分析電腦主機紀錄檔案、記憶體、網路封包資訊等,確認駭客身分究竟是哪些外部IP位址,並將這些IP位址阻絕在企業網路外。另一方面,我們也會清查有哪些虛擬私人網路(Virtual Private Network, VPN)或系統帳號已經「淪陷」,並將其停權,透過這些方法先將駭客擋在門外。」
在完成初步「止血」後,資安事件分析工程師接著會針對可能受損的範圍進行地毯式搜索,「一家公司通常有多個區域網路,而與被入侵電腦處於同一個區域網路內的其他電腦,往往也會受到波及。我們便以這個區域網路為軸心層層分析,確認受損範圍與程度,並進行修復、軟體重灌等作業。」吳東杰說道。
他也表示,由於可能成為駭客攻擊目標的領域相當廣泛,手法更不斷推陳出新,因此資安事件分析工程師除了在事件中必須極有耐心地與駭客攻防,更得時時精進自己的資訊技術,「我們常跟駭客來來回回地鬥法好幾次,有時他們已經入侵了很多地方,還會有恃無恐地故意讓資安人員發現自己,作為一種挑釁。因此我們必須不斷精進自己在軟體、硬體等多種領域的技術知識,才能在與駭客間的一次次戰爭中取得勝利。」
同時吳東杰也強調,對駭客的犯案手法抱有想像力,也是資安事件分析工程師很重要的特質之一。「在推理劇中常看到警察辦案時會設想如果自己是罪犯的話會怎麼做。
資安事件分析工程師其實也一樣,我們會假想如果自己是駭客,會如何入侵客戶的網路系統。透過這種換位思考與角色模擬,有時好幾天都無法偵破的案件,往往就解決了!」吳東杰笑道。
提供專業建議 加強後續資安維護
當找出受駭範圍,並進行應變處理後,資安事件分析工程師會將事件始末撰寫成報告,不僅記錄事件前因後果,也提供顧客未來如何加強自身資安管理的建議。「我們會讓客戶知道,究竟是什麼漏洞讓駭客得以長驅直入,他們未來又能如何防衛。」
吳東杰舉例,像是未定期更新電腦軟體系統、使用早已停止維護的舊版本,就可能因版本漏洞,而變成迎接駭客的大門。另外,也有駭客會喬裝成主管、資訊人員探詢公司系統的帳號、密碼,若是未加警覺,往往便著了駭客的道,因此企業平日的資安教育宣導也更形重要。
吳東杰也表示,駭客的入侵手法不斷進化,自己除了提醒客戶平時做好資安維護及教育之外,也不斷進修以面對每一次挑戰,「資安事件分析工程師跟駭客之間的戰爭是無止無盡的。我們打贏一場攻防之後,駭客可能不久又從另一個途徑捲土重來。而在這無止盡的戰鬥中,看到客戶的資安因為我們的努力變得更強韌所帶來的成就感,是讓我們不斷堅持下去的關鍵。」吳東杰說道。
本文經《台北畫刊》授權刊登,原文刊載於此