WannaCry的啟示（二）：整合式自動化網絡保安　阻擋工業化黑客威脅

日期 : 2017年7月19日

機構 : 思科系統（香港）有限公司

作者 : 思科香港、澳門及台灣區技術總監伍偉強

 

WannaCry事件肆虐全球，令業界更關注網絡保安問題，亦說明黑客活動已變得工業化。WannaCry程式介面具備多國語言，更配備客戶服務通訊工具，黑客歡迎受害者隨時聯繫，可見黑客再不是閉門作業，而是變得更高調。現時我們在互聯網的潛藏世界Dark Web發現各種惡意軟件及服務出售，更可僱用黑客發動針對性攻擊。黑客工業擁有完善的生態系統，有軟件程式員負責編寫惡意軟件，另有網頁程式員負責設立虛假網站。這「行業」之所以蓬勃起來，全因現時任何資料都有其價值。除了銀行帳戶，手機資訊、社交媒體帳戶甚至醫療紀錄在黑客市場內均有價有市。所有能夠儲存資料的裝置，例如個人電腦，甚至辦公室印表機，均會成為黑客攻擊的目標。

可是，企業現時還是處於被動狀態。《2017年度思科網絡保安報告》指出，有65%的企業使用高達6至50多種不同的保安產品，但仍只可以應付56%的保安警報，其餘接近一半的警報則從未被處理。原來這些方案之間無法互相溝通，缺乏自動化，令保安人員需要花費很多時間、精力、人手處理問題。黑客就是看準這些漏洞，大肆入侵企業網絡，然而業界現時平均仍然需要100天才能發現網絡裡的威脅。儘管現時有保安系統已把威脅偵測時間（Time-to-detection，TTD）降低至數小時，但仍意味著在現時層出不窮的攻擊下，惡意軟件仍然有機會入侵網絡

（圖片來源：思科香港)

這類網絡攻擊除了導致金錢上的損失，還有可能影響生活。英國國家醫療服務（National Health Services，NHS）遭WannaCry勒索軟件攻擊，令數以千個非緊急預約要被取消，多架救護車需轉介至其他醫院。如果黑客目標是與我們生活息息相關的物聯網系統，後果則不堪切想。事實上我們已看到黑客攻擊美國三藩市鐵路系統及烏克蘭電網等案例，這些決不會只是安裝防火牆就能解決的問題。總的來說，網絡攻防戰一定會持續下去，所有商業及公共機構必須由被動轉為主動，採用整合及自動化的網保安架構，配合網絡保安情報系統，並從攻擊週期前、中、後階段，反思其保安系統的成效。