在網絡安全的字典裡,我們有時會用到Red Team和Blue Team這兩個術語。在網絡模擬戰中,Red Team是攻方,而Blue Team就是守方。很多有志入行的年輕人,都對Red Team或入滲測試員(Pentester)的工作很著迷,但我個人認為事故應變專員(Incident Responder)的角色更加有型。
甚麼是事故應變專員?
簡單比喻,他們就像救火隊,一旦檢測到網絡攻擊就馬上執行緊急應變程序,評估災情,處理突發情況。他們廢寢忘餐地努力,就是為了一個目的—盡可能減低網絡傷亡。
近年網絡事故在世界各地接二連三發生,香港也不能獨善其身,去年有航空公司的資料外洩事故就是明顯例子。因此業界已開始重視網絡事故處理,而多間大型企業亦開始建立或擴充自己的事故應變小組。
應付網絡事故到底是怎樣一回事?
老實說,這絕非一件易事!因為每當察覺到問題時,其實黑客已經發動了攻擊,甚至已造成了破壞。換言之,在天時、地利、人和之中,已被敵人搶佔天時。所以地利及人和便成為決勝關鍵。
地利是指網絡環境。哪個伺服器存放著重要資料?是否有網絡分隔?這些資料都能幫助應變專員推測黑客的攻擊途徑,再因應情況展開追查或阻擋入侵。這看似理所當然,但網絡環境錯綜複雜,而且不時改變,要掌握最新最準確的資訊,其實並不簡單。
人和是指團隊合作。網絡事故處理並不是單打獨鬥的工作,相反需要各部門的支援才能應付危機。誰人負責下終止系統運作的決定?誰人負責通知公眾及傳媒?試想像一下,在兵荒馬亂之際,要保持有條不紊的溝通,同時又要取得各團隊成員的信賴,這可不是單靠一兩次演習就能訓練出來的默契。
雖然事故應變專員的工作並不輕鬆,但同時這也是一份充滿挑戰及前景可觀的職業。現今網絡保安的方向,正由怎樣防止轉為如何應付。根據這個趨勢,我相信市埸對事故應變專員的需求只會愈來愈大。
文:鄧穎暉
香港電腦學會網絡安全專家小組成員,於電腦業界從事多個範疇,現於電力公司任職網絡保安經理。