從駭客角度檢視企業的資訊安全弱點

    數據洩露和駭客攻擊已成為一種常態，企業遭受這些攻擊而登上新聞頭條已不再是一件新鮮事。只要企業具有價值，並且能通過任何一種媒體或渠道與外界互動，它就有可能成為駭客的目標。

    在過去的數年中，多間跨國企業都曾遭受駭客的入侵，並且成功取得企業的內部機密資料，導致業務停頓，不但造成嚴重的聲譽損害，甚至遭到監管機構罰款。即使一些規模較小或本地企業也有機會成為駭客的目標，例如駭客會將這些企業的公司電腦、檔案及伺服器進行加密後，再向企業勒索指定數量的加密貨幣或贖金，導致企業的財務損失。

    隨着澳門《網絡安全法》的正式實施，不少本澳企業都已加強關注網絡安全的問題，透過進行定期的安全風險評估、漏洞掃描或滲透測試等，以評估系統的防禦能力和識別安全漏洞問題。然而，近年不少安全事故都是由人為所引起的，往往這些弱點都難以透過一般技術評估或滲透測試所發現，而紅隊演練(Red Teaming)就可以補足此問題。

    紅隊演練是指在不影響企業運作的前提下，進行模擬真實的網絡攻擊。紅隊成員會透過模擬攻擊者的思維，在偵察階段使用各種工具和技術，盡可能地多收集受害者的資訊，包括通過開源情報，網絡和暗網搜索企業的相關資訊（例如用戶名稱、密碼、業務規則等），使其攻擊更容易成功。

    成功的紅隊演練需要周密的計劃，也需要專業的技術能力，難以僅靠企業內部人員可以獨立完成。根據我們的經驗，成功的紅隊演練需基於以下三個原則 (1) 知識混合：紅隊演練需要結合專業的網絡攻擊技術和業務理解才能更有效達到目的。 (2) 了解對手：成功的紅隊演練需要徹底了解潛在的攻擊者，這意味着，除了擁有潛在攻擊者的技能和知識外，團隊還需要具備像潛在攻擊者的思考模式。 (3) 聯合小組：團隊合作十分關鍵，成功的演練結果來自於紅隊和防守隊雙方的共同努力和專業知識的結合。

    在現實的網絡世界中，網絡攻擊並不是顯而易見，且其後果是難以想像的。紅隊演練可令企業體驗網絡攻擊的速度和強度，並讓企業了解到其目前的防衛能力和漏洞弱點，以訂立不同的網絡安全改善方案及措施，加強企業保護的能力。

    德勤中國風險諮詢副總監  莫嘉豪

    德勤中國風險諮詢經理  梁嘉碧