杂志精选》网路世界的鉴识英雄 资安事件分析工程师
资安事件分析工程师宛如网路世界里的警察与鉴识英雄,帮助客户抵挡来自骇客的攻击,守护资讯安全。(摄影/林冠良)
随着数位化浪潮席卷全球,有许多服务以线上模式进行,使得越来越多重要资讯存在于网路空间中,也让资讯安全维护成为数位时代的一大挑战。因此,扮演网路世界鉴识英雄的资安事件分析工程师一职应运而生,他们在客户系统遭受骇客攻击时争取时间进行采证,分析攻击来源与行为,降低受「骇」灾情,并提出资安系统改善建议,协助搭建资安防护网,消弭资安危害于无形。
「我在求学时期就对网路世界感兴趣,也对骇客感到好奇,想要跟他们攻防对抗,因此踏入资安领域。」资讯工业策进会资安科技研究所副主任吴东杰说道。在资安领域拥有丰富经验的他,如今主要工作便是为客户处理资安危机,当企业或法人遭受骇客攻击,导致资料外泄时,便会委请吴东杰及其团队出马,分析根本原因、进行应变处置,以即时控制并降低灾损,保护珍贵的资讯。
吴东杰观察到,「特别是这几年,由于数位发展及疫情影响,许多企业纷纷实施居家办公;然而家中电脑的安全管理措施往往较为粗糙,也因此让骇客有更多可趁之机。」不只如此,近年来骇客不仅会针对攻击对象「量身打造」攻击模式,也以长期、隐晦的方式滴水穿石地窃取其客户资料与研发机密。「这类资料一旦泄漏,将为企业带来极大损失,甚至影响商誉,这也是为何维护资讯安全如此重要的原因。」
资安事件分析工程师会借助专业采证仪器,搜集骇客的犯罪证据。(摄影/林冠良)
搜集犯罪证据
网罗骇客踪迹
作为资安事件分析工程师,吴东杰与团队应对网路攻击事件时,主要从「数位采证」、「资料分析」、「报告制作」三大部分着手。首先,当顾客回报系统遭受骇客攻击时,他们便会携带采证仪器前往顾客公司,搜集伺服器、资料库、电脑主机纪录档案等内容。在此阶段搜集的证据,不仅是分析骇客路径的素材,也将成为重要的犯罪证据。值得一提的是,正如警察会尽量保持犯案现场完整,资安事件分析工程师在搜证过程中,也会借助专业采证仪器,以不影响资讯完整度的「唯读」方式,降低电脑系统变更幅度,让证据保持完整,同时还原骇客刻意抹除的入侵足迹,抽丝剥茧找出骇客究竟从何而来,又躲到哪去。
地毯式搜索
确认被攻击范围
在完成数位搜证后,资安事件分析工程师接着就会开始分析采集到的证据,「我们会分析电脑主机纪录档案、记忆体、网路封包资讯等,确认骇客身分究竟是哪些外部IP位址,并将这些IP位址阻绝在企业网路外。另一方面,我们也会清查有哪些虚拟私人网路(Virtual Private Network, VPN)或系统帐号已经「沦陷」,并将其停权,透过这些方法先将骇客挡在门外。」
在完成初步「止血」后,资安事件分析工程师接着会针对可能受损的范围进行地毯式搜索,「一家公司通常有多个区域网路,而与被入侵电脑处于同一个区域网路内的其他电脑,往往也会受到波及。我们便以这个区域网路为轴心层层分析,确认受损范围与程度,并进行修复、软体重灌等作业。」吴东杰说道。
资安事件分析工程师得透过不断进修、彼此切磋,增进自己的专业技术知识,才能阻挡骇客攻击。(摄影/林冠良)
他也表示,由于可能成为骇客攻击目标的领域相当广泛,手法更不断推陈出新,因此资安事件分析工程师除了在事件中必须极有耐心地与骇客攻防,更得时时精进自己的资讯技术,「我们常跟骇客来来回回地斗法好几次,有时他们已经入侵了很多地方,还会有恃无恐地故意让资安人员发现自己,作为一种挑衅。因此我们必须不断精进自己在软体、硬体等多种领域的技术知识,才能在与骇客间的一次次战争中取得胜利。」
同时吴东杰也强调,对骇客的犯案手法抱有想像力,也是资安事件分析工程师很重要的特质之一。「在推理剧中常看到警察办案时会设想如果自己是罪犯的话会怎么做。资安事件分析工程师其实也一样,我们会假想如果自己是骇客,会如何入侵客户的网路系统。透过这种换位思考与角色模拟,有时好几天都无法侦破的案件,往往就解决了!」吴东杰笑道。
提供专业建议
加强后续资安维护
当找出受骇范围,并进行应变处理后,资安事件分析工程师会将事件始末撰写成报告,不仅记录事件前因后果,也提供顾客未来如何加强自身资安管理的建议。「我们会让客户知道,究竟是什么漏洞让骇客得以长驱直入,他们未来又能如何防卫。」
吴东杰举例,像是未定期更新电脑软体系统、使用早已停止维护的旧版本,就可能因版本漏洞,而变成迎接骇客的大门。另外,也有骇客会乔装成主管、资讯人员探询公司系统的帐号、密码,若是未加警觉,往往便着了骇客的道,因此企业平日的资安教育宣导也更形重要。
吴东杰也表示,骇客的入侵手法不断进化,自己除了提醒客户平时做好资安维护及教育之外,也不断进修以面对每一次挑战,「资安事件分析工程师跟骇客之间的战争是无止无尽的。我们打赢一场攻防之后,骇客可能不久又从另一个途径卷土重来。而在这无止尽的战斗中,看到客户的资安因为我们的努力变得更强韧所带来的成就感,是让我们不断坚持下去的关键。」吴东杰说道。
资安事件分析工程师吴东杰(摄影/林冠良)
姓名: 吴东杰
职业:资安事件分析工程师
特质:对精进技术怀抱热情、具备耐心和想像力。
工作任务:透过数位采证、资料分析等为资安事件止血,并提供强化资安建议。
核心理念:透过专业技术,让客户的资讯安全系统更强韧。
本文作者:郭慧
(本文摘自《台北画刊8月号655期》)
《台北画刊8月号655期》