網安演練不涉漏洞 僅系統配置不當
原文刊於信報財經新聞「EJ Tech 創科鬥室」
特區政府數字政策辦公室聯同香港互聯網註冊管理有限公司(HKIRC),昨天舉辦第二屆「網絡安全技術論壇2024」,探討人工智能(AI)為網絡安全帶來的挑戰與機遇,更就上月舉行的首次「香港網絡安全攻防演練—以攻築防2024」,分享當中60小時演練的成果與經驗。
孫東:加強應變 以攻築防
創新科技及工業局局長孫東在論壇開幕致詞提到,維護網絡安全是全社會的共同責任,需要政府、業界、企業及廣大市民攜手合作。今次演練全面提升政府和參與機構的網安防護及緊急應變能力,達致以攻築防。
孫東提到,政府就《保護關鍵基礎設施(電腦系統)條例草案》刊憲,並已經於上周提交立法會首讀及二讀,盼為業界及數字經濟發展提供保障。
副數字政策專員(數字基建)張宜偉提到,本次演練的攻擊方(紅隊)共計發起了25項有效的攻擊。
今次發現的漏洞集中在應用層,包括驗證碼邏輯錯誤及系統配置不當等,但並未有涉及核心控制權限或敏感數據的重大漏洞。
防守方(藍隊)方面,則採取了26次有效防禦行動,涵蓋範圍包括發現並且處置應用層安全事件、成功追蹤攻擊者的身份,以及處理釣魚攻擊等。
張宜偉指出,裁判普遍認為藍隊表現超出預期,部分隊伍在攻擊追蹤和技術運用方面,展現出卓越的能力。
系統過度提示 不利用戶安全
此外,張宜偉現場介紹幾個真實案例,其中之一為驗證碼漏洞。紅隊在演練發現,當用戶輸入錯誤資訊後,系統無法及時更新驗證碼。由於這一疏漏,有心之人可記下首次顯示的驗證碼並輸入系統,再透過機械人程式,不斷嘗試組合其他相關資訊,進而破解驗證流程,導致驗證碼原本用於阻止機械人攻擊的功能完全失效,對系統安全性構成威脅。
另一個案涉及邏輯錯誤,當輸入正確或錯誤的用戶名稱時,系統會傳回不同的提示訊息。若黑客觀察到這一現象,便可不斷嘗試撞入用戶名稱,從系統推測部分真實賬號。
張宜偉稱,假如系統向攻擊者披露過多不必要訊息,會拖累系統的整體安全等級,增加被攻破風險。
是次演練為期三日兩夜,共60小時。紅隊由具備網絡安全經驗的專業機構人員組成,成員來自香港應用科技研究院、香港專業進修學校、香港資訊科技學院,以及「網絡攻防精英培訓暨攻防大賽」公開組的兩隊優勝隊伍。至於防守方藍隊,包括9個政府部門及3間公共機構,以指定資訊系統迎接攻擊。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
