You are currently at: ejtech.hkej.com
Skip This Ads
Don't Miss

實戰教育提升資安技巧 (范健文)

By on November 25, 2016

本文作者范健文為香港資訊科技商會資訊保安召集人,為《信報》撰寫專欄「科網人語」

2016年可說是資訊保安界的多事之秋,先有三四月的加密勒索軟件Locky襲擊全球,然後又有9月Yahoo披露外洩5億用戶資料,以及10月底美國東岸受DDoS攻擊而引致網絡服務受阻。日前公布的立法會資訊科技及廣播事務委員會報告顯示,本港因網絡罪行而造成的財務損失總額在2015年激增50%,至18億港元!差不多每星期你都可以在報章、電視上看到資訊安全的新聞,聽到相關從業員分析「案情」,你又有沒有想過這些「資安人員」與一般程式員有什麼不同?

同一份報告顯示,2014年香港資訊科技業逾8萬名僱員中只有0.7%(622人)專門從事資訊科技保安工作,在所有資訊科技工種中排名最低。其中一個關鍵問題就是,僱主會認為IT工程師能兼任資安防護的工作,所以「一個夠晒數」,然而兩者其實有所不同。從事資訊安全管理的技術人員除了要懂得基本的程式語言、修正程式漏洞等技能,還要懂得分析黑客的入侵模式,了解不同執行系統、網路架構、應用程式。此外,業界亦有專門為資安人員認證的證書,方便行外人參考。

搶軍旗比賽助推動發展

當然有另一個可能,就是「有工冇人做」!資安方面的威脅變化得很快,黑客的技術更是日日進步,所以資安人員需要大量實際攻防經驗才有能力應對挑戰。以往我們要入行,大多都是在大專修讀「電腦科學」學習基本知識,直至後來有興趣,或加入資安公司後才會進一步學攻防技巧,過程需要好幾年。不過正如前述,現在日日都有資安事故,系統漏洞更新又不等人,電子經濟潮流下我們如何能再等多幾年?所以涉及攻防的培訓最好盡早做,只要有合適的工具,業內人士、大學生,甚至小朋友都可以體驗現實的資安世界。

其中一個實戰教育的工具就是「搶軍旗比賽」(Capture-the-flag,下稱CTF),它是一場資安攻防遊戲,設有解謎和現場攻防等不同比賽形式。就以最常見的攻防模式為例,參加隊伍須保護自己的伺服器不被攻擊,同時找出當中的漏洞,並將漏洞製成「武器」——能對其他隊伍發動攻擊的程式,再從其他隊的伺服器中奪取旗幟(Flag)。當然你也可以為自己的伺服器「升級」,修補漏洞,全看隊伍的分工。

外國有很多科技公司也會舉辦CTF比賽以推動業界發展,同時吸納人才;另外亦有公私營機構舉辦規模各異的CTF比賽,讓學生、專業人員都可在實戰中學習各種攻防技巧。今年2月,Facebook就在GitHub上開源分享其設計的CTF平台,企業和學校可以自行安裝,用作日常訓練。

這些工具可幫助IT人員學習「像黑客一樣思考」,了解攻擊者的心理和思維,同時熟習臨場攻防技巧,不再紙上談兵。香港自數年前起就有資安人員組隊到新加坡、台灣等地參加CTF比賽,香港科技大學更已成立了一隊名為Firebird的CTF小隊。期望更多學校投入類似的實戰教育,為香港資安界培訓更多人才!

更多范健文文章:

支持EJ Tech



如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們