網安演練|揭88漏洞 多涉系統洩密 60小時攻防戰 數字辦分享成果
原文刊於信報財經新聞「CEO AI⎹ EJ Tech」
數字政策辦公室聯同香港互聯網註冊管理有限公司(HKIRC)昨合辦「網絡安全技術論壇」,活動吸引近千名中港的網絡安全專家及業界代表參與。數字辦副數字政策專員(數字基建)張宜偉在專題演講上,分享去年「香港網絡安全攻防演練──以攻築防2025」的經驗與成果,提到演練的攻擊方(紅隊)報告中,最終共歸納出88項安全漏洞,涉及系統訊息洩露的比例最多。
分紅藍兩隊 港府25部門參與
張宜偉介妱,演練為期三日兩夜共60小時,假香港數碼港3座舉行,以「實兵、實網、實戰」方式進行,模擬真實網絡攻擊場景。演練參與單位包括34支藍隊(防守方),涵蓋25個政府部門及9個公營機構;紅隊(攻擊方)有15支專業隊伍,來自香港及內地網安機構,更特別邀請廣東省網信辦推薦的3支頂尖攻擊隊伍,由中國訊息安全測評中心擔任裁判專家小組。
此外,超過60間機構代表以觀察員身份參與,近距離觀摩攻擊實況及學習經驗。張宜偉認為,演練有助參與單位及時修補漏洞、強化防護策略,更促進政府、公共機構與業界的協作,提升本港整體網絡安全水平。
在演練過程中,紅隊攻擊原則不變,首先是點到即止,其次是不影響公共服務,亦不洩漏、不更改生產資料及系統配置。針對參與機構的互聯網面向資訊系統,發起多樣化攻擊,包括滲透測試、基礎設施入侵、資料庫攻擊及輔助系統連帶攻擊等,貼近現實攻擊情景。紅隊共提交342份攻擊成果報告,經裁判審核後,超過三分一(131個)被認定為有效得分,共計歸納出88項安全漏洞,涉及26個標靶系統的安全隱患。
張宜偉指出,紅隊找到的漏洞及風險,包括系統訊息洩露(21%)、用戶名枚舉(16%)、郵件/短訊轟炸(16%)等。藍隊方面,共提交81份防守成果報告,約四分一(20份)獲防守得分認可。其中13支藍隊全程維持零失分,未被成功入侵;另有11支隊伍在攻擊發生後,主動偵測異常並完成應急處置。
創新科技及工業局局長孫東在致詞提到,網絡安全既是責任更是使命。當今網絡攻防不再只是技術對抗,而是跨越地域、融合智能的較量。
香港電訊:存數據勿靠單一雲端
另外,在「從第三方到第N方:面對供應鏈攻擊的危機應變」專題討論,嘉里建設(00683)技術與創新基建及網路安全總監葉國偉提醒,攻擊者利用中小型供應商作為切入點,生態環境的風險比直線攻擊更高。他認為,必須提高員工的防範意識,按真實情況做演練,亦可加強認證方法。對外,在公司採購及招標流程中,可考慮引入網絡安全評分,降低來自供應商的風險。
香港電訊(06823)商業客戶業務董事總經理吳家隆,昨日則強調Resilience(恢復力),尤其把數據儲存在雲端,不能完全依賴單一供應商。他提到,網絡安全除了「應對」及「恢復」,亦要將工夫放在「預防」與「監察」等前期環節。他建議,除了年度的紅藍隊演練,企業不妨借助「白帽黑客」,每天都「攻擊」比較重要的資源,持續檢測防禦是否有效,揪出平時未有留意的漏洞。
人工智能必讀好書
書名:AI HARVEST: Unleashing the Future of Farming Automation
作者:AIMQWEST Corporation
簡介:本書介紹農業自動化的未來,讓讀者了解人工智能及機器學習演算法在數據分析及預測農業的作用。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
