觀點

實戰攻防演練 強化資安人才培育

2018 / 05 / 17
編輯部
實戰攻防演練    強化資安人才培育

不管是行動硬碟、筆電、手機等產品,前面只要掛上「軍規」兩字,就給人一種安全、耐用的感覺,能在各種惡劣的環境下使用以達成任務。如果是一套軍用等級的資安訓練課程會有怎麼樣的效果?

7成CEO認為資安人力不足
資策會資安所資安科技研究所組長邱之崧提到,全球有4/5的企業遭受過資安事件,每週被駭的比例更達1/4。但資安事件的平均發現時間為243天,且僅有1/3是內部IT人員自己察覺。即使以重視資安的金融業來看,也有一半的金融單位曾受威脅,且每次事件的平均損失金額為1百萬美元。如此嚴重的資安威脅,有超過7成的CEO認為是人的問題,這不僅是資安人員的人數不夠(有許多企業還是由IT人員所兼任),還包括資安人員專業、經驗不足的問題,讓企業即使導入最新的資安產品,也無法發揮應有的防護功能。

要解決資安人員能力不足的問題,目前不外乎藉由證照考取,或透過在OJT在職訓練的方式,由資深人員帶領新進人員學習。以證照為例,像不少人靠著口訣考到駕照卻不敢開車上路,或多益成績優異卻無法與外國人溝通一樣,證照與能力是否對等一直備受質疑。如果只能透過資安事件處理來獲得相關經驗的話,不但可能對企業造成重大損失,且緩不濟急。當然,企業也能尋求外部專家的協助,但資安事件往往事涉敏感,企業高層仍希望由內部人員處理,或至少在事件發生的第一時間掌握到一定訊息,讓決策者能了解大概,以便緊急處置防止災害擴大。因此,一套能模擬網路攻擊,讓學員經由實戰體驗來學習網路攻防技能與處理應變能力的教育課程,就是企業可以考慮採用的選項。

以色列軍方專用的攻防演練平台
觀察到國內資安人才的訓練需求,資策會資安所積極投入資安人培的市場,在2018年成立RangeSeed 智慧技術人才培育中心,以培養企業所需專業資安人才為目標,並引進以色列軍方專用的Cyberbit Range訓練課程。邱之崧強調,Cyberbit Range是一套軍事規格等級,具備高度擬真、客製與可彈性擴充的演練平台,其技術團隊出身著名的以色列8200資安部隊,且半年內陸續導入美國、瑞士、德國、新加坡等10個國家,日本東京奧運官方更希望藉由此平台在2020年之前培訓足夠的具實戰、 反恐能力資安人員。

高度擬真的多點隨機攻擊樣態
Cyberbit參考各國CERT、ISAC、OWASP等資安機構所發佈的攻擊威脅,歸納出DDoS、木馬、勒索軟體、SQL Injection等13種常見的攻擊情境,讓使用者能透過這些腳本模擬遭遇攻擊時的情況,學習如何進行處理回應。與其他只能進行單點攻擊回應的網路攻防平台相比,Cyberbit Range是少數能做到模擬360度全景環境的多點隨機攻擊,以更貼近真實的網路攻擊樣態。 

在整個課程的安排上,採4-8人的小班制,搭配1名講師與助教,以多人方式同時進行攻防演練。以4人為例,可分別擔任1線通報、2線處理分析、3線決策與4線指揮官的不同角色,然後由講師模擬網路駭客,發動攻擊指令,而助教則透過螢幕畫面觀察學員如何進行回應處理。
當1線人員在發現攻擊事件後,就需在規定的時間內完成事件的通報,接著2線人員接獲通報後,就系統日誌、攻擊行為等開始進行分析。之後再進行人員角色的互換,讓學員輪流擔任不同工作,以了解事件發生時的處理流程,並熟悉團隊分工時各個角色的工作內容情況。

多種操作模式以為教學輔助
Cyberbit Range除了有能模擬出各種網路環境與封包傳輸等攻擊行為的訓練模式外,還會把整個演練過程動態錄影下來,並透過不同的視窗畫面做為教學輔助。例如在Debriefing模式下,講師能在演練結束後,重播學員演練時的操作影片,檢討演練成果,針對各項缺失明確指出需要改善加強的地方。而觀察畫面則呈現整個攻擊情境的概觀,讓學員可透過箭頭的移動顯示攻擊的持續變化,認識整個攻擊活動的移動流程。

邱之崧補充,資策會資安所在將課程引進台灣後,再針對國內不同產業的需要,從13個情境中挑出10個,兩兩配對設計出一套課程。例如金融網站防護班,就包含Web Defacement與DDoS SYNC Flood情境,以了解駭客入侵網頁的手法與回應,與DDoS攻擊的處理。醫療資料庫防護班則包含DB Dump via FTP Exploit與SQL Injection情境演練,掌握駭客攻擊資料庫的途徑,減少SQL語法的漏洞,以避免病人敏感個資外洩。如果上述13種情境還無法符合企業的需求,資策會資安所資安所的300名資安技術團隊也能協助客戶進行客製化情境的研發撰寫,以達到最佳的模擬演練效果,發揮Cyberbit Range的擴充彈性。

邱之崧表示,未來也可能與相關的證照補教業者合作,在課程中加入Cyberbit Range攻防演練的內容,透過實機操作與理論觀念相互印證,一方面能加深對課堂內容的了解,以取得證照;另一方面也能減少證照與現場實務操作上的落差。

結合學校課程 接軌職場實務
企業不想發生資安事件,但遭到駭客攻擊時又希望資安人員能具備緊急應變的處理能力,因此防攻演練能提供資安人員在事件發生前一個學習且累積回應經驗的方式。當然,惡意攻擊技巧不斷變化,演練平台也無法完全複製出使用者的網路環境,但高度擬真的攻防練習仍有助資安人員掌握攻擊處理的流程眽絡;一旦真的發生資安事件也能及早發現,爭取更多的回應時間,同時將損失減至最低。此外,不單是做為在職人士進修,網路攻防演練也能結合學校課程,為在校生提供一個實戰演練的場域,以便畢業進入職場後能更快與企業實務接軌,讓資安教育不至淪為紙上談兵,更有效的培育出資安實戰人才。

 

                          * 全球已有超過十個先進國家的 
                      教育訓練中心以Cyberbit Range為基礎
     

 

                     *  RangeSeed 服務對象