电信公司的内部系统彼此相连,要全面追查黑客的踪迹,本身就是一项难度高、过程复杂的工作。即使成功把一批黑客赶出系统,网络防御的任务也远未结束。
政府去年3月动员超过100名网络安全专才,与四家受攻击的电信公司合作,展开代号为“网络守护者行动”(Operation Cyber Guardian)的应对行动。
参与单位包括新加坡网络安全局、资讯通信媒体发展局、国防部战略资讯科技中心、新加坡武装部队国防数码防卫与情报军部队、内部安全局和政府科技局。
网安局国家网络事故应变中心助理司长张伟良告诉《联合早报》,行动的其中一项技术挑战,是追踪黑客组织UNC3886在网络中的踪迹。
他说:“电信公司的系统与网络错综复杂,团队须花时间了解不同网络的构造与用途,以及不同网络之间如何连接,才能有效展开追踪工作。”
国防数码防卫与情报军部队的ME5级军事专才郑德俊也指出,在了解网络的特性后,团队才能调整追踪工具和检测方法。同时,还须分析大量数据,从中找出异常。
资媒局数据运营与情报经理陈岳宝进一步解释,网络威胁捕猎(cyber threat hunting)的关键在于两个要素:首先是整理黑客采用的手法,以及他们可能留下的线索,这些资料通常来自正在调查的案件或过往案例。
接下来,团队会分析系统运作数据和系统日志,查看是否能在系统中找到相关痕迹,从而发现此前未被察觉的威胁或漏洞。
由于参与行动的人员来自不同单位,各自的工作流程和习惯不尽相同,团队初期需要一些时间磨合,才能顺利协作。
“白帽”黑客模拟攻击测试加固措施
除了追踪和驱逐黑客,团队也协助电信公司加强系统检测和防御能力。团队中的“白帽”黑客,会模拟UNC3886可能发动的攻击,测试各种加固措施是否有效。
白帽黑客是指受聘或获授权,专门找出系统漏洞,协助提升网络安全的人员。
网安局网络安全顾问组长罗泽霖,是参与行动的白帽黑客之一。他的工作是不断寻找系统漏洞,并反复测试,直到团队确认系统防护达到标准。
罗泽霖说:“找到漏洞会有一定满足感,但更重要的是我们之后如何把漏洞补好,这才是更困难的工作。”
UNC3886的攻击被发现后,网安局也向其他拥有关键信息基础设施的机构说明情况,包括新加坡能源市场管理局和金融管理局,提醒它们检查自身系统。
能源局土地规划与基础设施保安署高级署长杨来兴强调,当局认真看待网袭,因此采取多项措施保护电力系统,并制定应急方案以降低风险,并应对可能出现的重大电力中断。
金管局发言人则指出,银行在金融体系中起着核心作用,针对银行的高级持续性威胁攻击一旦得逞,可能影响金融服务,扰乱经济活动,削弱公众信心。
因此,金管局积极与金融机构和行业协会密切合作,以加强行业的网络韧性,并通过现场检查与独立基准测试,评估金融机构的安全状况。
能源局和金管局也指出,会继续与相关政府机构合作,保护和加强电力系统及银行网络。
