在競賽中訓練資安事件應變能力

為災難做好準備對於許多行業的應變人員是至關重要的,在資訊安全領域中,有一系列的練習競賽稱作「奪旗攻防賽」(Capture The Flag, CTF),參與者必須對其他隊伍的伺服器發動攻擊,在電腦資安事件應變小組(Computer Security Incident Response Team, CSIRT)或電腦緊急應變小組(Computer Emergency Response Team, CERT)的社群中,可以發現有事件應變的CTF。

今年(2019年)4月,APNIC的網路安全專家團隊參加由澳洲網路安全中心(Australia Cyber Security Centre, ACSC)在布里斯本舉辦的IR CTF,他們要處理的情境是,一家風力發電公司支援風力渦輪機的關鍵應用程式停止運行,導致渦輪機鎖住並停止發電,該公司因客戶遭到停電而使得聲譽受損,參加者(無論是個人或是2-3人的團隊)必須在六小時內調查問題的原因,並使用開源工具來恢復風力渦輪機的功能。

APNIC團隊的首要工作是下載和複製鑑識資料,包括Windows工作站的記憶體傾印檔案(memory dump),以及大量合法訊務中混雜惡意訊務的PCAP(packet capture),在等待檔案下載的同時,團隊要查看所須回答的問題列表、討論分工,經過六個小時的激戰,他們奪得數面旗幟,最後排名第四。

團隊認為,參加這樣的動手練習提醒他們在需要應對事故時,尤其在壓力之下,有充分的準備是個關鍵,團員之一在競賽中得到以下四項心得:

  • 熟悉你的工具
  • 使用程式手稿來處理一般任務
  • 準備零食以節省外出找食物的時間
  • 當還有其他幾個問題需要解決時,不要因為其中一個問題而被困住

原始文章

Photo by Ylanite Koppens from Pexels

Scroll to Top