2012年底,亞洲各國的檢警調單位,齊聚一堂精進其資安技術,包括中國、香港、台灣、日本、菲律賓、印尼等的科技犯罪調查員,主要目的在於強化網路犯罪偵查與鑑識技能。
在這場HTCIA(High Technology Crime Investigation Association,高科技犯罪調查協會)亞洲盛會中,Nexusguard資安監控中心經理苗東毅,除了具有資安鑑識調查專家認證CHFI的證照之外,他更憑藉著過去處理網路攻擊的豐富經驗,受邀擔任網路犯罪調查與鑑識的訓練講師。透過模擬現實生活中可能遇到的攻擊行為,能夠讓檢警調單位了解到攻擊者的作案手法,並展示鑑識工作應如何進行。
苗東毅提到,其實資訊安全培訓及驗證組織SANS也提出一套針對網路鑑識的標準流程建議,包括資訊的蒐集、主動與被動蒐證的範疇、資料分析與Log關聯、封包關聯分析與資料探勘、報告呈現等。但這些都只是一般的基礎準則,實務上應當怎麼執行,仍需仰賴有經驗的顧問協助。而目前在資安領域中的鑑識專家則多為「電腦鑑識」,並非「網路鑑識」,尤其是在DDoS攻擊方面的網路鑑識,在分辨「正常流量」與「攻擊流量」上,更是具有其挑戰性,苗東毅說,全球具有此類專業與資源,並能提供這種服務的資安公司,屈指可數。
苗東毅表示,此次是以能源為主要業務的線上貿易公司作為模擬環境,而遭受到的攻擊類型則大致分作兩種:常見但技術門檻低的攻擊和針對性的攻擊。快攻(Rush Attack):是透過控制殭屍網路,針對某個網域名稱進行掃描式的攻擊,一旦發現名單上有攻擊成功的企業,便發黑函索取勒索費用。這種快攻模式,針對某一範疇(例如某網域)無差別攻擊,短暫成功馬上就要拿錢。一般企業都有可能遭受波及。
另一種是針對性攻擊(Targeted Attack),攻擊者通常為較具規模的集團,接到訂單指定對某一企業下手,並且簽訂服務水準協議(Service Level Agreement,SLA),如果攻擊未達到一定水準或目的,則可能無法收到全數款項。網路營運具備高價值,易遭受此類攻擊。