网安攻防演练揭25漏洞 涵密码弱绕过验证码等
发布 : 2024-11-23 来源 : 明报新闻网
用微信扫描二维码,分享至好友和朋友圈
发布 : 2024-11-23 来源 : 明报新闻网
用微信扫描二维码,分享至好友和朋友圈
【明报专讯】为加强应对网络安全风险,政府月中展开首次「攻防演练」,模拟真实网络攻击及防御。创新科技及工业局长孙东说,首次演练效果不错,攻击方「红队」共提交85份漏洞发现成果,当中25项获裁判裁定有效,发现漏洞包括「弱口令」(即密码强度不足)、绕过登录验证码等,相关报告会交予个别部门或机构参考跟进。
未见可「占领」重大错误
今次「攻防演练」有9个政府部门及3个公营机构的指定资讯系统担当「蓝队」负责防守,5队来自专业机构的「红队」负责攻击,本月15日起为期3日2夜在固定场地进行,共60小时,详细分析报告下月完成。
孙说,25项被裁判裁定有效的保安漏洞中,未发现可完全「占领」系统的重大错误;「蓝队」方面则提交137项防守成果,当中26项裁定有效,大致能对攻击采取适当应对措施,部分更成功发现攻击者身分,会进一步探讨强化相关能力。
漏洞共通 所有部门要修正
总结经验,孙东说演练关键目的是透过攻防发现漏洞,虽然并非所有部门参与,但政府有50多个部门派观察员列席,即使演练中发现的问题只涉个别部门,但漏洞「有其共同性」,因此一定会及时跟进,所有部门都要修正,期望在机制上做好把关。
未见可「占领」重大错误
今次「攻防演练」有9个政府部门及3个公营机构的指定资讯系统担当「蓝队」负责防守,5队来自专业机构的「红队」负责攻击,本月15日起为期3日2夜在固定场地进行,共60小时,详细分析报告下月完成。
孙说,25项被裁判裁定有效的保安漏洞中,未发现可完全「占领」系统的重大错误;「蓝队」方面则提交137项防守成果,当中26项裁定有效,大致能对攻击采取适当应对措施,部分更成功发现攻击者身分,会进一步探讨强化相关能力。
漏洞共通 所有部门要修正
总结经验,孙东说演练关键目的是透过攻防发现漏洞,虽然并非所有部门参与,但政府有50多个部门派观察员列席,即使演练中发现的问题只涉个别部门,但漏洞「有其共同性」,因此一定会及时跟进,所有部门都要修正,期望在机制上做好把关。