# hitcon defense 2019 ###### tags: `資安` ## 相簿(含投影片) https://photos.google.com/share/AF1QipPi3JP0bUD0ZERCYSSAxWL4nJ2_HCUoydqR3Gx5PGN_X1r2ip68FHEuI6KcWlYA8Q?key=Tkh0cEJmdGlUeFJPMUZFOGdOQVJrc3FHUWhhN0VB ## 本次比賽 2019年跟2018年的差別 網路是外網，外部的攻擊者也會一起來攻擊 ### 情境說明 你的資安小隊空降到了一家自動化工廠，所有機械設備或管理系統運作都不正常 可以用分數換東西 * 買軟體 500分 * 買情資 1000分 * 買復活卡(分數減半 比賽過程中可以打給委外廠商或找任何的幫手，但不可以讓幫手進到實作區 這就跟實際情境你有很多委外供應商，但他們可能無法即時到辦公室，只能遠端協助你一樣 ## opening 議程 ### 東西放雲端是不是就安全了？ 1. 資安放雲端只是借你放，管理還是要自己管 2. 你用雲就只是借用別人電腦，關鍵還是在你怎麼做設定和怎麼管理雲端的東西，用雲端不會比較輕鬆，用了其實會有更多事要做(架構要改變) 3. 雲端負責平台安全，丟上去的好處是有一個基礎的安全，因為變得比較透明，可以很清楚知道有多少東西，而且雲端通常有cmdb config manager database設定比較好備份和還原 不該用現有的設定直接轉上去，而是趁這個機會把設定改好 4. 雲端很方便，有張信用卡有可以用雲端，企業可以很容易的做小規模的運作環境 ### 用行為分析 一個客服或會計應該不需要開powershell，如果他有異常行為(不一定是開軟體，可能是連到某個主機)，就立刻阻擋 對ai的定義 我們要讓資安人員休息，減少人為的涉入 整個網路的設計是跟資安密不可分，推薦使用白名單的做法 ### 經費不足該怎麼處理？ 資安團隊建立上的困難？ 如果是非買不可，要如何解釋很重要，你得講個好故事讓大家相信和贊同你。實樂天高層對資安是很重視的，但高層不是資安專家，所以講個好故事讓高層理解就好，但這個包裝很困難 建立資安團隊找人很難，有才華的人很多，但找到對企業有愛的人很難，講者自己是在網路上看到攻擊手法來理解資安，只知道攻擊很會找問題，但不知道怎麼去修復，所以只能騙人不去修(說不定只是sql injection)，blue team是來保護的，如果真的不能修(不會修或沒資源修)，也要找出減緩傷害的方式 ## Keynote：Introduction to Rakuten Security Team - Blue Team Edition ### 簡介 樂天有1.3億的user，資安的管理很困難，所以需要blue team跨單位管理 * 資安部副部長 Chris Liu 一開始是做弱掃和滲透測試，針對網頁或app做資安檢測和諮詢 推薦一張證照 offensive security oscp * 樂天工程師 GD 資安防禦方面，當過hitcon志工 電商 旅遊 訂位 博弈(賽馬) 資安團隊80人，17個國家 做好資安，業績有機會超越競爭對手 ### 釣魚對樂天業務的影響 攻擊者會持續的做假的釣魚網站，嘗試做很像的url，導致使用者流量流失 買domain是一種防禦方法，但費用很高，永遠買不完 Apwg 釣魚網站報告 https://www.antiphishing.org/trendsreports/ Alexa Find Similar Sites 找出網址類似的網站 https://www.alexa.com/find-similar-sites 有專用team去情資找有樂天類似網址的情資，會在3-5小時內送到google提報，5小時後釣魚網站就被設定為不安全 ### 安全的軟體開發生命週期 Secure development life cycle 訓練開發團隊很難，還在做 開發完有一些白箱自動檢測，敏捷團隊一定要放到ci 團隊半數是rd，每個團隊都有資安種子，先訓練完再把種子放進去 資安team裡面有打擊犯罪的團隊，因為樂天有很多各個資，可以和警察合作打擊詐欺犯 滲透測試完，要把風險和修補方式送出去進行下一個階段 operation ### 樂天賣很多東西很服務 現有的防禦怎麼做的？ 如何偵測沒看過的威脅？ 資安團隊針對不同部門的資安策略如何推下去？ (母公司對子集團資安管理方式，責任和成本分攤問題) SOC人員 7*24在看log，第一線人員要在短時間判斷是否有異常 ## 建構it資安防線 sdsn software defined secure network juniper 資安的攻擊不會是固定的，如果我想要癱瘓網路，其實有資源可以買或是工具也會變形 現在產品內可能都會有open source的東西在裡面，也會有漏洞的發布和更新 * 會注意漏洞的通常是想攻擊的人，但企業的資安人員通常沒這麼多，該怎麼應對? * 純網銀都在雲端，該怎麼達到可視性更好的去防護他 * 企業網站現有的資安防護 如果導入ids，一天超過上百個事件，就只能冷處理，沒出事就算了 * 以往有個防火牆，防火牆內的設備就算是內網，新的架構在雲裡，那雲算是內還是外? * BYOD(byod bring your own device) 的設備進出內外網的管理 內網也不可信任( 0 trust ) ### Ai，policy，專家系統 業界迷思 買了產品就好 實際上還需要情資 cyber threat alliance 每天提供約四萬筆情資 如果高風險在client端當然就直接封鎖，但如果是已經上線的server，可能就先跟其他server隔離，再慢慢修復 ### Iot防護 Container firewall，啟用iot的時候一併啟動進行防護和監控 ## 比賽會場導覽 ### Juniper核心路由器 Bgp route，有全球的route Bgp是全球的isp交換路由資料用的 中華和其他公司交換As number獲得所有路由 這邊有10個路由 ### 整棟跳電 跳電的時候被bgp 全球的isp懲罰了，讓你20分鐘不准交換路由 ### DDos找 isp 處理為什麼很有用？ 在大間的isp內看到500g流量很正常 DDos 可以透過 bgp route，只允許中華 遠傳 等國內isp(白名單)，因此不能拿全球的肉雞和頻寬來打國內，DDoS的成本會上升很多 ### Arbor 售價很貴 可以瞬間算出流量(bps)及封包量(pps) pps = package persecond，假設做個web server，一張網頁一秒12封包，一秒100user就是1200個封包 可另外參考 http://mis.bankshung.net/2013/10/google-ddos.html ### Paloaoto l7 用cve編號做管理，這次都是放one day的設定 ## TeamT5 ### 情資的使用方式 * 攻擊未發生前 假設我是遊戲產業，那我就透過情資去了解專門打遊戲族群的團體，看他們常用的軟體和手法有什麼 * 攻擊發生後 把攻擊樣本做分析，鑑識，做為下一次的資訊 ## 你所不知道的ad特權 台灣微軟 洪健復 如果基本的防護沒做好，被摸到ad，幾分鐘就爆了，偵測到也沒用 ### 目標 識別出我們需要保護的ad 特權 依照資產價值決定保護的優先順序 ### 攻擊者角度 一定是組織中有一台電腦有惡意程式在裡面，接下來hacker目標就是去偷帳號，大到可以操作整個ad 最糟糕的就是windows是用clone的，帳號密碼都一樣(弱密碼)，然後就在server pc上橫向移動並且種惡意程式 最後總有一天某個管理者在中毒的電腦上login，可能就會被撈到特權帳號密碼 ### Ad預設特權帳號的權限是無法降低的 用管理層面的解法 千萬不要用domain admin和Enterprise admin去登入其他電腦，沒有使用就沒有傷害 重點不是帳號的數量，而是帳號落地的數量有多少 ### schema admin 用這個攻擊的少見，但在國外看過 在schema建立的時候加料，每開一個物件，都會有另一個帳號取得權限 利用ad acl scanner工具檢查ad權限 https://docs.microsoft.com/zh-tw/azure-advanced-threat-protection/atp-domain-dominance-alerts Tier0 身份驗證的主機和帳號 Active Directory 系統管理層模型 https://docs.microsoft.com/zh-tw/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material