台灣資安大會分享
@Kais(VagrantPi)
tags: security, 簡報
議程分享
- 如何用世界一流的架構評估資安產品優劣
- IT人轉職資安人的起手式(不在簡報上)(推薦)
- 手把手,教你如何處理資安事件(推薦)
- 做到哪種程度才有足夠的網路安全?
- 正面迎戰內部威脅,公司被害還是員工被駭?!
- 使用軟體無線電進行封包重送、逆向與偽造
- 2019 GDPR 關注重點與趨勢觀察(推薦)
- 駭客如何利用公開工具在內部網路中暢行無阻(推薦)
- 突破困境:資安開源工具之應用分享(推薦)
- 產品漏洞處理及回應
- 以人為本的資安控管-由內而外幫您建立全面防線
- 用紅隊演練最佳化資安投資(推薦)
如何用世界一流的架構評估資安產品優劣
EDR, MDR
EDR - endpoint detection response
MDR - managed detection response
差異:
- EDR 需要有專門的技術人員處理,MDR 則有人幫你管理
- 人力也是問題
- 針對入侵事件是否也能自行排除
- 硬體備份之類的服務
駭客擊殺鍊 - Cyber Kill Chain
<< 此圖分本場 slide >>
TTP 駭客攻擊手法準則
Tools, Techniques, Procedures
所以拿到某個駭客族群的 TTP,就可以去找出所有電腦中有哪些有類似 TTP
如果有人中了,會放出消息,其他人就能防禦了,這就是所謂的情資
Red Team vs Blue Team
怎麼評估工具?
- 沒人會攻擊或防守
- 攻擊手段是否有可信度
- 打不進去是防守完整還是攻擊不夠力
Adversary Emulation 自動化的攻擊模擬平台
- RedHunt OS (講師推薦)
- Caldera(*)
- Metta
- APT Simulator
手把手,教你如何處理資安事件(推薦)
資安的源頭
- 網軍
- 網路犯罪
- 內鬼
- 駭客主義者
可能的手段
-
multi-stage download + loader(附件為普通的 txt => txt 轉 exe)
-
vpn 會被當作跳板使用
-
透過一些合法程式來下載後門(如微軟簽章的程式加點參數可以拿來下載東西,防毒一定不會掃描這些程式)
-
一些雲端服務會變成後門下載中繼站(github, dropbox, google drive 通常這些 domain uri 不會被擋)
調查思路
- what 什麼東西發生異常
- who 受害對象是
- where 受害對象在哪 受害範圍,哪些主機受害
- how 如何受害 哪些主機,開了哪些服務,對應會產生哪些漏洞
分析法
- 時間軸分析
- 羅卡定律與時間交互作用
做到哪種程度才有足夠的網路安全?
teamview 或 vnc 沒有開其他 port 的情況下,卻可以在內部下載外部資源(反向代理)
資通安全管理法,可以參考
正面迎戰內部威脅,公司被害還是員工被駭?!
使用 sandbox 來侷限開發者,能存取網站、指令(shell)、螢幕擷取、勝制是複製貼上的字數限制,這街 event 也會被 log 下來
內網安全
人、駭客、applecation、OS 都會產生些網路行為,但如何區別
白名單、黑名單、port 管制?
使用軟體無線電進行封包重送、逆向與偽造
技術相關同一題目 hitcon 有更深的文章
有些機器是透過無線電控制的,只要駭客從中竊取,在發出一樣的無線電,工具就會動了
300m 內可以截取(無線電控制是廣播的),而他可以透過指向性天線,從2km外去操控機器
不過該問題對台灣的影響非常小,因為用有限的居多
2019 GDPR 關注重點與趨勢觀察(推薦)
GDPR 通報率不斷上升!!
各國相繼建立隱私法規
美國會不會之後也出現聯邦隱私法呢?
IOT 相關保護重點
GDPR 接下來會是大餅,一堆跟隱私相關解決方案
加值應用與去識別化
駭客如何利用公開工具在內部網路中暢行無阻(推薦)
紅隊演練 vs 滲透測試
滲透測試
- 特定目標
- 特定範圍
- 目標是找漏洞
紅隊演練
- 駭客思維出發
- 全面啟廣泛
- 目標是竊取內部資料
常見免費測試 tool
metasploit - 滲透測試工具
cobalt strike - 遠程控制工具(紅隊演練)
駭客狙殺鍊 - Cyber Kill Chain
目標偵查
recon-ng - 目標搜集,擁有多種模組
武器製造
macro_pack - 代碼混淆
可以將混淆後的資料透過 metasploit 包成聚集,透過多種工具來做混淆,使防毒更不容易抓到
內網滲透
bloodhound - 可以圖形化 window active directory 網域環境,並可提供攻擊路徑
透過汙染內網 DNS 來竊取資料
偷取資料
-
responder - 針對某些協定做 poisoning attack
-
dnscat2 - dns 隧道後門,可以將偷盜的資料運出來
-
icmpsh - icmp 隧道後門,使 ping 的方式中的封包夾帶 data 運出來
-
或是使用公開服務當中繼站(google drive, drobox)
防禦對策
突破困境:資安開源工具之應用分享(推薦)
- proxmox - 虛擬機管理工具
- librenms - 網路管理系統
- Open-audIT - 資產管理
- Graylog - 類 elk
- FreeNAS - nas
- duplicati - 備份雲端
- packetfence - nac
- wso2 it - MDM
- openvas - 弱點掃描
- MobSF - app 檢測
- sonarQube - 開方原始碼漏洞檢測
- proxmox - 郵件閘道
- open hub - 開源專案檢測,也有詳細解釋授權
-
作者blog: http://blog.jason.tools/
-
作者slideshare: https://www.slideshare.net/jasoncheng7115
產品漏洞處理及回應
漏洞的定義
與 bug 的差別 - 該產品的弱點,可以被”利用“,來做一些操作或植入惡意程式
舉例
原本程式能產生 A,但卻產出 B 了,這就是 bug
不過如果他產出了全公司的薪資等安全資料,那就是漏洞
ZDI
zero-day initiative 漏洞懸賞平台
趨勢也有自己的
https://success.trendmicro.com/tw/vulnerability-response
漏洞發現後
修補漏洞
以人為本的資安控管-由內而外幫您建立全面防線
資安事件中了社交工程佔了 1X%
用紅隊演練最佳化資安投資(推薦)
什麼是紅隊演練
-
資安最大的困境:戰場超乎想像
-
只要是接網設備,都有可能不入侵
-
所以需要透過駭客思維來作防禦
-
紅隊演練即在不損利益情況下,真的打機器
ex: 以一個電商來說,被重點防守 production 正式機
而駭客通常會打邊界的設備,如測試機,再從內網打入 production
真實案例
重要防禦的設備本身安全嗎?
總結一下
- 以前是盡力預防,現在則是端點警告、追蹤、排除
- 資安的"意識"很重要,需要落實並成為文化
- 你不知道駭客怎麼打,閉門造車打造的資安防護可能都是自嗨
- 設備(包含開哪些 port,內網的port、白名單,所有連網設備)盤點與制定資安策略的重要性
- 漏洞或駭客 TTP 通報的重要性