2017臺灣資安大會 === Day1 === # Hitcon 專屬議程 ## (101AB)您可能已經成為企業資安的加害者 * 資安就是資訊的不對稱戰爭 * 企業最大的對手，是黑色產業(black market) * DDoS服務的行銷，就...找個大目標把它打掛XD * 黑色產業的營利模式： ** 詐騙集團 ** 廣告信 ** 駭客組織 1. 撞庫 2. 販賣加密勒索 3. DDoS * 黑市： 資料被買過以後，價格會降低。 * 駭客大數據時代.... * Red Team：滲透測試團隊，模擬駭客的手法做攻擊 * 漏洞評價： 1. 穩定性 2. 利用性 3. 嚴重性 * struts2 s2-045 * 員工的不安全行為會成為企業資安的缺口 * 撞庫攻擊 * 攻擊者利用已外洩的資料庫，取得帳號密碼，進一步做利用。 * CAPTCHA不見得可以防禦 * 撞庫與黑色產業 1. 攻擊取得資料庫 2. 分析資料庫輔助下次攻擊 3. 販售至黑色產業 4. 獲取錢財 * 假設密碼已經有外洩過，那這輩子就不能再使用 * 撞庫防禦手法： 1. 防止外洩 * 伺服器防禦 * 機敏資料的存取控管 * 偵測異常流量 2. 防止破解 * 增加密碼的加密法安全等級 * 使用公認安全的加密演算法，避免自行研發 * 搭配Salt強制增加密碼強度，如PBKDF2, bcrypt 3. 防止嘗試 * 防止攻擊者使用自動化工具嘗試大量登入，如CAPTCHA * 偵測大量攻擊者嘗試，並封鎖IP * 使用者帳號偵測惡意攻擊行為在進行安全機制，如通報或封鎖帳號 * 攻擊途徑： * 盤點目標有哪些 * 外部系統 * 內部系統 * 外圍系統 * 網路邊界 * 外洩資料庫有哪些帳號密碼與目標有關 * 如何搜尋帳號密碼 * 透過whois等資料管理者帳號 * 尋找帳號對應的外洩密碼 * ... * 哪裡出問題了？ * 有密碼保護的後台就是安全嗎？ * 密碼為什麼會外洩？ * 外面網站用的密碼為什麼相同？ * 密碼為何沒有定期更換的機制？ * github很好用，是否重複使用外洩的密碼？ * 是否開啟二步驟驗證 * ssh private key是否夠拓mail明文傳遞 * ssh private key是否有passphrase * 主機ssh限制ip * VPN是否有二步驟驗證，如OTP * VPN連線是否直接存取domain controller * 員工電腦間是否可以水平移動 * Takeaways * 消除與攻擊者的資訊不對稱 * 建構專責專職資安人員編制 * 安排足夠資源佈建防禦體系 * 二步驟驗證做最後一道防線 * Allen: 資安就是戰爭，戰爭沒有僥倖 ## (101CD)解析勒索攻擊背後的黑色產業鏈 ## (201DEF)逃避可恥還沒有用-你不可不知的物聯網安全問題與挑戰 ## (201ABC)駭客跟你想的不一樣-資安防護的盲點 使用比特幣洗錢方式： 1.比特幣交易訊息混淆（但扣手續費） 2.比特幣買信用卡 （Advcash) 3.用信用卡(Advcash)買信用卡entropay 4.假身分配上entropay http://www.fakenamegenerator.com/gen-male-zhtw-gr.php === Day 2 === ## (大講堂) 安全趨勢即時報告：DDoS 攻擊、勒索郵件、物聯網、DNS 放大攻擊 網路攻擊來源的分析 台灣受攻擊的對象不如以往想像的以金融產業為主，最大宗仍是以科技產業為主． 台灣攻擊來源對象分布極廣，所以企業的防禦必須以全球化為規劃（迷之聲：不要想說來一個擋一個了，主管機關不要問有沒有阻攔特殊的來源IP啦!!) 物聯網攻擊型態的分析 IoT設備變成重要的進攻標的，其原因為極少人進行IoT設備的更新，無論是消費者或是廠商，讓駭客得以透過既存的漏洞或是成熟的工具進行攻擊，而且正因為IoT設備之數量，攻擊的流量將會造成受害者難以應付的傷害． ## (101CD) 運用機器學習與威脅情資，打造人工智慧安全機制 Machine Learning for Security. 短評：仔細一看PPT似曾相識，大部分都是用上次HITCON的資料 駭客工具的演練 1. 駭客已經從單兵作戰演進為社群分工 2. 工具針對偵測手法中的特徵碼進行突破，避免被掃描得知 機器學習的準備 1. 夠多夠好的駭客工具 2. 定義特徵值 3. 定義演算法 駭客工具變種對於掃描工具的影響 1. 超過33%以上的異動程式碼異動, 所以原始碼及組譯碼皆會有很大的差異 2. 透過定義Import Table Map/Opcode Histogram的方式將有可能取得80%以上的相似程度(定義Import Table Map/Opcode Histogram為特徵值，讓演算法進行進一步的比較) 3. 除了學習準備中提及的三要素，第四個維度即為多久要重新訓練或是改寫，才能更上相關惡意軟體的演進速度 4. File Base(FB)的偵測效果可能不如Behavior Base(BB)的偵測效果，但是所占資源及執行速度卻可以相當的優勢，FA Rate也有相對的優勢（1/10000000 for FB; 1/1000~/10000 for BB) 5. 透過調整Source Channel的方式可以降低FA產生的負面影響（例如：將FB用於一般全機掃描；將BB用於電子郵件掃描），適才適所，才能所向披靡． 6. 機器學習可以解決相當簡單的問題，所以需要搭配其他演算法才可以有效提高其效果． ## (201DEF) 利用智能情報服務強化企業內部資安等級 企業資訊安全威脅趨勢: 外部因素 1. 進階式攻擊多半從基本常見漏洞開始 2. 電腦犯罪服務的價格低廉(Cybercrime as a Service) 3. ???? (來不及筆記) 企業資訊安全威脅趨勢: 內部因素 1. 大量的IT需求但是管理能量及管理技術未能支應(可視度下降) 2. 針對性攻擊的平均被發現時間為214天 3. 邊界安全防禦的效果被高估(FW/IDS/IPS) 犯罪者收益的方式 1. 直接向受害者收割 1.1 大型企業的攻擊(大額少量具有針對性) 1.2 個人用戶的攻擊(小額大量具有複製性) 2. 將犯罪手法販售 2.1 進行犯罪平台架構 2.2 進行犯罪工具販售 企業防護框架 1. 預防-安全邊界防禦 2. 檢測-發現入侵事件 3. 回應-復原資源傷害 4. 預測-分析未來威脅 發現入侵事件是進行回應及預測的基礎，但是檢測必須要有相關的基礎設施．SIEM架構之必要性為2~4的基礎，資料收集不完整會越來越難執行後面項目 假如可以將所有來源整合，較可以進行全面的分析，不只是需要及時的資料，架構面的資料也視需求的，如：伺服器的功能及作業邏輯，分公司的IP位置及所在國家，公司內部授權使用連線軟體的清單 針對已知的商業流程尋找關鍵的受害位置，進行主動的安全防護．如：駭客利用USB入侵企業內部，惡意程式尋找可能的網頁伺服器，在網頁服務應用軟體沒有及時安裝安全更新時，將會利用其弱點，抄錄轉發關鍵資料（信用卡刷卡資料或是使用者交易資料）給駭客的遠端主機． 透過社交工程蒐集企業內部肉機，以加密通道進行肉機管理，進行資料取得或是異常交易，又或者是跳板利用．如：透過社交工程誘使使用者安裝或啟動惡意程式，進一步讓駭客利用公司允許的對外渠道進行與企業內部電腦進行通訊及操作 透過惡意APP軟體的漏洞，將遠端操作手機，利用手機簡訊或是即時通軟體散佈惡意程式或惡意連結大量增加受害者範圍． 教育訓練之重要性 1. 安全認知的核心基礎 2. 透過演練來實際了解威脅情形 ## (大會堂) 守護雲端服務環境下的金融科技創新應用 GEMALTO基本上是提供加密解決方案的廠商，目前努力耕耘區塊練及帳聯網安全 傳說中國內有使用帳聯網的銀行有買該公司的硬體加密器確保帳聯網連線安全 該公司亦曾經到銀行公會簡介其解決方案是如何達到中華民國法規需求 部分筆記是之前聽這一家廠商簡介的補充 Fintech除了創新之外，是使用更便利的方式提供類似的服務 Fintech參與者的挑戰 1. 越來越多的網路攻擊事件 2. 線上服務及行動服務的依存性 3. 合規標準的因應 Fintech因應挑戰的作為 1. 使用社群服務的資訊達到KYC的合規需求 2. 透過各種服務的API獲取用戶資訊，在合規面及服務面進行強化 3. 依照客戶行為，開發共種必要平台的應用軟體 4. 使用大數據進行分析或是機器學習輔佐服務提供 5. 使用雲端技術進行平台架構輔佐服務提供 資料安全的挑戰性 1. 取得的資料不只是各戶的金融相關資料，為了進一步分析客戶，取得了更多了客戶的行為資料，所以傳統客戶金融資料的保護可能不足以因應 2. 由於提供服務的平台眾多，如何保護每一種渠道的安全性為相當重要的課題 3. 在兼顧方便的前提下，如何提供一個好的認證授權機制亦為相當重要的課題 4. 如何在大數據分析時適當地去識別化 5. 如何在雲端服務平台確保相關的合規議題，例如：台灣區的客戶資料不能離開台灣區的伺服器 加密方案的構建因應資料安全的重點 1. 資料庫的加密 > 進行授權外部資料分析的時候必須要去識別化且加密傳輸 2. 虛擬機的加密 > 僅在授權環境得以開機 3. 連線機制的加密 > 相關連線者驗證必須透過適當的安全機制才允許建立 4. 終端設備的加密 > 必須確保終端設備的安全 而後才安裝軟體及置入金鑰 5. 應用介面的加密 > 必須確保與授權及安全的API進行連線建立加密連線 6. 加密技術的管理 > 管理金鑰及加密技術，避免相關技術具有漏洞 7. 加密技術的便利 > 讓用戶更簡單快速地安全取得個人金鑰,減少人工介入 === (HITCON)2017 真心不騙之偽資安設備採購心法 === 趨勢 (整合 /可視性/非可識性 /自動化學習) 1. APT退燒，Ransomware發燒(可能是新聞導向的行銷策略/APT查不到) 2. Gateway退燒，Endpoint發燒(可能是廠商銷售策略也可能是實際上無用) 3. 反應速度決定一切(當資訊不再不對稱, 是否有足夠能量針對漏洞進行反應) 4. Decpation產品成為趨勢 (NG honeypot,當防線退縮時候,能不能縮短駭客的活動時間?) 方向 (原廠資訊/客戶經驗/專家意見): 1.你有沒有Api達到自動化 ? 2.你確定廠商的成功案例是真的 ? 也真的適合你 ? (之前有聽過做過POC就說是成功案例, 還有聽過簡報過就說是成功案例) (之前有聽說有家小資安服務公司號稱國內八大行庫都是用他們服務結果踢到鐵板，因為面試該廠商的人就是之前八大行庫負責資訊安全服務招標的人員，這告訴我們要騙也要找對象) (之前有聽說有家大資安服務公司還沒簽約就說已經簽約，結果招標人員撥電話一確認就露餡了) 3.廠商POC可以紓解乙方銷售壓力，但是瘋狂POC可能誤導產品選擇策略 (POC可能因為評分表的不當, 造成廠商選擇錯誤) 4.廠商的Sale強力推銷可能表示產品本質的不足 決策正妹化 (正妹越多這家廠商越有問題 XDDDDDDD <- 數○資○?) (以前公司的IT從購買NB的決策流程是IBM(男Sales)>DELL(短裙女Sales)>HP(短裙正妹Sales)>Lenovo(爆乳短裙正妹Sales)) 結論:  決策包裹化 (想要買FW最後變成買網路架構綜合包) 決策烏賊化 (我曾經和某廠商買FW, 之前信誓旦旦Juniper NSM可以管SSG及SRX, 結果最後只是說個抱歉搞錯了, 讓我的SRX變成孤兒, 自己功課做不夠真的很傷) <=== 太狠了 決策贈品化 (我夢見POC拿電影票唷) 成功案例業障重 (照講者的說法, Google的SEO(網站搜尋優化)可能是下一個廠商詐騙的手法大家要注意阿!!供應商可能透過網站搜尋的優化，讓相信Google的大家以為排名前面的就是可信的，如同現在搜尋開箱文，大都先搜尋到廣告文) (中華電信研究所什麼都買) (我聽說集中保管結算所也是什麼都買，在EMC的Storage剛出來的時候買了一套放著堆灰塵，廠商問好像使用率不高是不是不滿意，集保大哥回答：我買個來玩玩也不行嗎？) (我聽說國網也啥都買 XDDDDD) https://www.facebook.com/groups/1143237762469707/ <===幫大大廣告,以上現象,去群組問一下啊,Tim大大開了一個FB社團,要做這件事