2018 CSA 國際資訊安全組織台灣高峰會
07/13
============================================
This is the Future of Honeypots
-
今天會講他所認為未來的HoneyPot,可以幾年之後再來驗證今天所述
-
傳統感染方式是掃描所有的IPv4,但如果是切換到IPv6之後,要掃描所有的IP事變的困難的 => Botnet問題解決了
-
講者建立HoneyPot近十年,不過當換到Ipv6後,卻發現沒有人打他或找到他的HoneyPot
-
講者開玩笑的說Honeypot 2019會取消XD (當然試開玩笑的)
-
當建立HoneyPot時,會發現很多bad guys或是研究人員在掃描
-
有將近5%的流量其實是研究人員在互相掃描
-
如何建立未來十年的HoneyPot?
- 在IPv4主動掃描,在IPv6改為建立在自己的開發或者營運環境,去測試自己內部的漏洞
- 4.3 billion to 340 undecillion(IPv4: 2的32次方個,IPv6:2的128次方個)
- 掃IPv4與IPv6的時間長度相差太遠(小時 VS 幾年)
- 針對IPv6時,掃描時,可能會針對已發現的IP,附近的IP做掃描
- 在IPv6的環境下,我們難以找到別人,但我們還是希望能成為獵人,去找到壞人去了解、去研究
-
How to deploy on global scale?
- 當建立夠多的HoneyPot之後,以後壞人要進行傳播就會更難
- 共享資料收集的成果(國家與國家間)
-
因為HoneyPot是開源的,壞人可以做source code review去找出弱點,就如找到星戰的死星弱點毀掉強大武器
(也因此HoneyPot需要做客製化) -
Honey Train Project,學習他的交換系統模式?
-
HoneyPot 可以用真實系統的Clone,去製作Honeypot
-
我們必須更多樣化,並且去設想未來的狀況,如果我們不第一個發現,將會有問題,我們必須更清楚我們的著重的焦點
- we have to become more versatile
- if we don't see it first, we did something wrong
- we should be more clear about our focus
- Ref: https://github.com/mushorg/glutton
-
Summary:
- There will be a HoneyCon 19! (哈!呼應講者前面的玩笑)
- Deception is still a thing
- Don't stop at just okay
- Become part of an actual solution
-
Last Page 有寫了一個CVE:CVE-2018-10220
- 有個傢伙回報了講者做的 Web Honeypot 內有一個 SSRF 漏洞,拿到這個 CVE 編號
- Ref: https://github.com/mushorg/glastopf/issues/286
============================================
鞏固網路安全 成就數位轉型
-
安全是數位轉型不可或缺的
-
05年跟15年的差別 => 數位化
(市場=>需求) -
科技4.0 (Ref: https://goo.gl/FgSt8x)
- IoT
- AI
- FinTech 區塊鏈
- LBS (Location Based)
-
Fortinet 2018 年資安趨勢預測
- 自我學習的Hivenet和Swarmbot威脅的興起
- 綁架雲端商用平台所帶來的商機
- 新世代型態的惡意軟體
- 關鍵基礎架構網路的前端隱憂
- 地下網路與網路犯罪經濟體系將採用AI自動化提供服務
-
拔掉網路線最安全^.<*
-
Swarmbot造成了封閉網路環境(尤其是工業CNC)經由一個patch或attachment就造成了營業損失
-
DX(Digital Transformation)
- 於既有的商業經營架構中導入數位化科技
- 轉型是不可避免的,只是早晚的問題(EX:柯達)
-
彎的過拓海,彎不過填海
-
資訊安全成為數位轉型的極其重要的關鍵
- 資料保護
- OT的安全
- 彈性化配置
- 法規遵循(EX:GDPR)
- 洞悉潛在的威脅
-
SX(Security Transformation)
- 以往都是先有網路的架設,之後才有資訊安全的佈署
- 資訊安全的部屬必須整合置數位轉型的基礎框架內,需打造的是全新的基礎安全建構的思維
- 不在是以單一產品為論述,而須考量整體方案的整合度與自動化聯防的緊密度是其核心關鍵,進而滿足全面性資安的轉型演變
-
數位資訊威脅的攻擊來自四面八方
- 覆蓋性
- Network
- Devices(現在已經不再能只考量windows,還有其他系統,例如linux等)
- Cloud
- Access
- 整合性
- Point Products
- Security Consoles
- Form Factor
- GPDR Compliance
- 自動化
- Noise
- Skills
- Speed
- 病毒的感染速度也因為網路速度的提昇而提昇
- Maturity
- 運用面向更廣,意味著更多的資安挑戰
- Devices
- Network
- Cloud
- 嶄新的資訊安全框架(https://i.imgur.com/xHntHJ4.jpg)
- Connectivity(Firewall)
- Content(NGFW, IUTM)
- Infrastructure (Fabric)
- 安全織網(security fabric)
- 覆蓋性
- 整合性
- 自動化
- 覆蓋性
-
經統計,Email經常被利用來作為攻擊的載具管道(約有60%攻擊)
-
成就數位轉型-首重資訊安全
- 強化內往隔離、增強資安防禦機制
- Data Center整併、內網隔離與防禦機制、SSL解析
- 善用雲端服務、提昇企業整體產值
* - 鞏固網路存取、有效阻絕內部感染
*
- 強化內往隔離、增強資安防禦機制
-
有效避免未知威脅的入侵與感染
- 避免採用平面化網路架構設計(不要只單用一個Class C隔離唷)
- 必須要了解傳輸的資料是什麼
- 提高網路內容可視性,存取控制和感染抑制能力(Visibility and control)
- 減少整體安全漏洞有效避免資安事件發生機率(該update就update吧)
- 針對資料傳需路徑,提升或增加安全檢測能力
- 避免採用平面化網路架構設計(不要只單用一個Class C隔離唷)
-
-
網路內容可視化與直覺化的控管
-
資安也需要有拓樸
-
安全控制/管理工作 流程自動化
- 透過管理人員預先定自動化…
-
資安管控自動化
-
善用雲端服務,提升企業整體價值
-
75%組織單位考量將服務部屬於公有雲平台
-
50% 在2018年,企業考慮將工作平台轉移到公有雲上進行
-
$141B 到2019,全球整體預算用於公有雲服務或相關專案的金額
-
市面上主流的公有雲平台供應商
- IBM, AWS, MS Azure, GCP, Oracle, Ali Could
-
延伸本地安全管理到雲端 - 政策一致化
- 本地端與雲端的管理一統
- 本地端與雲端的管理一統
-
鞏固網路存取,有效阻絕內部感染
- 大幅增長的設備(IoT)
- 多樣的管理平台 Hybrid solution
- 用戶身分的可靠性
-
現今企業內部所面臨的困擾(合法使用面臨的風險)
- 員工的筆電/手機在辦公室與家裡交互使用
- 訪客的筆電/手機帶進公司使用企業內部網路
- 手機上網吃到飽的方便性(只有台灣才有吃到飽…)
-
現今的端點往往是攻擊的- 起點<>終點
-
入侵感染的管道的過濾管控
-
中斷勒索軟體的遞送與回報
-
自動化防護阻斷勒索軟體執行
-
端點與閘道的整合控管 彙整詳細得終端用戶資訊
-
網路拓樸架構的清楚呈現
-
將受感染的機器隔離在L2
- 網路到哪裡,資安就要到哪裡
- 拔掉網路線最好?
REF: https://www.fortinet.com/solutions/enterprise-midsize-business/security-fabric.html
============================================
OWASP & GDPR - A New Look at Privacy in Web Applications
-
General Data Protection REGULATION
-
Goals
- unification of …
-
What is personal data
- All the data information related to a person that is able to identify the individual
-
7 Principles of GDPR(https://i.imgur.com/OJh6Jov.jpg)
- justification
- transparency
- finality
- proportionality
- accuracy
- confidentiality
- accountability
-
GDPR top 10 ??
- website application vulnerabilities
- operator-sided data leakage
- 資料如何洩漏出去的
- Insuffcient data breach response
- 這點在GDPR中要求得很嚴格!一定要回報的機制
- Insuffcient Deletion of Personal Data
- 當要求把資料刪除時,要如何確實的刪除與層次的問題
- Non-transparent Policies, Terms and Conditions
- 使用者協議的問題
- Collection of fata not required for the promary purpose.
- 到底收了哪些資料,資料的敏感度
- Sharing of Data with Third Party
- Google, Facebook等如何去share data,是否有經過使用者同意
- Outdated personal data
- 資料的保存、時效性、銷毀的處理
- Missing or insufficient Session Expiration.
- 跟網頁相關,例如:記住Login等
- Credentials儲存時效性問題
- Insecure Data Transfer
- 資料傳輸的過程是否有加密
- GDPR在inter branch還是要求加密,只要是不同的location
-
OWASP Software assurance maturity model(SAMM)
-
文件:https://github.com/OWASP/samm/raw/master/v1.5/Final/SAMM_Core_V1-5_FINAL.pdf
-
GDPR secured Development
-
25 privacy by design and default
-
OWASP SAMM
-
32 security of processing
-
35 DPIA's
-
-
Mapping SAMM w/ GDPR
-
SM - Strategy & Metrics
-
PC - Policy & Compliance
- 目前還沒有一個認證(EU也沒有),不過跟PCI比較接近的
-
EG - Education & Guidance
- 如何教育開發人員資訊安全,業務,老闆
-
Data Protection Impact Assessment (DPIA)
- Describe
- Indentify
- Mitigate
-
TA- Threat Assessment
- Ref:
- https://www.owasp.org/index.php/SAMM_-Threat_Assessment-_1
- https://www.owasp.org/index.php/SAMM_-Threat_Assessment-_2
- https://www.owasp.org/index.php/SAMM_-Threat_Assessment-_3
- Ref:
-
SR - Security Requirements
* -
SA - Security Architecture
- 完善保護的要求
- 個資蒐集最小化
- 怎樣處理個資…是“玄學”阿阿阿阿阿阿阿阿!
-
DR - Design Review
- 所有敏感的資料,Data Flow需要被Review
- 當歐盟來敲門,錢就飛了,工作也飛了
-
CR - Code / Implementation Review
* -
ST - Security Testing
-
VM - Vulnerablility Management
- 發生任何一見事情,該如何回報,必須要有方法(EU要求:72小時要回報)
- 如果有發生資料外洩,就必須要通知資料當事人(有一萬人,就要通知一萬人)
-
EH - Environment Hardening
- 如何加強現有有漏洞的環境
-
OE - Operational Enablement
* -
Q&A:
- 針對Io的部份,OWASP有相關資料可以參考
-
Ref:
- https://www.owasp.org/index.php/OWASP_SAMM_Project
- http://www.owasp.org.cn/OWASP_Training/SAMM
- GDPR: https://www.eugdpr.org/
- 上面那些表格這邊都有:https://2017.appsec.eu/presos/CISO/Embedding GDPR into the SDLC - Sebastien Deleersnyder and Siebe De R
- oovere%20-%20-%20OWASP_AppSec-Eu_2017.pdf
============================================
沒有猜不到的檔名,只有自以為的安全
-
網站檢測起手式:列舉之術
-
任何資料放到網路上,就先失去了機密和敏感性
-
猜中檔名就GG
-
招式一、餵狗(Google Search)
- google => inurl:/admin site:gov.tw
-
招式二、Robots.txt
- 看Robots.txt
-
招式三、爬蛛+亂猜
- OWASP Tool: OWASP DirBuster Project
- ref:
-
URL中洩漏了不應有的資訊
- index.php?sn=shops&content=viewForm
- index.php?sn=shops&content=editForm
- index.php?sn=member&content=viewForm
-
如果對面的事Windows??
- VB6一路向上支援XD
- VB6一路被靠北上來,始終如一存在XDDDDD
- 商用軟體必須考慮到延續性
-
源自windows的NTFS預設支援8.3 短檔名
- IIS 7.5前的版本可利用萬用字元列舉
- ref:
-
從狀態碼來判斷下一個字元!
- 404代表有,400代表沒有
- 常見壞習慣.bak ~1 -1
-
當然也有變型應用
- EX: http://xxx/abou8~1.aspx
- Ref:
-
良心建議
- 前後台應實體切割,不要同一個URL全包。
- 沒錢買新的版本不是罪!!LOG分析要有!
- EX: 統計200、302、404、500等狀態
- Tool ref:
- 管理後台應限制在特定的區域才能連入
- 善用URL Rewrite
- 不要讓人有機會用你的下載檔案,下載不該下載的檔案
- Base64不是加密唷!
-
講者Mail : Jason@itop.com.tw
============================================
- 台灣每年都是資安元年
- 大綱:
- 第五代 (GenV) 攻擊與雲安全現況
- 完整防護混合雲的應用:Check Point CloudGuard
- Check Point Overview
- 2018 世界經濟論壇全球風險報告
- 資安從 nice-to-have 變成 must-have
- CIA and NSA tools leaked
- Uber Data Breach
- WannaCry
- Equifax hack
- 多重突破口與先進威脅
- Gen I: Virus
- Gen II: Networks
- 第五代安全攻擊(Gen V Mega Attack)
- 大規模 (跨國家與產業別)
- 國家級別威脅
- 巨大損害
- 多重突破口
- 網路
- 端點
- 雲
- 行動裝置
- 企業安全實施重點
- 動態情資分享
- 雲服務
- 雲服務的成長到2020年預估可以達到$190B
- 費用的可預測化
- Migrate to cloud, Innovate with the cloud
- 供應商與企業安全職責分立
- 七成以上的企業應用了多種 SaaS
- 資料放在雲端會更難控管
- 針對雲端的 Gen V 攻擊已經來臨
- 區段化 (Segmentation) 要分清楚
- 針對存取控制、網路架構來設計
- 依據業務屬性、風險程度來定義
- 例如存取控制、沙盒隔離
- 資安事件發生的時候,要怎麼避免擴散 (出事的時候,要把危害阻隔在該區段)
- 在雲端服務中,底層都幫你做好了,所以區段化比較難做,但還是要做
- 用 CheckPoint 的 solution 可以統一資安標準
- 各種雲都適用
- 單一介面管理所有虛實閘道
- Gen VI: Nano Security
- IoT
- CheckPoint solution:透過 Nano Agent 清洗流量再送到裝置上
- 自駕車與車聯網
============================================
誘捕系統樣本分析與開源情資應用
-
大綱
- Honeypot as a service project
- IotPOT project
- Open source threat intelligence application
-
CZ.NIC and III
-
Malware feature
- Hash infomation
- Virus infomation
- Other infomation
-
Malware grouping and classification
-
Domain name analysis (繪製malware dns關係圖)
-
Google it (VXVault)
-
IoTPOT Project
- 找尋特定作業系統
- 建置IoT Honeypot
- 觀察與統計攻擊者指令(Command line)特徵
-
Open source threat intelligence application
-
Tips (Con.)
-
What feature can be used for correlation?
- CVE,IP,DNS等
-
訂閱各大資安專家twitter了解近期可能會爆發的惡意程式
-
What twitter hashtags tellus
- Search
- Shodan
- Search
-
有些內容講者講好快來不及打。
============================================
利用智能情報建立新世代的威脅管理及防禦平台
-
資安事件分享
- 卡巴發現了很多資安事件(xDedic,ATMProxy…等)
- Ransomware -> Miners
- 改為挖礦
- 透過網站挖礦
- 藉由手機挖礦
- 資安事件常見攻擊鍊
- 已知漏洞威脅或0-day
- 資安意識的疏忽
- 補償性措施不足
- 行動裝置或IOT已成為新的威脅來之一
- 所以產業都可能成為目標
- Attribution Hell
- 攻擊者可能會在惡意程式中插入混淆的程式碼
- ex:加入中文,俄文,其他惡意程式特徵等
- 攻擊者可能會在惡意程式中插入混淆的程式碼
-
威脅管理與防禦
- 新的威脅不再是一次性攻擊
- 滲出,準備,感染,滲入存取
- 收集證據>進行分析>檢查關聯因素>了解問題原因>修正問題>確保業務不中斷>
- 常見的對抗方法:
- 90% 防毒軟體
- 可適性安全模型:
- 預測 預防 回應 偵測
- 新的威脅不再是一次性攻擊
-
建立專屬的威脅管理平台
- 免費:elk
- 付費:splunk
-
事件回應服務及流程
- 數位取證
- 事件回應
- 惡意程序分析
-
安全工具的選擇
- 常見的分析工具
- 常見的分析工具
-
整合全球威脅智能情報平台
- 偵測釣魚與惡意URL
- IP Reputation
- Malware Hashes
-
最大的挑戰也是最基本的問題
- 企業的專業資安人才來源
- 安全事件處理流程的設計與管理
============================================
Leverage practical threat intelligence to defend enterprise security using honeypot: methodology, applications and lesson learned
-
大綱
- introduetion to threat intelligence (安全情報)
- practical threat intelligence framework
-
何謂威脅情資
- Cyber Threat Intelligence
- 對象,手法,種類
- 情資並非黑名單
-
威脅情資來源
- Honeypots
- open source intelligence feeds
- Commercinl Threat Intelligence Feeds
- Trusted Community!
*
- 補充 : open source threat intelligence feeds: abuse.ch
-
Threat intelligence feeds
- Tactical Intelligence
- Operational Intelligence
- Strategic Intelligence
- Actionable Strategy
-
Criteria for selecting Threat Intelligence Providers:
-
Practical Threat Intelligence framework:
-
Threat Data Processing:
-
結論
- Threat Intelligence已經成為必要的防禦手段。他不只是黑、白名單,而是更多更符雜的情資。
- 必須仔細的考量Threat Intelligence方案:
- 是否真的需要?需要怎麼樣的情資?
- 如何將所取得的情資作運用?
- 是否有足夠的資金能夠維持運作?
- 是否有足夠的團隊能夠維持運作?
============================================
IoT場域資安威脅之預防及偵測情境
- 物聯網的大型資料DDOS
- IoT V.S BoT
- 物聯網為24/7電力網路都在最佳狀況
- 皆具基本的運算能力
- 卻沒有防毒軟體的防護
- 為嵌入式裝置
- 有些設備不具備更新機制
- 美國大學遭到DDOS
- 原因是學校的自動販賣機、路燈
- 可能晶片存在通用型的弱點
- 攻擊手法: Bluetooth攻擊手法
- 賭場
- 智慧型魚缸: 自動餵食、控溫
- 溫度計用VPN連回內網進行攻擊
- OWASP 2014
- I1:不安全的網頁介面
- SQLi, XSS, CSRF
- Sol: OWASP ZAP
- I2: 不充分的認證與授權
- 弱密碼、密碼重置?根本沒密碼?
- Sol: OWASP ZAP, Hydra
- I3: 不安全的網路服務
- 依照裝置各種通訊協定去測試
- Sol: Nmap Metasploit
- I4: 傳輸時沒有的加密保護
- 依照裝置各種通訊協定去測試
- Sol: sslyze, wireshark
- I5: 隱私威脅
- 過多的個資沒有保護
- Sol: IDA Pro, binwalk, mobile App
- I6: 不安全的雲端介面
- 雲端服務弱認證機制
- Sol: OWASP ZAP, API機制?
- I7: 不安全的行動介面
- 行動裝置不安全
- Sol: Apk tool Dex2Jar, iDB ClassDump
- I8:不充分的安全設定
- 安全性設定不足
- 大多數權限控管不當
- I9: 不安全的軟體與韌體
- 韌體保護機制不當
- Sol: IDA Pro, binwalk
- 官方網站可下載韌體
- I10: 實體安全考量不足
- 拆開MCU
- Sol: 手,UART,I2C,SPI
- I1:不安全的網頁介面
- 懶人專屬
- Blueborne藍芽漏洞
- Video Ref: https://www.youtube.com/watch?v=Az-l90RCns8
- Google一下 CVE-2017-0785 github 加上CSR4.0藍芽接收器可以去玩玩
- 無線訊號為新興物聯網應用中的一項重要資產
- 一開始就把安全就好才是王道
- 無線訊號 & 資安風險
- 物聯網場域基礎網路架構
- 物聯網管理系統
- 場域應用基礎設施
- 使用者互動裝置
- 有效聯防
- 情資彙整
- NetFlow偵測
- RF訊號探測
- 整體有效物聯網資安聯防系統
- 偵測
- 預防
- 應變
- 案例學習
- 工商:iSecMaster
============================================
Home network security with embedded devices
-
作者介紹
-
Visit OpenLab(在公館寶藏巖)歡迎各個Maker
-
Mr.Robot hacking scene
-
走向智慧化之後,潛伏帶來的危機是我們需要注意的
-
如何防備自己不被侵入
-
The search engine for IoT
-
Home could be your weakest link
-
- Corporate security landscape
- Home security landscape
- 防護: anti-virus or router
-
BYOD bring your own device or bring your own disaster
-
What is Network security Monitoring (這是一本書)
-
講者自己家中的Internet Configure
- https://i.imgur.com/0E6Xtri.jpg
- 還放了HoneyPot在家中…
-
ASUS Router 有一個Merlin Build可以去看看
-
IPv6的Scanning比IPv4難
-
port 445最好不要公開對外
-
家中內部管理雖然可以不用用到SSL,但安全防護就要更注意
-
Remote pcap capturing
- Ref: https://github.com/rpcapd-linux/rpcapd-linux
- 需要root access,所以需要刷openwrt
- 只支援windows環境
-
Network Sensor - Catchwire
-
Suricata
- Open Source IPS IDS
- Ref: https://suricata-ids.org/
-
Bro IDS
- open source unix based network monitoring framework
- Ref: https://www.bro.org/
-
Critical Stack
- Free intel Market place
- Ref: https://intel.criticalstack.com/
-
ntop
- open source traffic visualization
- Ref: https://www.ntop.org/
-
Deception Nodes - HoneyPot
- 用Honeeepi裝在自己的網路中
- Ref: https://redmine.honeynet.org/projects/honeeepi/wiki
- 可以放在外部(偵測外部)、內部(偵測侵入現象)
-
Syslog
- dump log
-
ELK server
- 做彙整
-
Putting together
-
講者資訊
- website: www.honeynet.sh
- email: christopher.lek@honeynet.sg
-
根本Open source software 大爆發…
============================================
大海撈針~網路空間的感測聲納與深水蜜罐!數位海域反潛作戰
- 比喻在大海裡找出一台潛水艇
- HoneyPot技術比喻
- 誘餌
- 感測
- 關聯
- 識別
- 目前大部分還是以做完誘餌為主,但現今應強調識別
- 猜測域名: mail.xxx, vpn.xxx, admin.xxx
- WEB誘餌: 用快取的方式傳回靜態,避免把Honeypot當跳板
- 多加一個mail來當誘餌的感應器
- 誘捕網路建置了,然後呢?
- 買硬碟、存資料?
- 感測、關聯、識別
- 如何不依賴IP,Domain,攻擊樣態,惡意程式
- 封包情報的藝術與科學
- PacketINT核心引擎
- 網路安全
- 機器學習
- 協議指紋
- 封包關聯
- 流量分析
- 拓樸探索
- 網路量測
- 網路安全
- 怎麼感測攻擊工具
- 一個寄信的動作
- IP, TCP, SMTP的行為特徵
- 布局的策略是由人想出來的,ML是無法的
- 行為模式的觀察很重要
- 橫向關聯需要被動式特徵
- 怎麼關聯大量儲譯封包
- 來源->NAT->外網->感測網路(拿到協議指紋)
- 給你2個不同IP是不是同一台主機?(關聯性查詢,設備查詢)
- 主動量測
- 拓樸關係
- 對一個攻擊者,不會隨便更換infra
- 從被動入侵,主動試探進而關聯查詢
- 怎麼識別未知的攻擊者
- 人為的錯誤
- 使用程式的習慣
- 判別人or自動化
- 不同工具的組合變成攻擊者的識別方式
- 攻擊者不會隨便變更習慣工具
- 關鍵抓Hacking Team Proxy Tool
- 關鍵在抓不容易更改的特徵
- 從資料的觀點,協定的觀點重新思考誘捕變更成主動關聯及識別
- Alias resolution
- time stamp的可檢測與否進行識別或攻擊
- 檢測的內容不一定是你的server或client可能會是router
============================================
摔不壞的雞蛋籃─雲端網站集中化的保障
-
現在各種服務都上服務,DBaaS、SDN SDWAN、CPaaS、FaaS、DaaS、OTT、UCaaS
-
基礎架構服務化(IaaS)
- 容易受到: 旁注攻擊、DDoS
- side channel attack
- 容易受到: 旁注攻擊、DDoS
-
軟體服務化(SaaS)、平台服務化(PaaS)
- 容易受到的攻擊:後門、猜猜樂、中間人攻擊…etc
- 商業邏輯
- 資源控制
- 輸入值驗證
- 敏感回應
- 用戶端安全
-
要謝的人太多,還是謝天吧
-
要改的程式太多,還是改天吧!ya~
-
資安三角不平衡
-
安全(Security)
-
便利(Conventient)
-
效能(Perormance)
-
成本(Cost)
-
管理/實做能力(Administration)
-
-
應用程式傳遞控制(ADC)
- 網站防火牆(WAF)
- 應用層控制
- OWASP Automated Threat
- 身份驗證
- 強化驗證
- 圖形驗證碼
- 雙因子驗證
- 機器人檢查
- DDoS
- 網站防火牆(WAF)
============================================
開放或封閉的安全之刃
-
開源軟體,特性
- 彈性擴充
- 自己手動修改
- …
-
開源軟體,缺點
- 看到原始碼的風險
- 引用帶來的風險
- 漏洞修補速度
- 版本升級問題
- 貢獻惡意程式
-
閉源軟體
- 保護原始碼
- 服務與責任
- 難以自行修復
- 驗證修復結果較難
-
應用程式檢測:96%採用開源套件
-
Opensource 大有可為,如入開源正在進行,微軟將Github買下
* -
問題點在於…最大的Bug,是人…的概念
-
策略:建立管理制度
-
選擇方式
- 提交條件、更新速度
- 版本控制、問題追蹤
- 版本說明
- 活躍程度
- 安全檢測
- 商業支援
-
開源軟體,需要注意受援問題!
- GPL, AGPL, BSD, MIT, LGPL, APACHE
-
為什麼想公開程式碼
- 分享, 公益, 成就, 信心
-
工具(opensource)
- OpenVAS
- OWASP ZAP
- w3af
- sqlmap
- MobSF (Android(靜態、動態), iOS(靜態))
- Security Code scan (.NET)
- SonarQube
-
工具(商用)
- ssl lab
- SourceClear
- Black Duck Open Hub
- Coverity Scan (免費檢查Open source專案)
- Ref:
- OWASP Source Code Analysis Tools
============================================
個資外洩一瞬間 Data leakage Caused by Website Vulnerabilities
-
資訊化普及,個人資料常以電子檔案方式儲存
-
資料外洩是威脅企業的前五大威脅之一
-
165 民眾通報高風險 清單
============================================
Disappearing perimeters: Combating Security Challenges with Cloud Security
- 在安全與效能之間取得平衡
- Elastic, rich and vulnerable
- NSFnet +ARPANET
- www 出現DDOS(50Gbps)
- Web 2.0
- people
- Things(DDoS > 60Gbps to 1.3Tbps)
- Rich with APIs
- Elastic with IoTs
- 設備全部聯網
- 智慧電表, 手環, 鞋子, 智慧家庭
- and has become more vulnerable
- Attack double in size every 2 years
- 204 byte request with 1MB response
- Memcached UDP reflection: 5000x amplification
- Minized Risk is not straightforward
- 如何迅速的分析
- DDoS接著APT攻擊
- how quickly can you detect an attack
- how quickly can you analyzing traffic
- Bottom line - security perimeters are fading away
- 廣泛的應用程式使得原本機制邊線變模糊
- Traditional solution
- identity
- access
- security
- app delivery
- performance
- 只要logging就代表著信任,內部網路遭殃 => wannacry例子
- 現在的應用程式已經個人攜帶,已經沒有inside跟outside之分
- 不要相信任何人,但要檢查所有事情
- Cloud must become the new perimeters
- Data Center 異地備援
- scalability and resiliency
- integrated security solution
- Zero trust
- 單一整合方案而非堆疊式架構方案
- one cloud platform to secure all enterprise app and user
- identity and application access
- SSO with MFA
- application performance and security
- advanced threat protection
- inline data inspection
- Could security - key elements
- easy movement to zero trust
- fluid security with auto scaling
- API management and security - micro service and container
- security analytics - 360 degree view of interactions with systems
- agility - merger of security, DevOps and CI/CD
- Newer opportunities in ML and AI
- How we help? (工商)
- Costs
- Data intelligence
- Digital experience
- Security
- Agility
- Reliability
- Akamai與各大Cloud主要採取CDN服務提供
============================================
07/12
============================================
Integrating Human Behavior into the Development of Future cyber
MEECES:
https://www.networkworld.com/article/2330885/lan-wan/meeces-to-pieces.html
For stages of non-nation state actor - nation state relationship
Stage 3 - Maintenance of the relationship
Stage 4- Dissolution of the Non-Nation State Actor - Nation State Relationship
Post-dissolution - One unusual but interesting outcome
Macro-level forcus:
Social structure and trajectory of hacking, cybercrime and cyberterror communities
============================================
劃時代的新趨勢及防禦術-DefenderOne:進階威脅關聯分析,智慧偵測,強制執行
(Advanced Threat Detection Contextual Analysis and Enforcement with Anti-DDoS protection)
- Network Security
- Stop Hackers from disrupting your service
- Stop Hackers for Entering your network(這不是廢話嗎…)
- Modern DDoS Attacks Are Complex & Diverse:
-
DDOS 已經來到網路層第七層
-
Today's DDOS Attack can cause saturation upstream,or service outage-many time a single attack can resuit in all three - and all with the same end
-
TRANDITIONAL DEFELSE FAILED TO STOP DDOS ATTACK - 每年會有個報告可以免費下載
-
- State exhaustion ddos attack(狀態表耗盡攻擊)
- Mirai Botnet (yooooooooo, 好喔,他還是有提到經典)
- REF: https://en.wikipedia.org/wiki/Mirai_(malware)
- REF: https://www.csoonline.com/article/3258748/security/the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-internet.html
- Miral is Not just a DNS Attack - L3到L7的攻擊
- History:
- summer 2016: 540 Gbp
- september 20th - 620 Gbps
- september 21st - 990 Gpbs
- OCTOBER 21st - 21
- 2018 - More that DDos Attacks
- 有人把IoT botnet 轉乘Proxy的做法,或作為挖礦的虛擬作法 - 後面的變相作法會越來越多
- 早期都是干擾服務,現在進步很多,連APT都有關係
- DDoS and APT Relationship - 會在第二階段出現(參考ppt stap2) - 用來干擾服務(煙霧彈)
- APT 到STEP 3~STEP 5 ->已進入內網且已經可以對外跟C&C溝通
- History:
- AED -Automated Advanced DDos Capability(產品介紹)
滿滿的產品…
滿滿的產品…
滿滿的產品…
滿滿的工商…
============================================
雲端時代企業資安新策略 - 從 BeyondCorp談起
-
https://static.googleusercontent.com/media/research.google.com/zh-TW//pubs/archive/43231.pdf
(網路上找到的產品介紹?) -
雲端安全像青少年的… -每個人都有做過,但每個人都不知道在做啥
-
雲端資安防護 -why?
- 企業資源架構部屬模式(Cloud,mobile,BYOD,SaaS
- 安全威脅(攻擊)模式
- GitHub DDoS(2018/2/28):1.35Tbps
- REF:http://www.nccst.nat.gov.tw/NewsRSSDetail?seq=16076
- 佛系資安人XD
-
Beyondcorp
- REF: https://cloud.google.com/beyondcorp/
- Google 在2011提出的企業網路資源存取安全架構
- 零信任、 無邊界
-
好處
- 即時的信任程度分析
- 可追蹤,邏輯化的同意存取/拒絕存取紀錄
- 鼓勵使用者正確的安全觀念(SSL/TLS連線,MFA[多重因素身分認證],更新PATCH等)
-
Google 部屬的經驗:https://storage.googleapis.com/pub-tools-public-publication-data/pdf/44860.pdf
-
雲端資安新趨勢-技術
- 更多的資源投入
- 更多的資訊點整合
- 多雲端供應商架構來分散風險/流量
- Buzzwords正夯(AI,ML,IoT,Quantum Computing…)
-
佈建迷思
- 問題1:雲端安全關鍵點在於雲端供應商本身,供應商對於雲端平台安全的態度積極與否極為重要
- 答案:實際上 受限於資源,平台的安全並無法完全仰賴平台供應商($$$)
- 問題2:
- 答案:
- 問題3:技術為王
- 答案:雲端安全解決方案所使用的技術,是因該考量的核心點,技術在先進,若營運中有任何一環的細節無法適當配合企業需求,整合往往無法順利成功
-
總結
- 要靈活的綜合新/舊的思維來不屬雲端資訊安全系統
- 視雲端安全問題(包含法尊)為企業營運相關問題,而非純技術問題
- 要將雲端安全解決方案的真實成本(包含方案本身、人力、時間、知識)考量在內
- 人才不是資安成功的關鍵,但蠢才是失敗的要素
============================================
GDPR資安合規要求及對雲端大數據產業可能產生之影響
-
REF: https://www.ndc.gov.tw/Content_List.aspx?n=49C4A38DD9249E3E
-
簡介
- 簡單來說,就是歐盟的個資法
- 取代1995年歐盟個資保護指令(directive 95/46/EC)
- 統一歐盟28國的個資法
- 特別提到:IP跟Cookie也算是個資!!!!!!! (燈愣!)
- 個資外洩事故通知新規定
-
步驟
- 是否適用GDPR
- 是否可能將業務適當調整後不適用?
- 差異性分析(Gap Assessment)
- 修改隱私權條款(告知)及當事人同意
- 符合跨境傳輸之要求
- 強化DPIA、個資長(DPO)、Privacy by Design/Default等企業遵循規範
- 注意個資事故通知規
-
罰則
- 全球營業額4%(前一會計年度4%營業額)
-
適用範圍
- 自動化方式處理之個人資料
-
「處理」定義
- 相當寬廣
-
也是用於公務機關
-
管控者(controller)
- 自然人、法人、公務機關、局處、其他機構
- 單獨或與他人共用
- 決定個人資料處理之目的與方法
-
處理者
-
-
設定主義
- 在歐盟境內設有據點之控管者或處理者處理個資的業務活動
- 對「歐盟境內」當事人提供商品或服務,不論是否向資料人收取費用
- 不限至於歐洲人!
- 監控資料當事人於歐盟境內之行為
-
六大原則
-
合法性、公平性、透明性
-
目的限制原則
-
資料最小化原則
- 盡量最少
-
正確性原則
- 如果有錯誤要協助修正
-
儲存限制原則
- 為了公共利益可以不刪除
- 以及科學、歷史研究、統計等目的,有可能可以不刪除
-
完整性與機密性原則
-
當事人可能行使異議權
- 當事人可為直接行銷目的而處理個人資料提出異議
-
-
當事人權利
-
跨境傳輸條件
- 安全第三國
- 當事人明示同意
- 必須要符合透明性原則
- 標準資料保護契約條款
- 拘束力企業守則
- 行為守則
- 認證!!(但是還沒公佈…婀…)
- 公共利益
- 當事人重大利益
- … etc
-
大數據分析
- 是否為個資
- 誰負責
- 去識別化
- Anonymisation vs pseudonymisation
- 去識別化、假名化(EX: 員工編號)
- 去識別化的資料,不適用於GDPR
- 假名化,適用GDPR
- 已構成安全保護措施
- 個資外洩時,有可能不需要旅行通知義務
- 有利於解釋管控者立於大於當事人利益
-
針對大數據
- 當事人同意與透明性
- 大數據可能與目的限制、資料最小化、儲存限制等GDPR原則相碰撞
- 大數據可能涉及自動化決策(剖析)
-
Iot
- 經常與個人隱私高度相關,也可能會觸犯GDPR
- Privacy Friendly
- 資料當事人應有權以有結構、普遍使用且機器可讀之形式,獲得其提供
- 弱技術許可時,資料當事人應有權使該個人資料遊一控管者直接傳輸予其他控管者
(講師表示,深入可以發現是針對公平交易,所以這根本針對Facebook)XD
-
因應總結
-
問題
-
針對區塊練的資料不能刪除
- 先問區塊練上的資料,是不是個資
- 去識別化
- 使用者,已經知道這資料是不可刪除,只要讓使用者事先了解資料不可刪除
-
同意條款,如果只寫對公司利益
- 基本上,目前似乎是可行的
- 但是適可而止
-
如果是網站在台灣,但是有歐洲人來連結
- 判斷主要對象是否是歐洲
- 用的語言是否有提供歐洲語言?
- 如果只用中文、英文,用新台幣、USD等的話,應該是沒問題的
- 判斷主要對象是否是歐洲
用心智圖分析資安事件
-
Situational awareness defined:情境(狀態)察覺
- the ability to identify, process and comprehend the critical elements of information about what is happening to the team
- 要了解當下全部的狀況,就有點像是當鐵人的資訊
-
-
Elements and Relationships
-
用心智圖的方式,去展開相關的資料
-
Relational DBs Cannot handle relationsips well
-
High query performance in a native graph DB
- REF: https://en.wikipedia.org/wiki/Graph_database
- Natural data modeling
- relationships are first class citizen
- direct linkage between related data nodes
- nodeed for joins
- ontologies frive new relationships
- expand into new data types on the fly
-
ML(Machine learning) vs MR(machine reasoning)
以「情資分享」與「應用層流量篩選」建立高效率防禦第一線
- Challenge of network visibility
- network traffic keeps growing
- innovations in data transportation and information tecnology
- Diversiied threats requires various security
恩…工商到不知道該寫什麼…
硬體資安禪之道
-
為什麼要Hack硬體
- 好奇心
- EX:
- Smart card
- ISO 7816 UAT
- 電子物理協議
- 主從通訊或仿真
- EX:
- 好奇心
-
破解方式
- Clone整套硬體
- 測錄協議
- 協議仿真
-
逆向Serial UART腳位
- GND腳位判定
- 找到VCC、RX、RX
- 調整速度2400-115200
- GND腳位判定
-
如何獲得硬體用的工廠用的協議指令集
- 洩漏的工廠技術文件
- 測錄會發出工廠指令
- Fuzzer暴力破解
-
手法
- 洩漏文件
- 內部工具軟體韌體升級軟體(非官方)
- sniffer、仿真
- 弄到內部電路圖,抄板
- Fuzzer
- …etc
============================================
資安威脅與數位隱私保護
-
AI,ML,DL
- 定義
- 演算法及計算樣本
-
新型態的網路攻擊
- 攻擊目的改變
- 取得大數據後的目的
-
資訊安全與隱私保護
- 雲端儲存與資料安全
- 隱私保護與新興問題
-
隱私保護之國際趨勢
- 國際傳輸與資料在地化
- 個人資料保護法與GDPR
-
第一銀行盜領案…
- 順序 = 入侵 -> 總行 -> ATM -> 車手
- 註:旁邊那支電話,打了之後會是該行的行員接,無法解決則轉至緊急應變中心
- 寄回來的EMS的電腦的LOG是空的(觀落陰)
- 有空可以查一下刑法339-2
-
手機鑑識
- Chrysaor
- Skygofree
- Lipizzan
- 手動在特定位置,區域時,就會自動開啟錄音功能
- 取得相關社群APP Message訊息
- 自動連接上游攻擊者控制的wifi,可藉此遠端控制手機
- 60天無法與伺服器連線,接受到伺服器傳送過來的自毀命令會自動刪除(手機可能被查扣,可能被檢察官拿去),天數可設定
-
AI
-
ML
- 尋找適合電腦做預測或攻擊模型分辨的一種演算方式
-
DL
- 機器學習的一種分支,也是目前機器學習方展方向主流
- 類神經網路
-
駭客到底要什麼
- 要帳號密碼
- 盜取財物,金融詐騙
- 讓公司的電腦變成跳板
- 就是要破壞
- 政治或軍事目的
- STUXNET
- 自己加入管理權限
- 成為隱藏的公司員工
- 知悉公司的商業動態
- 取得營業秘密,金錢動機
- 未知
- 取得一切的數據資料
- 協力運算或挖礦
- 要帳號密碼
-
輸入大量資料
- 把能找到的資料(各種周刊)弄了一大堆資料,然後丟到電腦內
-
類神經網路圖像化社交關係
- 節點:公司/個人
- 節點顏色:是否為第一層起點
- 節點大小:跟多少人/公司有連結
- 邊:公司/個人之間的關係
- 邊顏色:不同類型的關係
- 邊粗細:是否有多種關係
-
大數據,機器學習,隱私保護
- 以Facebook與劍橋事件為例
- 可以利用相關的行為特徵判斷你的經濟地位…etc
-
資料保護規範與隱私
- 隱私的定義
- 充分告知用途
- 發展演算法
- 隱私之發展
-
GDPR 歐盟通用資料保護規範
-
美國與歐盟對於資料跨進傳輸
- 美國不適用GDPR
- 跨境傳輸
- 資料在地化(Server需要在在地需要擺放,政府需要能夠管理)
- GDPR針對非美國國家
- 美國不適用GDPR
意圖威脅即時鑑識服務-資安事件處理新觀念
-
最令資安管理人員頭痛的問題
- 曾經收到一堆警訊,但不知道從何處理
- 想找出資安警訊發生原因,但是難以進行
-
傳統惡意程式分析及事件處理可使用物件
- autoruns
- Process Explorer(查看該PID及PID內的相關資料[啟動路徑])
-
數位鑑識非常好,但實務上
- 貴
- 花時間
- 找不到人做
- 花了錢達不到預期的效果
- 做完之後資安問題依然發生(因為清不完)
弄到最後乾脆重灌,因為比較快
-
事件處理最大盲點
- 透過人力處理資安事件很有效,但是通常都在事後才能處理
-
如何做到?先克服內網威脅的關鍵問題
- 快速鍵別大量主機中的攻擊活動
- 持續偵防攻擊者的惡意行為
- 所有事件處理通常都是一次性,出一次事弄一次
-
產品介紹
- Process
- Register
- 有跟VT合作
- …etc
-
真實案例分析
- 警訊分析處理流程
- 分析發現異常TRACE->分析TRACE的EVENTS->檢查所有PROCESS->檢查FILE->追蹤源頭->總結事件始末
- 找到一個隱藏資料夾內有個FILE
- 傳送一個FILE 繞過沙箱(讓程式睡90分鐘)為了規避沙箱 -> 輸入指令ipconfig /all -> 查詢net use(提權) -> 註冊系統服務來確保可以持續登入受害主機(寫機碼) ->查詢中繼站 ->查詢中繼站在VT的情況(二)
- 警訊分析處理流程
OpenEMR System漏洞探析
- What's the OpenEMR
- 是一個應用在國外的醫療系統,GITHUB上面有,用於紀錄醫療機敏資料資料
- REF:https://github.com/openemr/openemr
- 漏洞細節
- OS Command Injection
- 條件:攻擊者必須以登入
- 達成的攻擊情境:
- 可以在伺服器上執行任意系統指令
- 典籍惡意網址後可以取得伺服器的控制權
- URL:
- METHOD:GET
- PARAM:scan 後面可以加參數
- PoC:
- 有exec 從exec下手 EXEC中有使用者可控的參數,且沒有對此參數做任何過濾
- 修補方式
- 輸入典試檔案名稱,故對黨名作FILTER
- 系統自產生黨名
- Arbirary File Wriet to RCE
- 條件:攻擊者已經登入
- 達成的攻擊環境:
- 可以上傳檔案到攻擊者指定的路徑
- URL:
- METHOD:POST
- PAPRM:mewtemplatename
- POST Payload:
- URLOAD PATH:
- 問題點:
- 修補方式
- 白名單補ㄈㄤ補ㄈㄤ補ㄈㄤ補ㄈㄤ補ㄈㄤ補ㄈ
- Arbitrary File Read
- 條件:
- 攻擊者必須以登入
- 達成的攻擊環境
- 條件:
- Mulitiple Reflected XSS
- 攻擊
- 漏洞位置和攻擊方式
- 條件:
- 攻擊者必須已經登入
- 達成的攻擊環境:
file:
METHOD:REQUEST
PARAM:Patint
Payload
file:
METHOD:GET
PARAM:key
Payload:
file:
METHOD:GET
PARAM:eraname,paydate,post_to_date,dpeosit_date,debug,InsId
Payload
* 問題點:
* 直接將使用者輸入的參數顯示到網頁上
* 修補方式:
* 過濾輸入參數
加密與保護 - 揭密程式保護殼如何防止駭客破解您的產品
有個東西叫loader
EXE File
PE格式的結構體[詳細部分參考維基]
編譯器做了啥
SOURCE.CPP ->(Compiler)-> Assemply Code-> (Assembler) -> ObjectFiles->(Linker[連結器]) ->Main.exe
從Source.cpp 到 Assembly -> based on x86 Calling Covention
How Compiler Works
將info 從存到 0xdead
將hi there 存到 0xbeef
How Linker Work
會將Info 及hi there的記憶體位置放到push
Assembler Work
Puse 0; 68 00 ->將push 0 查表後會得到旁邊的 6A 00
Main.exe 內有.text,idata,rdata
There's 3 issues We need to deal with
Where The Exe File Data Should be Placed
How to Place Each Section in Memory
Fix The Import Address Table(IAT)
PE結構體
1.DOSHeader start with 'MZ'
2.DOSHeader ->e_lfanew point to N
Exe File(PE)
SizeOfHeader -> 內有File Header OptionalHeade
FileHeader 內有NumberOfSections
OptionalHeader內有SizeOfImag,SizeOfHeaders,AddressOfEntryPoit,DataDirect
SectionHeader(.txt)->內有ImageSection Header->內有VirtualAddress SizeOfRawData PointerTORawData
Example:
Process Hollowing(Aka PunPE[GitHub])
Windows初始化程式
Application(Ring3)->1.Create Process via CreatProcess()-> Kernal(Ring 0) -> 2.Mapping file into memory ->AddressOfEntry->3.Create File thread of this Process point register eax to AddressOfEntry Point ebx+8(TIB base +8) to image base, and point eip
.text section(會呼叫)ntdll!LdrInitialzeThunk(Call Stack)->修正好需要引入表->ntdll!RtlUserTHreadSart ->執行開發好的MainFunction
該攻擊手法很常搭配在APT攻擊內,先創建一個假的系統程式並暫停她,再把惡意程式注入到這隻假的系統程式,再啟動
有個東西叫loader
EXE File
PE格式的結構體[詳細部分參考維基]
編譯器做了啥
SOURCE.CPP ->(Compiler)-> Assemply Code-> (Assembler) -> ObjectFiles->(Linker[連結器]) ->Main.exe
從Source.cpp 到 Assembly -> based on x86 Calling Covention
How Compiler Works
將info 從存到 0xdead
將hi there 存到 0xbeef
How Linker Work
會將Info 及hi there的記憶體位置放到push
Assembler Work
Puse 0; 68 00 ->將push 0 查表後會得到旁邊的 6A 00
Main.exe 內有.text,idata,rdata
There's 3 issues We need to deal with
Where The Exe File Data Should be Placed
How to Place Each Section in Memory
Fix The Import Address Table(IAT)
PE結構體
1.DOSHeader start with 'MZ'
2.DOSHeader ->e_lfanew point t
Exe File(PE)
SizeOfHeader -> 內有File Header OptionalHeade
FileHeader 內有NumberOfSections
OptionalHeader內有SizeOfImag,SizeOfHeaders,AddressOfEntryPoit,DataDirect
SectionHeader(.txt)->內有ImageSection Header->內有VirtualAddress SizeOfRawData PointerTORawData
Example:
Process Hollowing(Aka PunPE[GitHub])
Windows初始化程式
Application(Ring3)->1.Create Process via CreatProcess()-> Kernal(Ring 0) -> 2.Mapping file into memory ->AddressOfEntry->3.Create File thread of this Process point register eax to AddressOfEntry Point ebx+8(TIB base +8) to image base, and point eip
.text section(會呼叫)ntdll!LdrInitialzeThunk(Call Stack)->修正好需要引入表->ntdll!RtlUserTHreadSart ->執行開發好的MainFunction
該攻擊手法很常搭配在APT攻擊內,先創建一個假的系統程式並暫停她,再把惡意程式注入到這隻假的系統程式,再啟動
ASLR:參考維基
記憶體重定向表->ASLR起動時,根據此表,可以去修正有哪些函數位址需要修正
加殼 -> 重定向 -> 啟動執行序
Secure your Small IOT with OWASP SecureTea Tools Project
- History of OWASP AppSec Asia
- ./Secure Tea Project
- Theory behind IoT
- Identification
- a unique indetifier for a review of the administration of the network
- communication
- to make it able to send and receive data. change "something" to "smart thing".
- sesification
- sensor to get feed changes around it.
- connection
- connect the device to the internet.
- Identification
- Why Internet of Thins?
- Connectedness
- IoT can be connected to any device.
- Monitoring
- IoT can be used to monitor things.That means it can keep a record.
- Management
- Control
- Connectedness
- All About IOT
- Internet of Things
- Secutrity & Privacy
- Use cellphone with attena to monitor the flight
- OWASP Internet of Things Top 10 2018
- Issues vs. defense strategies
- Ref:https://github.com/owasp-id/SecureTea
- Main Idea: Monitoring your device and push notification when your device is logged.
OWASP Top 10 2017 : REBOOT
- so what is OWASP Top 10
- OWASP Top 10 was first released in 2003
- Flagship project
- how is OWASP Top 10 supposed to be used?
- our team undergo secure development training, just cover the topics with OWASP Top 10.
- we need to map the OWASP top1 10 to our current secutiry compliance or use it as a proof that we are secure.
- Top 10 is just a guideline not certificatio
- how is OWASP Top 10 generated?
- Data collection and analysis
- Dataset is generated from Webapp(micro service)
- Human-augmented tools HAT
- Tool-augmented Human TAH
- Prevalence
- HAT: XSS, sql injection as main
- New in OWASP Top 10 2017
- Broken access Control
- insufficient attack protection(but commercial issue -> call for review)
- underprotected APIs(but commercial issue -> call for review)
- OWASP Top 10 2017 Golden Rules
- Injection
- Broken authentication asnd session management
- Sesitive data exposure
- XML external entity
- Broken access control
- Secutiry misconfiguration
- XSS
- Insecure deserialization
- Using components with known vulnerabiliies
- Insufficient logging & monitoring
- microservices written in node.js is now the primary interface for legacy application through API and REST ful API
- Some Thoughts
- Top 10 is not holy bible
- please consider other projects
- OWASP application security verification standard (ASVS)
- OWASP software assurance maturity model
- OWASP top 10 proactive control
- OWASP (mobile) security testing guide
High time to add machine learning to your information security stack?
- This talk is about defense
- AI, ML, Deep Learning
-
Any changes
Be notified of any changes
-
Mention me
Be notified of mention me
-
Unsubscribe
Subscribe