前言
本篇內容記錄 2023/03/10 到台北國際會議中心 (TICC) 201 會議室參與 DEVCORE Conference 2023 企業場的筆記以及心得,因為是靠拍照可能會有一點疏漏,如果有任何問題可以看日後 DEVCORE 的 BLOG。
小感想
感想先寫在前面,在接觸資安的這些年來,其實面對企業的挑戰有很多不確定性,站在甲方(企業)、乙方(資安公司)的角度,看見的事情不同。
這次的議程,除了收穫 DEVCORE 創業的心路歷程之外(非常刻苦的經歷)、也了解到紅隊相關的基本大哉問,也知道了紅隊演練的流程與細項。
盤點自己的能力還是比較適合情蒐紀錄與整理這一塊。
議程列表
- 攻擊一日,創業十年
- DEVCORE 執行長暨共同創辦人 Allen
- 紅隊紅隊,多少服務假汝之名而行!
- DEVCORE 商務發展總監 Aaron
- 紅隊常見 Q&A 大解密
- DEVCORE 資深副總暨共同創辦人 Bowen
- DEVCORE 紅隊的進化,與下一步 Ver. 2023
- DEVCORE 紅隊總監暨共同創辦人 Shaolin
攻擊一日,創業十年
WIFI
- 笑點:如果 DEVCORE 在研討會提供 WIFI ,相信大家也不敢用。這次 TICC 會場有提供 WIFI 使用。
- 知識點:公眾無線網路要小心使用,因為不確認一起使用的人有誰。可以使用自己的手機熱點或是開 VPN 來保護自己。
故事
人類在最古老的時代使用棍棒作為武器,打擊敵人或保衛自己,進入金屬時代創造出刀與劍砍擊讓攻擊變得更強,後來加入新科技,如戰鬥機去延伸作戰空間。而現在可以利用網路,擴展新的疆域。
人類歷史上,科技一直在變,但只有攻擊與防禦不會變。
★ 自古以來攻擊與防禦的概念沒有變,所以才對攻擊感興趣。
駭客思維
- 懂攻擊才可以做好防禦
- 懂駭客思維才可以做最精準的防禦
DEVCORE 公司價值觀: Hacker Mindset
★ 任何時候都可以以駭客思維,去改變身邊覺得不夠好的事情
資安環境與困境
- 資安漏洞出現在「人」身上
- 2005-10-12 文章
- 因為問題或漏洞往往都在人的身上
- 企業資訊主管常苦於如何向經營者爭取資安預算
- 投資在資安上的效益的確很難評估
- 產品並不能解決所有資安問題
十年前
- 不重視資安
- 重視軟硬體大於服務
- 系統架構混亂
- 最低價格標
- 到處都是洞
- 買了產品不用
- 沒有預算
- 出事問 SI
- 滿地都是 Injection
- APT 事件
- 只願求合規
- 資安服務品質低落
- 資安產品複雜
※ 資安合規小故事:企業為了資安合規,買了設備用來盤點,不會使用,八年前去客戶那邊,詢問 WAF 在哪裡,說在地板上,沒有開機,對方回用來稽核使用,而且開了,服務不能正常上線。
飛飛OS: 我怎麼覺得還是跟十年前一樣 XD
十年後
- 資安意識提升
- 重視服務的價值
- Security by Design
- 最有利標
- 漏洞複雜化
- 狂買產品及服務
- 預算增加
- 攻擊型服務
- 重視服務的價值
- 簡單漏洞減少
- 資料外洩
- 不單求合規
- 服務品質提升
- 產品有效性
※ 資安意識提升有感小故事:去市場買東西聽到一個婦人在跟她先生聊天,說資安好重要,駭客好厲害,資料都被拿走,密碼需要改更安全,不能再用生日。
※ 對攻擊型任務認同與需求更高
台灣資安環境
資安服務與政策
- 1998 弱點掃描
- 2002 滲透測試
- 2008 政府機關 ISO 27001
- 2012 個人資料保護法
- 2013 政府機關資安健診
- 2017 紅隊演練
- 2018 資通安全管理法
- 2022 數位發展部成立
攻擊趨勢
- 1998 網路攻擊
- 2000 網頁應用程式攻擊
- 2006 APT 時代開始
- 2008 惡意程式
- 2010 國家等級 APT 攻擊關鍵基礎設施
- 2012 勒索軟體
- 2014 DDoS
- 2016 更大量企業竊取 & 外洩販售
- 2020 供應鏈攻擊
回顧 DEVCORE 三大重點
- 培養駭客思維(核心)
- 教育訓練
- 資安顧問
- 攻擊型服務
- 滲透測試
- 紅隊演練
- 前瞻研究-擴大影響力
- 漏洞研究
- 研究發表
DEVCORE 十年
- 滲透測試服務
- 推出紅隊演練服務
- 國外研究獲選 Black Hat 與得獎
- 2019,2023 研討會
- 實習生計畫
- Pwn2Own 冠軍
- 參加全世界談紅隊最大的研討會 Red Team Summit
PS 理論上官網應該會有這段歷史,但我沒找到 XD
攻擊型服務的演化
- 風險評鑑
- 弱點掃描
- 滲透測試
- 紅隊演練
※ 企業對於真實性的需求持續增加
需求增加,亂象增加
亂象一
2022.09.22 iThome 資安大會
甲方:「請問你們有提供紅隊演練嗎?」
不良廠商「當然有,滲透測試加點錢就有。」
結果:把滲透測試報告改名子
亂象二
甲方:「我拿到這份是紅隊演練報告嗎」
不良廠商「當然我們用紅隊演練 Ne##us 掃瞄出的報告!」
紅隊精神
運用駭客思維,從有限的時間中,研究無限種攻擊的可能。
※ 資安公司的紅隊時間有限,真正的駭客組織有無限的時間,也持續做攻擊,所以要在有限時間內想辦法研究那些途徑對企業傷害最高,最優先處理。
五年紅隊經驗看見
- 供應鏈成為企業安全缺口
- 資安產品有效性難以衡量
- 防禦方隊資安投入優先順序感到無助
- 經過多次演練,企業的防禦及反應能力大幅增強
- 紅隊成功控制的系統中,發現已有惡意攻擊者在其中活動
※ 企業應該要先盤點,現在要做什麼,未來還要做什麼,排優先順序再買資安產品,而這些資安產品的有效性也很難評估。
DEVCORE Research Team
- 回報國際級產品重大漏洞增強安全性: 幫助全世界產品更安全
- you do this for free
- 發表研究至國際研討會促進技術交流
- 透過國際 Pwn2Own 等競賽證明台灣實力
- 發現網軍持續利用的 0-Day 漏洞,幫助原廠加速修補增強安全
ProxyLogon 小故事
可以參考台灣 DEVCORE 意外捲入,中國駭客入侵微軟 Exchange Server 案外案
※ 想做研究的原因,因為想透過前瞻漏洞研究幫助全世界變得更安全
創業的故事
- 撐過創業死亡之谷
- 早期沒有資金,創辦人自己拋錢
- 只聽過 Alan,沒聽過 DEVCORE
- 一開始小辦公室
- 復興北路辦公室
- 新辦公室
為何努力
十年歷程,深信將一件事情做到極致,才是通往成功的道路。
期望
- 有新的更多資安公司
- 成立投資公司
- 獎學金計畫
- 實習生計畫
期許台灣的資安人才有更好的舞台。
結語
尊重,是靠自己贏來的,如果客戶看到價值,就會給予尊重,沒有專業沒有品質,只能陷入低價競爭。