[資安社群] 002 DEVCORE Conference 2023 企業場心得-攻擊一日,創業十年

飛飛 | 2023-03-10

前言

本篇內容記錄 2023/03/10 到台北國際會議中心 (TICC) 201 會議室參與 DEVCORE Conference 2023 企業場的筆記以及心得,因為是靠拍照可能會有一點疏漏,如果有任何問題可以看日後 DEVCORE 的 BLOG

小感想

感想先寫在前面,在接觸資安的這些年來,其實面對企業的挑戰有很多不確定性,站在甲方(企業)、乙方(資安公司)的角度,看見的事情不同。

這次的議程,除了收穫 DEVCORE 創業的心路歷程之外(非常刻苦的經歷)、也了解到紅隊相關的基本大哉問,也知道了紅隊演練的流程與細項。

盤點自己的能力還是比較適合情蒐紀錄與整理這一塊。

議程列表

  1. 攻擊一日,創業十年
    • DEVCORE 執行長暨共同創辦人 Allen
  2. 紅隊紅隊,多少服務假汝之名而行!
    • DEVCORE 商務發展總監 Aaron
  3. 紅隊常見 Q&A 大解密
    • DEVCORE 資深副總暨共同創辦人 Bowen
  4. DEVCORE 紅隊的進化,與下一步 Ver. 2023
    • DEVCORE 紅隊總監暨共同創辦人 Shaolin

攻擊一日,創業十年

WIFI

  • 笑點:如果 DEVCORE 在研討會提供 WIFI ,相信大家也不敢用。這次 TICC 會場有提供 WIFI 使用。
  • 知識點:公眾無線網路要小心使用,因為不確認一起使用的人有誰。可以使用自己的手機熱點或是開 VPN 來保護自己。

故事

人類在最古老的時代使用棍棒作為武器,打擊敵人或保衛自己,進入金屬時代創造出刀與劍砍擊讓攻擊變得更強,後來加入新科技,如戰鬥機去延伸作戰空間。而現在可以利用網路,擴展新的疆域。

人類歷史上,科技一直在變,但只有攻擊防禦不會變。

★ 自古以來攻擊與防禦的概念沒有變,所以才對攻擊感興趣。

駭客思維

  1. 懂攻擊才可以做好防禦
  2. 懂駭客思維才可以做最精準的防禦

DEVCORE 公司價值觀: Hacker Mindset

★ 任何時候都可以以駭客思維,去改變身邊覺得不夠好的事情

資安環境與困境

  • 資安漏洞出現在「人」身上
    • 2005-10-12 文章
    • 因為問題或漏洞往往都在人的身上
    • 企業資訊主管常苦於如何向經營者爭取資安預算
    • 投資在資安上的效益的確很難評估
    • 產品並不能解決所有資安問題

十年前

  1. 不重視資安
  2. 重視軟硬體大於服務
  3. 系統架構混亂
  4. 最低價格標
  5. 到處都是洞
  6. 買了產品不用
  7. 沒有預算
  8. 出事問 SI
  9. 滿地都是 Injection
  10. APT 事件
  11. 只願求合規
  12. 資安服務品質低落
  13. 資安產品複雜

資安合規小故事:企業為了資安合規,買了設備用來盤點,不會使用,八年前去客戶那邊,詢問 WAF 在哪裡,說在地板上,沒有開機,對方回用來稽核使用,而且開了,服務不能正常上線。

飛飛OS: 我怎麼覺得還是跟十年前一樣 XD

十年後

  1. 資安意識提升
  2. 重視服務的價值
  3. Security by Design
  4. 最有利標
  5. 漏洞複雜化
  6. 狂買產品及服務
  7. 預算增加
  8. 攻擊型服務
  9. 重視服務的價值
  10. 簡單漏洞減少
  11. 資料外洩
  12. 不單求合規
  13. 服務品質提升
  14. 產品有效性

※ 資安意識提升有感小故事:去市場買東西聽到一個婦人在跟她先生聊天,說資安好重要,駭客好厲害,資料都被拿走,密碼需要改更安全,不能再用生日。

※ 對攻擊型任務認同與需求更高

台灣資安環境

資安服務與政策

  1. 1998 弱點掃描
  2. 2002 滲透測試
  3. 2008 政府機關 ISO 27001
  4. 2012 個人資料保護法
  5. 2013 政府機關資安健診
  6. 2017 紅隊演練
  7. 2018 資通安全管理法
  8. 2022 數位發展部成立

攻擊趨勢

  1. 1998 網路攻擊
  2. 2000 網頁應用程式攻擊
  3. 2006 APT 時代開始
  4. 2008 惡意程式
  5. 2010 國家等級 APT 攻擊關鍵基礎設施
  6. 2012 勒索軟體
  7. 2014 DDoS
  8. 2016 更大量企業竊取 & 外洩販售
  9. 2020 供應鏈攻擊

回顧 DEVCORE 三大重點

  1. 培養駭客思維(核心)
    • 教育訓練
    • 資安顧問
  2. 攻擊型服務
    • 滲透測試
    • 紅隊演練
  3. 前瞻研究-擴大影響力
    • 漏洞研究
    • 研究發表

DEVCORE 十年

  1. 滲透測試服務
  2. 推出紅隊演練服務
  3. 國外研究獲選 Black Hat 與得獎
  4. 2019,2023 研討會
  5. 實習生計畫
  6. Pwn2Own 冠軍
  7. 參加全世界談紅隊最大的研討會 Red Team Summit

PS 理論上官網應該會有這段歷史,但我沒找到 XD

攻擊型服務的演化

  1. 風險評鑑
  2. 弱點掃描
  3. 滲透測試
  4. 紅隊演練

※ 企業對於真實性的需求持續增加

需求增加,亂象增加

亂象一

2022.09.22 iThome 資安大會
甲方:「請問你們有提供紅隊演練嗎?」
不良廠商「當然有,滲透測試加點錢就有。」
結果:把滲透測試報告改名子

亂象二

甲方:「我拿到這份是紅隊演練報告嗎」
不良廠商「當然我們用紅隊演練 Ne##us 掃瞄出的報告!」

紅隊精神

運用駭客思維,從有限的時間中,研究無限種攻擊的可能。

※ 資安公司的紅隊時間有限,真正的駭客組織有無限的時間,也持續做攻擊,所以要在有限時間內想辦法研究那些途徑對企業傷害最高,最優先處理。

五年紅隊經驗看見

  1. 供應鏈成為企業安全缺口
  2. 資安產品有效性難以衡量
  3. 防禦方隊資安投入優先順序感到無助
  4. 經過多次演練,企業的防禦及反應能力大幅增強
  5. 紅隊成功控制的系統中,發現已有惡意攻擊者在其中活動

※ 企業應該要先盤點,現在要做什麼,未來還要做什麼,排優先順序再買資安產品,而這些資安產品的有效性也很難評估。

DEVCORE Research Team

  1. 回報國際級產品重大漏洞增強安全性: 幫助全世界產品更安全
    • you do this for free
  2. 發表研究至國際研討會促進技術交流
  3. 透過國際 Pwn2Own 等競賽證明台灣實力
  4. 發現網軍持續利用的 0-Day 漏洞,幫助原廠加速修補增強安全

ProxyLogon 小故事

可以參考台灣 DEVCORE 意外捲入,中國駭客入侵微軟 Exchange Server 案外案

※ 想做研究的原因,因為想透過前瞻漏洞研究幫助全世界變得更安全

創業的故事

  1. 撐過創業死亡之谷
  2. 早期沒有資金,創辦人自己拋錢
  3. 只聽過 Alan,沒聽過 DEVCORE
  4. 一開始小辦公室
  5. 復興北路辦公室
  6. 新辦公室

為何努力

十年歷程,深信將一件事情做到極致,才是通往成功的道路。

期望

  1. 有新的更多資安公司
  2. 成立投資公司
  3. 獎學金計畫
  4. 實習生計畫

期許台灣的資安人才有更好的舞台。

結語

尊重,是靠自己贏來的,如果客戶看到價值,就會給予尊重,沒有專業沒有品質,只能陷入低價競爭。