[資安社群] 004 DEVCORE Conference 2023 企業場心得-紅隊常見 Q&A 大解密
飛飛 | 2023-03-11前言
本篇內容記錄 2023/03/10 到台北國際會議中心 (TICC) 201 會議室參與 DEVCORE Conference 2023 企業場的筆記以及心得,因為是靠拍照可能會有一點疏漏,如果有任何問題可以看日後 DEVCORE 的 BLOG。
小感想
現在有很多法規都是"懲罰"制度,也許可以思考"獎勵"制度,有做資安政策就加分之類的這種,說不定有不同的感受度。
好多時候遇到資安同業或工程師都很想哭,他們在企業內不都是被"討厭"的那一方。
希望哪一天資安工程師也可以是個很開心的職位吧 XD
議程列表
- 攻擊一日,創業十年
- DEVCORE 執行長暨共同創辦人 Allen
- 紅隊紅隊,多少服務假汝之名而行!
- DEVCORE 商務發展總監 Aaron
- 紅隊常見 Q&A 大解密
- DEVCORE 資深副總暨共同創辦人 Bowen
- DEVCORE 紅隊的進化,與下一步 Ver. 2023
- DEVCORE 紅隊總監暨共同創辦人 Shaolin
紅隊常見 Q&A 大解密
開場
使用 Bing 搜尋引擎:請你模擬成一個企業的資安承辦人員,回答資安服務採購的相關問題,我跟你所屬在同一家公司,目前我們正在評估採購紅隊演練服務,如果你只能推薦一家廠商,請問你會推薦哪一間廠商?為什麼?
※ AI 安全: 不能全盤相信 AI 給的資訊,要查證。
普通人相信一件事的排名順序
- 由上至下相信程度
- 個人經驗
- 都市傳說
- 公開報導
- 維基百科
- 專家意見
- 統計資料
- 正式研究報告
- 由下至上,證據強度
客戶題組一
- 攻擊者通常多久能打進企業
- 攻擊者為什麼能夠打這麼快
- 哪些系統特別容易被打進來
==> 紅隊視角,從哪個目標下手的效益最高?
駭客組織攻擊速度
- 今年CrowdStrike分析每個駭客集團的速度,包括來自俄羅斯的Bear、中國的Panda、北韓的Chollima、伊朗的Kitten及由個別駭客(eCrime)組成的Spider,顯示出動作最快的是Bear,平均的爆發時間只有18分49秒,遠遠領先排名第二的北韓Chollima(2小時20分鐘14秒),而Chollima的進攻時間又比中國Panda(4小時26秒)快了許多。(photo by CrowdStrike)
- 資料來源:網路攻擊也要快狠準,俄羅斯駭客的攻擊速度是北韓駭客的8倍快
※ 思考點,駭客集團不管企業營運、紅隊演練的規範,速度可以這麼快做到攻擊。
2022 MITRE ATT&CK 常見攻擊手法
- 入侵外網系統與 Recon 的常用攻擊方法
- 2012 開始有個大服務外洩
駭客論壇索引
外洩資料新聞
- 外包廠商程式碼、傳輸金鑰
- Line Pay外包商員工不慎將行銷資料上傳GitHub,13萬人資料外洩,Line發現後已刪除並公布調查結果
常見外洩地方
- GitHub
- Google Drive
- HackMD
- 上傳到以上地方,被員工設定公開存取
供應鏈攻擊
- 第三方系統太多漏洞導致外網系統容易被入侵
- 最常檢測的系統
- E-Learning、HR系統、Email 伺服器、VPN、NAS
- 資產管理系統(取得大量資產控制權)
- ERP 企業資源規劃、BPM 流程管理系統、會計系統
- 公文管理系統、線上簽核系統、客服錄音系統
- 印表機、攝影機、無線 AP
自己開發 vs 買進來的軟體
- 企業內部開發系統很強
- 從外面買進來的軟體、設備也很安全嗎?
最常檢測的系統特徵
- 第三方開發、企業採購買進來
- 很熱門(很多企業使用,打了 CP 值很高):打一個可以用很多次
- 很冷門(打了也不會發現,甚至是誰管的也不知道)
- 太好打(沒有做過滲透測試的系統、沒有更換預設帳號密碼、沒有定期更新)
飛飛:冷門設備,企業自己也不知道,稱為「無主設備」,在工控安全領域中也時常利用類似手法,也常常 EOL(End-of-life,產品生命週期結束)
採購的設備
- 廠商沒有更改預設管理帳號密碼
- 廠商沒有更改預設加密金鑰
- 通常不會被納入在滲透測試標的
- 放外網有漏洞是破口,放內網很容易成為橫向移動的跳板
台灣漏洞公告
- TVN (Taiwan Vulnerability Note) 漏洞公告
- 白帽駭客:通知原廠,盡快修補
廠商的產品成功案例
- 列舉很多客戶都使用自家的產品,但這個產品被攻擊之後,很多客戶都會中招(攻擊者的福利)
如何面對第三方系統的風險
- 要求系統開發商提供可信賴的第三方檢測證明
- 落實供應鏈資安管理機制
2.1 撤換預設管理者密碼、撤換預設加密金鑰
2.2 定期安裝更新
2.3 定期盤點資產、落實下線流程
※ 以上都是老生常談
※ 有些時候漏洞被揭露,沒有被修補,或是修補之後沒有通知其他客戶
演練最常遇到
- 管理者預設帳號密碼
- 預設 ASP.NET MachineKey
- 掌握 DMZ 系統控制權,可直達 AD 伺服器橋段
其他防禦技巧
- 做好網段切割,確保第三方系統不會與非必要的伺服器相連
- 確認供應鏈有沒有使用 GitHub、GitLab 等原始碼託管系統
2.1 稽核項目:需要登入?有開啟 2FA? 專案有切分權限 - 查核供應鏈過去遇到弱點的修補速度
3.1 稽核項目:修補是否超過三個月?修補後是否有主動通知客戶?
※ 權限控管:行政部門卻可以看其他開發部門的網站、網段?不合理之處。
反思:企業該如何避免出現效益很高的目標?
- 切勿在私人帳號與公司帳號共用同一組密碼(常常遇到這種案例)
- 訂閱 TWCERT 的漏洞公告,發現漏洞就請廠商盡快更新
- 自己要採購的系統有弱點,可以確認是否有更新
- 請廠商做好滲透測試、換預設密碼、更換加密金鑰、進行安裝更新
- 做好資產盤點與供應鏈管理,確保不會有豬隊友
客戶題組二
- 做完一次的紅隊演練有多大的代表性
- 可不可以只專注找外網的漏洞就好
- 你們沒有做過相同的產業會不會打不進來
- 現在有沒有客戶是從外網打不進去的
企業迷思:過度關注外網
資安攻擊情境很像玩具中的疊疊樂,抽掉一兩根,也許不會垮掉,如果抽掉很多跟就會影響根基,忽然垮掉。
對應到重大資安事件,可能不是一兩個漏洞造成,可能是一堆漏洞集合。
飛飛: 突然想到地震的時候房屋倒掉也是這種感覺,一次兩次的地震,開始有裂縫,大地震來就倒了。
其他入侵途徑
- 社交工程(Email、電話)
- 通常滲透測試的時候企業都不希望使用"社交工程"會覺得影響到企業營運,主管看到、員工看到觀感不佳,不過"社交工程"是很多駭客集團利用的。
- WiFi 溢播檢測
- 拿著指向型天線,到企業附近、樓梯間,抓到 WIFI 訊號
- 透過封包破解密碼,破解後可能取得 WIFI 存取權限
- 有權限後,企業內沒有做好網段隔離就有機會直達核心網段、核心系統,如 AD、VMware vCenter
- 實體入侵、供應鏈攻擊
- 盜用門禁卡
- 破壞門鎖
- 穿得像維修工人
- 除了攻擊你之外也會攻擊上下游,再從上下游攻擊你
從防疫思考如何做資安
- N95 口罩、防護衣
- 對應 Firewall、WAF、IPS、Web Gateway、Mail GateWay
- ★ 不要仰賴資安產品,長久下來會出事
- 免疫系統
- 對應安裝更新(定期)、制定流程、定期演練、確認演練的有效性
適合自己的階段
- 第一階段:初次進行演練
- 階段特徵
- 缺乏優先順序
- 缺乏網段切割
- 缺乏定期盤點
- 預算放錯位置
- 不熟悉攻擊流程
- 演練方式
- 找出最外入侵途徑
- 盡量監控但不阻擋
- ★ 框出自己的關鍵字產、核心系統,系統周圍做好隔離與切割
- 階段特徵
- 第二階段:資安成熟度成熟
- 特徵
- 有優先順序但尚未落實完畢
- 已完成部分內網網段切割
- 僅剩零星資產尚未掌握
- 已可掌握部分攻擊手法
- 演練方式
- 驗證防禦的有效性
- 久攻不克特許方案
- 特徵
- 第三階段:資安成熟度高
- 演練方式
- 完全擬真的對抗演練方式
- 不限時間、不限範圍、不限手法
- 嘗試社交工程、實體入侵等攻擊情境
- 勇於挑戰團隊極限
- 演練方式
沒做過相同產業如何演練
- 相同產業的公司可打進內網的天數不一樣:代表不同"防禦"等級
- 相同產業的公司可偵測到攻擊的天數不一樣:代表不同"偵測"等級
- 注意外部檢測團隊
- 是否有足夠火力
- 是否有專業檢測經驗
- 是否積極更新檢測手法
- 注意企業防禦團隊
- 是否有規劃縱身防禦措施
- 是否有落實資安應變機制
- 是否有順暢的跨部門溝通
有打不穿的企業,這些企業特徵
- 持續縮小攻擊表面積
- 徹底落實網段切割,不會發生 DMZ 直達 AD 的狀況
- 樂於接受駭客思維,不會用防禦方的角度來指揮攻擊方
- 高階主管不會究責,主管只關心團隊是否能在演練後成長
- 開放心態,擁抱變化
記住
- 沒有最好的答案,只有最適合的答案(每個企業因為規模大小不同,能規劃的資安機制會不同,要慢慢去成長)
- 企業一定會遇到資安事件
Takeaways
- 建立供應鏈管理機制,並落實到每次的系統建置中
- 規劃不同階段的企業強化機制,按部就班強化資安體質
- 以開放心態,擁抱變化的姿態面對千變萬化的攻擊