Embed Size (px)
Citation preview
從攻防演練看資安威脅與因應之道 The Practice of Incident Response and Threat Intel Sharing
蔡⼀郎 研究員 Steven Tsai, Research Fellow
1
Google Me• 蔡⼀郎 Steven Tsai • 現任:台灣數位安全聯盟 理事長
• 重要經歷: – 財團法⼈國家實驗研究院 國家⾼速網路與計算中⼼ 研究員 – 國立成功⼤學研究發展基⾦會 助理研究員 – 台灣數位安全聯盟(原台灣雲端安全聯盟) 1st 理事長 2nd 理事長
– 台灣網際空間與安全策略發展協會 1st 理事長 – 中華⺠國資料保護協會 1st監事 – 中華⺠國南部科學園區產學協會 5th理事、6th監事 – 數位經濟暨產業發展協會(原台灣科技化服務協會) 3rd理事 4th理事 5th理事 – 台灣資訊安全聯合發展協會 1st 監事
– 中華⺠國資訊安全學會 監事 – The Honeynet Project Taiwan Chapter Leader – Cloud Security Alliance Taiwan Chapter Leader – OWASP Taiwan Chapter Leader – CSCIS Taiwan Chair – 部落客:http://blog.yilang.org – Facebook: Yi-Lang Tsai – ⾃由作家
• 電腦圖書著作35本 • Information Security(資安⼈)、Linux Guide、NetAdmin、網路資訊等⽂章,計80餘篇
• 專業證照: – RHCE、CCNA、CCAI、CEH、CHFI、ACIA、ITIL Foundation、ISO 27001 LAC、ISO 20000 LAC、BS10012 LAC、CSA STAR Auditing
2
⼤綱
• 攻防演練與回顧 • 建立資安威脅與防禦思維 • 結論
3
從”零”開始
攻防演練與回顧
4
攻防演練 = 進階版的資安管理 ?• 管理⾯
• ISMS:Information Security Management System • 透過定期的稽核驗證,查核⽂件與紀錄,確定管理制度落實
• 技術⾯ • VA: Vulnerability Assessment • PT: Penetration Test • Red Team Test • CDX: Cyber Defense eXercise
• 擬真情境 • 演練如何像真的,很重要! • 每年做的BCP,如何產出的,很重要!
5
那⼀年,我們把 Testbed 帶回台灣
6
ttps://www.testbed.ncku.edu.tw/
https://www.emulab.net/
emulabemulab@NCKU
2005 2006 2007
第⼀代 第⼆代
國網中⼼CDX發展歷程
7高速計算與大資料分析主機 高效能異地儲存 高品質學術研究網路TWAREN
惡意程式誘捕網路2008
6000個 誘捕網路 1500萬 個惡意程式 65GB 單日資料量
惡意程式資料庫2015
雲端資安攻防平臺2017
CDX2.0 競賽平台 2019
CDX2.0 培訓平台
雲端快速虛擬部署
• 定位與服務對象 提供產官學資訊安全培訓、進行攻防演練及資安相關競賽。
• 核心技術 – 雲端虛擬主機快速部署 – 虛擬化網路架構 – 雲端介面整合系統 – 歷年資安弱點題庫 – 擬真攻防實驗場域
HoneyMe資安攻防賽-2018
8
2018年07⽉
IoT資安挑戰賽-2019
9https://most.nchc.org.tw/iot/
跨國攻防演練-2019
10https://www.nchc.org.tw/Message/MessageView/3326?mid=46&page=1
Red/Blue Team Kill of Chain
11
•概念性驗證(POC),分別從 Red Team 與 Blue Team ⾓度進⾏分析與測試 •從系統(硬體/軟體)與平台(應⽤軟體/程式)進⾏驗測 •情資整合與交叉驗證比對
企業⾯臨資安防護的挑戰
12
建立資安威脅與防禦思維
13
14
企業營運 vs 事件應變
15
資訊科技(IT)、操作科技(OT)、通訊科技(CT)
談企業資安因應之道...• 「資訊安全」是⼀個「流程」制度,不是單純的「技術問題」 • 「資訊安全」是⼀個「管理」議題,不是單純的「技術⽅案」 • 「資訊安全」是⼀個「策略」⼿法,不是單純的「最佳實踐範例」
16RSAC2017:BusinessDrivenSecurity
網路攻擊的危害與核⼦戰爭相等
https://theconversation.com/a-cyberattack-could-wreak-destruction-comparable-to-a-nuclear-weapon-112173
• 網路連接的裝置越來越多,且型態多樣化
• 典型資通訊設備
• 雲端服務
• 智慧聯網
• 物聯網路
• 5G世代
17
獲得投資報酬• 看得到的成本
• ⼈事、採購(軟體、硬體...)、⼈員培訓…
• 隱形的成本
• 組織溝通(例如:無效的會議、⾏政流程與制度影響決策⼒...)
• ⼈⼒資源(例如:⼈才流動、放錯位置...)
• 企業⽂化(例如:加班(不⼀定”務正業”)、組織環境...)
18
韌性才是王道
• 開發消費者導向的數位⾝分識別服務通常意味著需要涵蓋廣泛的⼈群 • 使⽤者需要考量廣泛的值 • 嘗試在為應⽤程式進⾏編寫時能考量到韌性(Resilience),如果外部資料值超出預期範圍或預期值,則應⽤程式不會崩潰或允許不明程式碼注入
19
使⽤開放原始碼時要⼩⼼
• 開源程式碼可能會導致產品中包含惡意軟體 • 使⽤開源軟體套件時,請透過在套件管理器中設置特定版本號來防⽌使⽤未驗證的版本
• 構建過程應包括對所有外部檔案的雜湊檢查
20
Sinkhole架構 誘捕網路
情資分享
人才培訓
惡意程式分析
巨量資料
• 雲端虛擬主機快速部署 • 歷年資安弱點題庫 • 擬真攻防實驗場域 • 資安人才培訓環境
• 誘捕網路攻擊事件偵測 • 彙集網路威脅情資及惡意程
式樣本 • 惡意行為指令研究
• 分散式大數據資料庫 • 自動化異質性沙箱分析 • 惡意程式風險評估報告及
關聯性分析
• 資安情資蒐集與分析 • 自動化情資交換技術 • 網站駭侵事件預警 • 情資資料發送驗證保全 • 提供資安教育訓練
多層次資安威脅 分析技術
資訊分享與分析中⼼
雲端攻防演練平台
惡意程式⼤數據分析平台
談「情資」之前...
22https://www.talosintelligence.com/
• 您清楚資安維運需要的情資嗎?
• 您明⽩情資如何使⽤嗎?
• 您瞭解情資是有⽣命週期的嗎?
• 您知道該如何使⽤情資嗎?
• 您知道在有限的應變時間內,如何有效的運⽤情資嗎?
Thinking…
以TALOS為例:Vulnerability Information
23https://www.talosintelligence.com/vulnerability_info
以TALOS為例:AMP Naming Conventions
24https://www.talosintelligence.com/amp-naming
惡意程式知識庫簡介
25
• 自2009年規劃反駭客偵測技術,並同步建置大尺度誘捕網路,2010年完成建置,「惡意程式知識庫」於2013年8月正式開放服務
• 惡意程式分析 – 國內唯一開放服務之惡意程式知識庫 – 收集超過2,100萬惡意程式樣本 – 提供惡意程式樣本、分析報告、類型搜尋功能
• 建置誘捕平台偵測惡意攻擊 – 6,000+誘捕系統 – 搜集平均65GB/天巨量資料
• 全天候資安防禦 – 7*24全天候資安維運中心(SOC) – 平均每月通報15,000筆資安事件 – 擁有主動/被動偵測系統 – 自主研發情資回饋機制,建立增強資安防禦
owl.nchc.org.tw
統計資料⾄2019年8⽉底
Case Study
• 資安研究,有時候是⼀體的兩⾯ • 特殊的網域名稱
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
26https://dq.yam.com/post.php?id=8002
DNS記錄與WannaCry
27
惡意程式知識庫-Bot
28
TWCERT/CC VirusCheck服務
29https://viruscheck.tw/
結語
30
重點摘要
• 企業⾯臨未知型態的資安威脅與⽇俱增,現有資安防禦機制是否有效
• 這⼀場永無⽌盡的競賽,每次都希望能夠防禦成功,但並不是常常如願
• 從典型的攻防演練到實兵演練,已是未來驗證防禦能量的⽅式之⼀
• 分析與掌握本⾝營運的資訊平台特性,規劃適切的攻防情境
• 攻防演練主要以提昇⼈員職能為訴求,必須具備資安事件的應變能⼒
31
Q & A
32
