Cybersecurity 2022

這次第四次參加，因為我在2020才開始寫網誌，所以沒寫就沒印象了，心路歷程從滿心期待到平常心看待，也許是因為除了資安大會之外，我有了其他新的學習討論的管道，ACW和Line社群，還有資安大會的攻略多年的心得，非必要不要帶筆電，因為會安檢，而且筆電很重，電力又撐不久，如果那麼忙要處理工作的事，就不要出來了，專心工作專心上課吧

大會前兩天的上午都是不分題目的大會通識課程，

Day1

總編說到前幾天的台東地震，資安人員也和救災人員一樣，只是資安救數位資產，但是一樣不會得到掌聲的一群人

連續四年總統都會到，所以會安檢，今年說到資安同仁都是保護家園的一份子，因為保護企業不被駭，就等於保護大家的工作權吧

AIT處長也來說幾句話, please return to your seat.

資安轉型，數位升級 slogan 都很順，企業聯防、上市櫃113家資安長

CISA 也寄影片來，說到supply chain的資安

趨勢科技張裕敏-資安做得好，駭客也驚心

0day/opensource/ransomware依舊是大家頭痛的問題

IT/OT/新興科技都面臨著極其相似的資安威脅

如何把成熟的資安防護快速應用在新興科技，也是一大挑戰

奧義企業資料設計之路討論的是風險建模

>資安有效性量測可先從風險建模分析開始,找出適合自己的風險建模方法,加速合規與供應鏈間的資安合規及Benchmark

風險建模過程中威脅情境應與時俱進·並隨時透過威脅情報進行持續小規模的落差分析

>資安風險評估應納入企業整體永續經營,並以Security by Design概念導入企業資安設計框架,持續回應新的威脅

>疫情破壞了許多原有的思維,也加速企業採用零信任架構的需要.企業應開始逐步盤點與了解ZTA設計

>過往資安風險靠歷史資料與發生頻率.現在資安風險評估有許多合適的框架與公開的威情報

 勤索軟體防護建議措施

帳號

1.人員資產掌握監控

2.人員資產密碼管理

3.權限最小化

設備

1.端點防護軟體全面安裝

2.端點防護軟運作監控

3.端點設備組態異動監控

4.端點設備Patch定期更

5.落實離線備份隔離

網路

1. RDP存取監控

2. 使用VPN網路連線

3. 落實網段隔離

4. Email強化管理

Finding the unknown unknows

.每天有多少新接入的設備?

,網路環境中是否有閒置設備?

連網設備是否都還有在活動中?

連網設備是從哪邊連進網路?

設備的使用人是誰?

系統中有多少應用程式及軟體資產?

系統中有多少人員帳號?

企業資產可視性的挑戰

·太依賴人工手動錄盤點

.沒有效率的跨部門溝通協調

.企業網路環境複雜化

-太多連網的裝置

-太多安裝的軟體

-分散式的網路架構

-不同的網路使用區域

資安政策落實關鍵要素:

『設備可視性,風險透明化,矯正自動化』

複雜的事情簡單做:回歸資安管理基本原則

簡單的事情重複做:PDCA落實資安基本功

重複的事情用心做:資安管理流程持續改善

TxOne Networks 馬聖豪

現代攻擊者免殺心法：以時間鉗形戰術打穿即時防護，利用Windows 底層的運作機制進行攻擊，讓防毒程式無法進行防護行為，相關的程式和POC可於https://github.com/aaaddress1 找到，上過馬聖豪的課多次，感觸蠻深的，真的做資安研究的人除了專精之外，門檻也很高，光是一個多小時是無法吸收的，所以還是先從資安的治理、方法、SOP著墨。

果核數位 以資安治理角度理解OWASP Top 10 2021

每次看到果核數位的後輩，就會忍不住回憶起我在果核的日子，沒想到果核轉型之後，比我在的時候還要成功，這次的講師介紹的題目，就剛好是我在上一堂課的心得，得從資安的治理角度來讓公司的資安有方法可遵循 https://www.youtube.com/watch?v=3h9HzTYxUX4

·客戶的錯誤期許:弱掃可以解決全部OWASPTop10問題

.企業應盡量完整企業內部Secure Software Development Framework (SSDF)流程

分階段導入codereview,弱點掃描滲測試

DevSecOps:若有CI/CD 流程可導入自動化原碼檢測、第三方套件檢查

行有餘力可以導入最前期的Security Architechture 資安架構設計與相關威脅建模流程

SOC資安控範考延伸至AP用程式層面

提供開發工程師更多安全程式碼相關的教育訓練

以OWASP SAMM評估企業內部軟體成熟度

CCoE 資安卓越中心的議程，討論政府的願景，學界、新創、法人與社群，因為我參加了第一屆的CCoE 資安人員培訓，所以參加這個場次，看看有沒有新的資訊和課程可以搶先報名

Day2 建立全民數位韌性 唐鳳

她已經是數位發展部的部長，這次的議程已經沒有了過去的輕鬆話資安，而是她的政令宣導，政府的未來發展方針

Defining an XDR strategy 制定有效的XDR戰略

剛好最近聽到NDR EDR 正在煩惱差異之時，又多了一個XDR，蠻令人煩憂的，說不是一個產品，是一個策略，但是符合這個策略的只有一家公司的產品，蠻有競爭力的

後情時代網路攻擊的新常態與生存之道

對抗進階「進階網路攻擊族群」,你需要

1.了解敵人：基於對攻擊者的了解,規劃更好的反制措施與防守策略

2.威脅狩獵工具：針對最新攻擊手法,主動找尋任何攻擊者的工具、惡意程式、攻擊軌跡

3.專業夥伴：協助監控、應變、分析,並轉移知識,與團隊持續合作

speedrun!傳送到Linux賜處的最短攻擊路徑

我們可以做些什麼

>伺服器定期升級系統,確認服務是否有安全性更新、確認帳號權限,維持最小權限原則

>密碼常保更新,且盡量善用密碼片語及MFA機制

>SELinux/AppArmor 可以學習基本設定,降低被入侵後的風險

>隨時監控系統執行檔是否有變化,有的話可能有被放rootkit

>災後復原之路通常道阻且長,平時應多加注意伺服器狀況

再多的模疑，也比不上一次身歷其境的戰役重現

入侵與攻擊演練>劇本製作>持續測試

由專業資安人員進行攻擊演練並紀錄必要之系統資訊，藉由前述資訊，導入根據環境客製專屬攻擊演練劇本(playbook)，依據環境資料，定期更新劇本，收錄新型攻擊手法以應對不斷變化的資安威脅。

如何用健康的心態看待漏洞

漏洞和事實

漏洞的嚴重性

ㆍ 響應時間靜態

ㆍ CVE-2022-32275

ㆍ CVE 的描述和定義的嚴重性並不總是正確的

CVE-2021-44228(Log4shell)

ㆍ 關鍵 CVE 可能會對您的系統產生一系列影響

. 修復計劃

事件響應和業務繼續計劃對企業都很重要

良好的態度和應對方案贏得信任

資安管理的核心元素

使用資安資源與週期規劃ESRP

• 企業評級資安治理成熟度-用戶自評取得差異化分析
• 資安健診-第三方確認資安狀態
• 資安監控F/W,WAF,IPS,GCB,VANs,SRMAS,EDR-系統狀態確認
• 資安檢測 弱掃,滲透,源碼-系統狀態抽檢
• 資安演練 DR,可用性,持續性-系統可用性演習
• 資安維護組態管理,變更管理,法遵落實-系統弱點漏洞修補
• 資安應變-系統復原能力
• 資安訓練 法規,技術,流程,管理訓練-資安人員職能構建

Day3

利用MITRE ATT&CK FRAMEWORK 解讀REVIL勒索軟體防禦之道

講師是強者我CCoE同學，發現不少資安同好會參與心得分享，蠻有衝勁的，不知道是不是公司要求的

MITRE ATT&CK Framework (TTP)

Tactic戰術:依據不的入侵段進行分類(偵查/入侵/提升權限)

Technique:每個戰術會有不同技術來達成階段性目標

Procedure:實作技術的過程

Mitigation&Detection:針對Technique所提供的防禦偵測方法

Group:定義入侵活動幕後黑手團隊

Software:惡意程式軟體

Why MITRE ATT&CK Framework?

TTPNumber:方便資安人員溝通

紅隊(攻擊端):依據框架做紅隊演練

藍隊(防守端):判斷/分享分析結果,更好制訂防禦策略

可以利用MITRE ATT&CK Framework進行分析攻擊和緩解攻擊

Attacking web without JS CSS Injection

前端除了JS之外，竟然透過CSS也可以進行攻擊！！

Mitigation

ㆍSanitization

ㆍContent Security Policy

ㆍstyle-src

ㆍfont-src

ㆍCheck origin/referer header

ㆍSame-site cookie

為什麼MITRE現在要推動ENGAGE FRAMEWORK

漏失Zero-DayAc分析

SolarWind 在當時是Zero-Day Atack所有EDR都沒抓到,在FireEye和Microsoft發饰詳細信

息後,各家EDR廠商才研究對策,提供軟體更新

實戰中EDR對於已知的攻擊手法防禦力很好,但對於未知的攻擊手法防禦力很有限

MITREATT&CK的測試項目和方法事先公布,所以廠商測試的表現比較好

但是EDR的行為分析不就是針對Zero-DayAttack而展出來的嗎?

行為分析有很大的灰色區域,很多行為可能是攻擊,也可能是員工正常使用電腦,這個在攻擊者成功入侵第一部電腦並取得合法身分憑證後更是難以區別。

MITRE ATT&CK的測試環境無法模擬員工在正常使用电腦,等於沒有noise千擾

在真實環境中EDR報告的異常行為的過濾和處理在實務上是很複雜的,如何調適,在Miss v.s.False Alarm,靈敏度和可靠度之間如何取捨是SOC的頭痛問題。

實務上行為分析對於攻擊發生後的事件調查很有用它的可靠度和有效度不足以在攻擊發生的時候讓SOC能實時追蹤並抓住攻擊者。

所以我們需要有更可靠更有效的手段,業界推動XDR(各廠家不同)MITRE推Engage framework

Prototype Pollution from zero to one

這是前端Javascript的一種漏洞，利過JS的prototype可以造成的傷害，和程式沒寫好一樣，找問題要找半天

Prevention of Prototype Pollution

Freeze properties with Object.freeze (Object.prototype)

Use Object.create(null) to avoid affecting the prototype chain

Perform validation on the JSON inputs in accordance with the application’s schema

Avoid using recursive merge functions in an unsafe manner

Regularly update new patches for libraries

Open Source 開發者經驗分享 – 透過產品開發流程管理開源軟體漏洞

這個場次的議題就是目前我們所遇到的開源軟體漏洞的預防，使用軟體BOM (software Bill of Materials)

最特別的是這次參與到hands-on lab 需要電腦的課程，之前都因為沒有限制重複報名而報不到，這次”說”只能參加一場，所以會讓人不容易選擇，我參加的場次，有設計好的題目和環境，像CTF一樣手把手教學的文件，真的蠻不錯的，如果沒有文件的話，應該我是解不了題的