CYBERSEC 2021 臺灣資安大會 心得

CYBERSEC  2021  臺灣資安大會

心得分享:醫資三 407570036 何忠昱


前言:

  本次藉由學校師長的介紹,於110年5月5日前往參加CYBERSEC 2021 臺灣資安大會。以下為本人本次的心得分享:
心得:

  這次前往位處於捷運南港展覽館站之南港展覽館二館,也就是本次資安大會舉辦地點,原保持著對我來說是未知且神祕的領域的這緊張感前往,沒想到反而更加開拓了我的視野,因為原來其實重視資安的人並不佔少數。

  資通訊安全的重要性不僅僅是在臺灣,更是在世界各國逐漸抬頭,各界非僅僅是延攬,更是希望能培育資訊安全的人才,並且將資安意識宣導至公司全體成員,使得公司內部情資能在面對資安威脅之中,能快速並且有效對抗。為達此目標,想必是需要大家攜手並經過一番努力後才能達成。回歸當天活動,我與一同前往的友人有事先完成網路報名,因此抵達後便快速完成報到手續並領證進入。一進到展覽會館也就是位於4樓的大廳內,裡面可以說是濟濟一堂,各方專業公司及其負責人員充滿整個大廳,也不乏來自各地的箇中高手接踵而來,實在令我瞠目結舌。畢竟當時經過身旁的人之中,除了巧遇系上同學外,我想大多數都已經是脫離學生時代,進入職場之人士,顯得我們像是誤入森林的小白兔般,只能依循著路線開始沿途看起並學習。而由於剛好是學生的關係,在經過教育部之展區時有特別停下腳步索取相關資料,看到上面的教育部資安人才培育計畫才發現國內已經對於資安素養相當重視,這才發現自己在很多方面的能確實不足。

  對此,有特別聽了上午位於7樓展廳的演講,進入的時間點剛好是上一場的尾聲,裏頭的人潮同樣令我驚呼,座無虛席。我們一行人在藉由工作人員的引導之下才能幫我們分到一些零散的座位,而在坐下後聆聽到一些內容,有做了一些筆記分享給各位,也就是透過iThome 2021資安大調查中2020企業的資安風險統計中最高的竟然不是我們在資安領域中常見且耳熟能詳的惡意程式、勒索軟體或是釣魚攻擊,其占最多數的仍然為企業的員工疏忽以及欠缺足夠的資安意識所導致,如此,企業很可能在某些情況之下,便意外的外洩了企業情資,更很有可能遭受到攻擊。聽到這邊我才終於意會到,在4樓我所聽的一些內容的關聯性為何,因為展廳內有蠻多家廠商都提到針對郵件該如何去做到防護機制,而當時在一家企業名叫:HENNGE ONE公司的展區內,坐下聽講者的產品說明時,說道防護雲端安全,內容是關於郵件的歸檔備份或者是防護郵件資料的外洩等,這邊我的腦袋閃過一絲念頭,因為我當時對資安的既定印象停留在駭客會攻擊企業內部程式,攻打其漏洞成功取得私密情資後向企業要求大筆贖金,而我竟然沒有去想過很可能在郵件的寄發、存取或是傳輸過程中的也有機會中釣魚郵件或是勒索病毒,可見這也是相當重要的一環。

  而上述提到的企業有說到在存取控制中,他們提供的機制為在合理的上班時間(特定日期/時間)經由公司網域/IP便能允許存取或透過裝置憑證也能在外部IP進行存取。在cookie方面也有限制、還有OTP驗證方式(一次性的密碼,透過簡訊發送作為二次驗證所使用之密碼,常在金融體系中看見),在郵件部分也能透過權限設定達成可瀏覽郵件的範圍,在郵件常常會有需要附件檔案的傳輸,這邊也能進行自動的加密並且將郵件內容過濾審核,經由管理者的審核通過便會將此郵件成功寄發或是取消傳送甚至是可以停止郵件內附件的下載,如此一來,我認為應該可以有一定程度的防堵情資外洩的疑慮。

  上述既然提到了郵件部分,這邊我就來了解一下三大郵件攻擊方式為何及其手法。

  • 釣魚攻擊

透過社交工程攻擊,社交工程就是人會對陌生的事物產生莫名的好奇心、恐懼心理、信任、慾望,進而會隨意點擊連結的可能性加大又或是因為信件主旨進而點開信件又或者是下載郵件當中的附件,以上都佔有一定比例的可能會被駭客成功進行偷渡式的下載但不限此形式並入侵竊取情資像是郵件的帳號密碼等等。

  • 第二、勒索病毒

即是透過郵件中的惡意連結或是附檔,讓使用者點選後藉此致使電腦遭到不明的加密或者封鎖,進而威脅使用者交付贖金。

  • 第三、商務電子郵件詐騙

這邊從演講中的簡報有提到,因為很快速帶過我就針對這個部分更加去深入查資料學習。全名為。很可能先透過釣魚郵件進而竊取到公司的郵件帳密,再來透過此來得知公司內部營運及交易狀況,再來會仿冒成公司高階主管或是公司合作之廠商,藉此欺騙企業內部員工向其透漏機密資料或是匯出款項。

  加上國內外受到新冠狀病毒(COVID-19)疫情之影響,受限於防疫需求之考量,各家企業推出work from home 的機制,遠端工作的需求量大增,因此在郵件寄收及存取方面更顯其重要性。這邊我想要來探討什麼是DDoS,中文譯作分散式阻斷攻擊,會想了解此手法是因為如果產品是直接連接網際網路的話,會有可能會遭受此攻擊。

 DDoS是鎖定在layer 3、4、7 層,分別為網路層、傳輸層以及應用層。藉由傳送大量的封包至目標網路設備導致網路之癱瘓。此手法的目的是讓目標電腦網路的資源或是系統的資源耗盡,進而使得產品服務暫時停止或中斷。然而為何會叫作分散式?原因是駭客可以利用不單只是兩台甚至以上的殭屍電腦進行此攻擊造成大規模癱瘓。而防禦方式有入侵檢測、流量控制。

 從11:05分之演講主題為「跟阿中學勒索軟體防疫之道」,講者為蔡松廷來自杜浦數位安全的議程中學習到一些知識。而當中我有特別筆記內容,他提及要全面防堵勒索攻擊、做到zero trust、real-time quarantine,並且掌握情資。這幾項重點有特別收錄下來,聽到的時候覺得真的點頭如搗蒜般!!!我這邊也特別查詢了關於零信任的相關資料。零信任簡單來說就是完全的不給予信任,在登入或是存取之前的每一項環節,都必須經過驗證,如此可以確保員工的存取狀況(因為員工也必須進行驗證),也能有效遏止非企業內部員工的訪問權限。然而,如果零信任搭配上無密碼驗證的FIDO,想必是可以達到快速驗證的效果。了解到這邊我才知道其實平常我所使用的中信Home bank臉部辨識的背後即是使用FIDO的驗證方式,所以其實資安意識處處存於身旁,只是你可能忽略了。再來是real-time quarantine,這邊的內容在我的印象是針對被駭客所入侵之殭屍電腦進行隔離手段,去防堵它針對其餘之設備進行攻擊擴散,首要步驟完成後,便能針對此威脅進行辨識及修補防範。企業資安人員需快速針對此問題進行解析並採取對應措施,由於code是人所寫的一定會有某些漏洞存在,當駭客成功搜到漏洞攻打時,資安人員就必須對此進行防禦。也就是說offensive和defense是相互依存的。我記得有聽到說做資安大多數人都喜歡做offensive的角色,我想可能因為會不是被動者的角色,但這樣反而忽略了defense,因此企業培育快速解析攻擊來源及手法(也就是defense)的人才日漸重要,不再只是向專門做資安產品的公司買進後,便高枕無憂,而是應該達到內部員工的意識宣導才行。

  在本場演講當中,講者也有一頁slide 提到了NIST CyberSecurity framework,裡面有5大要素,以下列點出來:

  1. Identify。
  2. Protect。
  3. Detect。
  4. Respond。
  5. Recovery。

由於時間有限因此講者很快帶過去,想必應該是在場的資安熟手一定都知道,而我卻對此沒有什麼概念,因此我也去查了一下這5大要點的相關資料來做學習。CSF架構是企業值得去做參考的架構:識別、保護、偵測、回應與回復,可作為一個週期的風險管理。講者蔡松廷也比喻了現在疫情,衛服部採取之手段就好比上述的5點,首先進行一、防疫資源的統計、二、邊境管制、三、快篩機制、四、隔離並疫調、五、復原追蹤及檢討。聽完演講收穫不少,會覺得自己未來應該要著手進行資安領域的學習,否則自己將變得更加落伍,也還好這次有機會及時間可以前往參加如此盛大舉辦的臺灣資安大會。

參考文獻:

1.資安大會參展所提供之各項DM內容。

2.台灣資安年鑑。

3.BEC詐騙解決方案:https://www.softnext.com.tw/focus/BEC/qa.html

4.你聽過 OTP簡訊 / 二次驗證簡訊嗎?:

https://abbyuser.pixnet.net/blog/post/178025649

5.「快篩」釣魚郵件不上鉤:4模式、8破綻、3鐵則、6對策:

https://secbuzzer.co/post/203

6.重新認識釣魚郵件威脅!: https://www.ithome.com.tw/news/120507

7.阻斷服務攻擊:

https://zh.wikipedia.org/wiki/%E9%98%BB%E6%96%B7%E6%9C%8D%E5%8B%99%E6%94%BB%E6%93%8A

8.快速認識常見DDoS攻擊: https://www.ithome.com.tw/news/110144

9.新世代資安概念:零信任安全模型介紹(Zero Trust): https://www.webcomm.com.tw/blog/265/zero-trust-security-model/

10.【NIST CSF導入關鍵】7步驟打造整體安全防護網,從盤點現況與成熟度評估著手: https://www.ithome.com.tw/news/133172