近期台灣的能源領域遭受勒索軟體感染,思科與新創公司如梭世代(ZUSO)聯手以逆向工程從樣本中成功解析攻擊手法,受到資安界關注。2019年才成立的如梭世代,原本是一群專精於駭客攻防與威脅分析的技術人員所組成,成立初期就已協同刑事局調查人力銀行20筆萬筆個資外洩事件。
除了資安事件調查,如梭世代技術長何宜霖指出,該公司同時也承接金控、電商、高科技等產業的資安服務,包含滲透測試、紅隊演練、資安顧問等。其中的滲透測試可說是如梭世代較獨特之處,由技術精湛的資安專家以攻擊者思維實際發動,深入檢驗整體應用環境實際的安全強度。
如梭世代的技術團隊成員網羅了資安界許多擁有CEH、CHFI、RHCSA(紅帽認證管理員)、OSCP(Offensive Security Certified Professional)等證照的硬底子專家,其中較特別的是OSCP,想取得證照須先實際攻入官方提供的真實漏洞環境,在短時間內取得主機的管理者權限,可說是近幾年資安高手證明自身滲透測試能力的擂台。
除了內部技術團隊,如梭世代背後的顧問群陣容亦相當堅強,包括資安界活躍的陳俊龍(代號Bf)、駱一奇(Aaron)、曾信田(代號Newbug)、陳盈豪(代號CIH)、黃敬群(代號jserv,又稱宅色夫)、練喆明(代號BlueT)等赫赫有名的資安專家,結合如梭世代內部技術團隊,得以從不同面向、思維邏輯、操作手法切入,找出企業組織環境內的潛在漏洞。
商業邏輯檢測漏洞以免遭利用不自知
就測透測試服務來看,何宜霖說明,如梭世代的理念是協助企業驗證與測試資訊系統的安全強度,進而解析可能面臨的威脅手法,並提供改善建議方案。在執行前會先行討論滲透測試範圍,並且針對相關設備進行風險評估。著手測試時是由技術人員運用商業化掃描工具與手動方式執行,最後提出詳盡報告,包含弱點分析與漏洞修復的解決方式。
執行測試階段涵蓋的標的,不僅有網站應用程式、遠端存取、網路服務、伺服器與端點安全,甚至可擴及物聯網裝置與App,以OSSTMM(Open Source Security Testing Methodology Manual)建立架構,參考OWASP(Open Web Application Security Project)國際檢測標準執行。
「我們的滲透測試面向並非僅在單一網站的功能性,而是整體應用場景的潛在威脅,例如資料庫、API、身份認證等方面,最重要的是現代化系統常見仰仗第三方套件整合運行,萬一內嵌攻擊程式,企業也無從得知,必須經過檢測驗證確保安全性。此外,電商較為重視的商業邏輯漏洞檢測,亦可藉此發現,較特別的是可開放讓企業客戶到執行現場監督,過程中若有疑問亦可共同討論相互學習。」何宜霖說。
如梭世代創辦人洪睿荃補充,如梭世代基於攻擊者慣用的手法來執行滲透測試,需要有專業資安技術團隊投入,但是不會因此哄抬價格,主要目的是為了讓真正有需求的企業都得以藉此保障安全性。尤其是台灣的電商多數規模都不大,儘管擔心恐成為攻擊標的,卻往往無力支付高額資安服務費,如梭世代即可協助這類的案例,以長期合作方式讓電商攤提費用,同時得以確保營運業務安全性。
至於開放讓企業端技術人員到執行滲透測試服務現場觀看的作法,可說是如梭世代較獨特之處。讓技術人員親眼見證日常維運的網站如何被攻擊,並且直接跟專業資安團隊討論,學習效果勢必更好,藉此培養企業內部技術團隊對於資安問題的掌握度。
攻防演練交流會培育資安專才
近幾年資安界興起的紅隊演練,如梭世代也已攜手思科共同提供服務。演練目標是成功竊取資料或取得主機管理者權限,以訓練企業對於資安事件的應變能力。何宜霖說明,紅隊演練與滲透測試兩者的差異,在於滲透測試有多種限制,例如滲透範圍、時間與功能互動,在一定時間內盡可能找到最多漏洞以評估風險等級;紅隊演練目標則非盡可能找到多組漏洞,而是在不觸發偵測機制之下順利取得企業敏感性資料。
紅隊模擬為攻擊者發動滲透,可迴避企業既有的安全控制措施,最終取得目標資產,狙殺鏈(Kill Chain)攻擊流程是參考MITRE ATT&CK框架,執行識別、計畫、準備、攻擊、探討、治理。
首先識別階段是了解企業擁有的資料,在暗網中探測是否外洩,緊接著從公開來源情報(OSINT)蒐集相關情資,進而準備魚叉式社交工程郵件、設置中繼站與攻擊程式,完成後開始攻擊活動,結束後根據產出的報告提出資安改善建議與教育訓練,並且讓紅隊與藍隊依據MITRE ATT&CK框架彼此交流。
過去資安界討論狙殺鏈因應對策時,不同技術供應商皆有各自的作法,使得企業難以分辨合適的方案,MITRE組織即是基於狙殺鏈的不同階段建構ATT&CK框架,清楚地描述威脅指標,讓資安事件得以有共同語言共享情資。
「如梭世代主要的目的是為了訓練企業端的資安人員,紅隊攻擊活動記錄會提供給客戶,讓資安人員查看攻擊活動執行時防禦機制能否有效發揮、學習如何應對駭客繞過防線的手法,資安人員可藉此逐漸累積更多經驗。」洪睿荃說。
何宜霖進一步提到,攻防演練除了紅隊攻擊與藍隊守備,還包括紫隊,不僅只是監控,更重要的是協調紅隊與藍隊執行的任務,並且彼此溝通交流。如梭世代對於紫隊的定義是攻防交流會,在演練結束後舉辦,讓客戶內部負責資安的技術人員藉此得以學習,以及探討因應攻擊的方法。
針對資源有限的中小企業,如梭世代設計以訂閱制的方式,顧問定期到現場討論IT應用環境遭遇的資安困境與解決方式,再配置執行滲透測試、弱點掃描、社交工程演練等項目的次數。洪睿荃強調,「本土中小企業大多是發生資安事件之後才會尋求資安顧問協助,如梭世代希望提供的是事前就能透過顧問服務提升防禦力,以及在事後得以藉由調查與鑑識來改善,避免相同狀況再次發生。」
除了定期與顧問進行訪談,如梭世代內部也正在積極開發日誌系統,完成後亦可部署在客戶端環境,有助於確實掌握應用環境狀態,可更加精準地建立保護措施、降低遭受攻擊風險性。