Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2017.03 雲端時代企業面臨的攻擊威脅
Search
DEVCORE
March 14, 2017
Technology
0
160
2017.03 雲端時代企業面臨的攻擊威脅
你可能已經成為企業資安的加害者
DEVCORE
March 14, 2017
Tweet
Share
More Decks by DEVCORE
See All by DEVCORE
2016.11.30 電商業者的資安困境
devcore
0
530
2015.04.02 從滲透測試談企業常見資安風險
devcore
0
160
2015.01.09 HITCON 戴夫寇爾 2014 年度弱點回顧
devcore
0
140
[2014/10/06] HITCON Freetalk - App Security on Android
devcore
0
160
Other Decks in Technology
See All in Technology
一生覚えておきたい「システム開発=コミュニケーション」〜初めての実務案件振り返りLT〜
maimyyym
2
280
Babylon.jsと色々なものを組み合わせる:ブラウザのAPIやガジェットや2D描画ライブラリなど / Babylon.js 勉強会 vol.3
you
PRO
0
160
Além do else! Categorizando Pokemóns com Pattern Matching no JavaScript
wmsbill
0
700
Cypress or Playwright?
rainerhahnekamp
0
170
Cloud Service Mesh に触れ合う
phaya72
1
160
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
3
620
【SORACOM UG 東海】あらゆるモノがつながる社会へ、IoT と SORACOM
soracom
PRO
1
140
Microsoft for Startups Founders Hub_20240429 update
daikikanemitsu
1
2.4k
データベース02: データベースの概念
trycycle
0
180
EM完全に理解した と思ったけど、 やっぱり何も分からなかった話 / EM Night Fukuoka #1
hirutas
0
280
require(ESM)とECMAScript仕様
uhyo
4
950
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
4
18k
Featured
See All Featured
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
104
6.6k
Visualization
eitanlees
137
14k
4 Signs Your Business is Dying
shpigford
176
21k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
352
28k
The Cult of Friendly URLs
andyhume
74
5.7k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
21
1.9k
The Mythical Team-Month
searls
216
42k
Fireside Chat
paigeccino
22
2.6k
Stop Working from a Prison Cell
hatefulcrawdad
267
19k
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Practical Orchestrator
shlominoach
183
9.7k
Transcript
雲端時代 企業⾯面臨臨的攻擊威脅 翁浩正 (Allen Own) 戴夫寇爾股份有限公司
[email protected]
講者簡介 翁浩正 (Allen Own) 戴夫寇爾 DEVCORE 執⾏行行長
[email protected]
台灣駭客年年會 HITCON
核⼼心成員 專長:駭客攻擊⼿手法分析、滲透測試
資安就是資訊的不對稱戰爭
None
企業最⼤大的對⼿手是誰?
不是駭客,更更不是駭客組織 ⽽而是⿊黑⾊色產業
⿊黑⾊色產業 Black Market 有需求,就有供給;有利利益,就有產業。 正因有需求、有利利益,才會有駭客集團進⾏行行組織性的攻擊。
⿊黑⾊色產業的營利利模式 • 帳號密碼 • 資料庫 • 流量量 • 攻擊程式 •
情資 • 個⼈人資料 • 電⼦子郵件信箱 • 信⽤用卡號 • 交易易資料 ⱃ㘵㐪ॏ }} ݥҊ }㘓ా⍋␗ } ቧำ } ɗ ౖٛٱ⌲ } %%P4
⿊黑⾊色產業地下市集
None
None
這是⼀一場企業與入侵者的戰爭
防守的傳統策略略:蓋城牆
None
None
Path? Injection?
None
None
None
Red Team 模擬入侵者的戰略略
滲透團隊如何無堅不摧 • 攻擊思維與防禦思維不同 • 敵暗我明,攻擊技術的增長、企業卻沒因此跟上 • ⼤大數據分析攻擊標的、外洩資料等
漏洞洞評價 Ⅲ༸ ؍ᷗ༸ कㄒ༸
Struts2 S2-045 • 廣泛:⽤用 JSP 的企業幾乎都會採⽤用的 Struts2,預設值即含有此漏洞洞 • 穩定:符合版本執⾏行行 exploit
幾乎⼀一定成功 • 易易⽤用:PoC 直接⼀一步執⾏行行,沒有複雜動作 • 嚴重:可直接執⾏行行系統指令
員⼯工如何成為企業資安缺⼝口 • 攻擊者根據不同⽬目的選擇不同攻擊⽬目標,當發現伺服器資安健全後,就會轉⽽而 向員⼯工個⼈人電腦、個⼈人裝置下⼿手。 • 密碼使⽤用習慣不佳,弱密碼、密碼重複使⽤用等因素造成攻擊可能
撞庫攻擊 攻擊者利利⽤用已外洩的資料庫,取得帳號密碼,嘗試登入⽬目標系統。
撞庫攻擊 讀取外洩帳號密碼,透 過殭屍網路路⼤大規模攻擊 ⽬目標伺服器。若若有 CAPTCHA 防禦亦可能 透過第三⽅方服務破解。 受害伺服器 企業 第三⽅方服務
解 CAPTCHA Botnet 殭屍網路路 攻擊者 社⼯工庫
撞庫攻擊與⿊黑⾊色產業 ⶳጓำ ߺᯥ؍ ኄ⓱ "UUBDLFS 攻擊取得資料庫 分析資料庫輔助下次攻擊 販 售 ⾄至⿊黑⾊色產
業 獲 取 錢 財
None
None
None
防禦⼿手法 以三層縱深建構防禦 對,降低外洩可能性、 增加攻擊者破解難度、 即時監控異異常⾏行行為防⽌止 ⼤大量量嘗試。 3. 防⽌止嘗試 2. 防⽌止破解
1. 防⽌止外洩 藉由三階段防禦對策防⽌止密碼被惡惡意使⽤用
防⽌止外洩 • 做好伺服器防禦,避免攻擊者入侵竊取資料庫 • 做好機敏資料的取⽤用控制,盤點資料的保護範圍 • 偵測異異常流量量,防⽌止攻擊者持續竊取⼤大量量資料
防⽌止破解 • 增加密碼的加密法安全等級,避免被攻擊者取得密碼後進⾏行行破解 • 使⽤用公認安全的加密演算法,避免⾃自⾏行行研發,如 PBKDF2, bcrypt • 搭配 Salt
強制增加密碼強度
密碼防⽌止破解⼼心法 拉長破解時間 -> 密碼長度複雜度 降低每秒破解數量量 -> 使⽤用強加密法 強制加長密碼長度 -> 密碼使⽤用
Salt
防⽌止嘗試 • 防⽌止攻擊者使⽤用⾃自動化⼯工具嘗試⼤大量量帳號密碼登入,如 CAPTCHA • 偵測到⼤大量量攻擊嘗試即封鎖該 IP • 使⽤用者帳號偵測到惡惡意攻擊⾏行行為即進⾏行行安全機制,如通報或封鎖帳號
攻擊思維
攻擊途徑? 雲端時代的企業,攻擊 者有哪些攻擊途徑滲透 整個企業? 內部網路路 防火牆 VPN Server Slack Gmail
資料庫 ERP DMZ GitHub
如何鎖定⽬目標攻擊? • 盤點⽬目標有哪些(外部系統、內部系統、外圍系統、網路路邊界) • 外洩資料庫有哪些帳號密碼與⽬目標有關
如何搜尋帳號密碼? • 透過 whois 等資料瞭解管理理者帳號名稱 • 尋找該帳號對應的外洩密碼 • 尋找該公司 email
address 所有帳號密碼
滲透案例例
Case Study 1 • 撞庫登入系統後台,獲得更更⾼高權限帳號 • 透過更更多權限的後台,利利⽤用檔案上傳功能上傳 webshell 攻擊
攻擊途徑 1 利利⽤用撞庫進入系統後台, 並利利⽤用後台漏洞洞得到資 料庫權限。 防火牆 VPN Server Slack Gmail
資料庫 ERP 內部網路路 DMZ GitHub 主網站
哪裡出了了問題? • 有密碼保護後台就是安全的嗎? • 密碼為什什麼會外洩? • 與外⾯面網站⽤用的密碼為什什麼相同? • 密碼為何沒有定期更更換的機制?
Case Study 2 • 撞庫攻擊取得 GitHub 權限,取得系統所有原始碼 • 分析原始碼找出系統其他可入侵點 •
滲透系統,取得伺服器控制權
攻擊途徑 2 利利⽤用 GitHub 權限,取得 網站原始碼。分析原始 碼找出網站漏洞洞,進⽽而 取得資料庫。 防火牆 VPN
Server Slack GitHub Gmail 資料庫 ERP 內部網路路 DMZ 主網站
哪裡出了了問題? • GitHub 很好⽤用,但為什什麼⽤用的是重複使⽤用的外洩密碼? • 為什什麼沒開啟⼆二步驟驗證 (Two-Factor Authentication)? • 把網站程式碼放在外部
Github 的必要性?
None
Case Study 3 • 撞庫攻擊取得 Gmail 權限 • 取得信件往來來中儲存的 SSH
Private Key • 取得 Google Chrome 瀏覽器儲存的密碼 • 使⽤用 Private Key 登入系統,使⽤用密碼存取保護功能
攻擊途徑 3 攻擊 Gmail 帳號,取得 系統 SSH Key 及密碼後 登入系統。
防火牆 VPN Server Slack GitHub Gmail 資料庫 ERP 內部網路路 DMZ 主網站
哪裡出了了問題? • SSH Private Key 為什什麼透過 Mail 明⽂文傳遞? • SSH
Private Key 為什什麼沒有 Passphrase? • 主機 SSH 為何不限制 IP? • 為什什麼⽤用瀏覽器⾃自動儲存密碼? • Google 未開啟 2FA
Case Study 4 • 撞庫攻擊取得 VPN 權限,直接進入企業內網 • 從內網尋找其他內部系統進⾏行行滲透,取得機敏資料 •
尋找 Domain Controller,從帳號清單尋找 administrator • 撞庫取得管理理者帳號權限 • 登入內網任意電腦
攻擊途徑 4 取得 VPN 權限進入企業 內網 防火牆 VPN Server Slack
GitHub Gmail 資料庫 ERP 內部網路路 DMZ 主網站
哪裡出了了問題? • VPN 有無⼆二步驟驗證?(如 OTP) • VPN 連線為何可直接存取 Domain Controller?
• 未阻擋員⼯工電腦間的⽔水平移動
Takeways 消除與攻擊者的資訊不對稱 建構專責專職資安⼈人員編制 安排⾜足夠資源佈建防禦體系 ⼆二步驟驗證做最後⼀一道防線
資安就是戰爭,戰爭沒有僥倖
Q&A 戴夫寇爾股份有限公司
[email protected]
Thanks for listening.