雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2023/04/17

長期致力傳承高強度資安攻防知識的雲力橘子，於日前舉辦 2023 首發 Hacker Talk 論壇，探討企業藍隊在面對駭客破壞時、如何提升戰鬥值並全面補強防禦，及企業開發與資安團隊如何獲得共識，鞏固企業資安。

掌握關鍵撇步，高效處理入侵事件

詮睿科技資安處 Zero Chen 率先開講，從藍隊角度探討入侵事件處理議題。他擅長挖掘惡意程式，曾舉報 KMPlayer SCA、OperationDRBControl 等著名資安事件。Zero Chen 說，綜觀攻擊者入侵流程，通常先滲透，再依序佈置中繼站連線、執行內部攻擊與橫向提權，最終入侵成功造成商業損失。但事件處理順序通常是反過來的，先察覺到異常，再設法探索根因。企業應儘可能保留現場以利事件調查，並以日誌作為調查依據，避免與攻擊者龜兔賽跑、先確認所有可用的入侵指標（IoC）再一次處理，且盡可能找出事件根源並改善，最後找專業資安顧問協助。

他強調「眼見不一定為真」，因惡意程式藏在系統的方法很多，如直接寫成新服務、掛在TaskScheduler 裡面、Payload 分段混淆後寫在機碼表裡面分段載入⋯等，族繁不及備載，共通點是現今大部份 Loader，皆用正常程序做掛載。再者不要期待惡意程式這麼容易辨識，要用防毒軟體抓更困難：因為惡意程式大部份都做程式碼簽章（Code Signing），攻擊者會偷憑證來使用，也常見以 DLL Side Loading 來種後門，例如你執行一個EXE檔，攻擊者需找尋所需函式庫，先從根目錄找起，若沒有再去 System32、SysWow64⋯等任何與環境變數有關的路徑找，接著進行「狸換換太子」置入被竄改的惡意 DLL檔，藉此發動 DLL Side Loading 攻擊。顯見攻擊者會利用正常程式、被簽署過的檔案，看起來是合法的，故能躲過防毒軟體偵測。例如曾有駭客鎖定 Windows Defender 的主要執行程序，以遭竄改的 mpsvc.dll 接受呼叫，達到DLL Side Loading 目的。

藍隊能從何處看出端倪？首先可觀察 DLL 檔所在的 Path，通常攻擊者會把惡意程式藏在一些奇怪路徑。如防毒軟體不可能把主要程式裝在 System32裡，若你發現有此現象，即便有簽章仍應視為異常；此外一般而言經常遭到注入的 svchost 的，其「父母」Parent Process 只會是 services.exe，若你看到一支獨立的 svchost ，就應提高警覺。「其實我們有一些方法可以主動出擊，」Zero Chen 指出，要想在第一時間知道資料被他人撈走，可考慮在會員資料庫或 Transaction Table插入特定定假資料，再監控這些假資料有無被讀取，若有，便是異常現象。至於其他小撇步，包括偵測疑似惡意程式，例如拉出 Event ID 7040／7045 做成 Index List，經由每日比對找出差異項目做檢查，或針對特定常用於橫向攻擊的字串做檢查（如PsExec、PSEXESVC）。再者觀察防毒軟體偵測到的可疑檔案路徑，是否為隱藏目錄如 /ProgramData/、/windows/、或 /windows/system32/，若是就不要把它當成單一事件，應懷疑是存在許久的後門，立即找專家分析鑑識。最後建議企業須設立 CSIRT、即第一線資安事件處理單位，成員應涵蓋各技術單位、資安單位、稽核風控單位、公關單位、領導者、第三方資安顧問。CSIRT 主管應是上位領導者，對各單位有高度話語權方能針對發生的事件進行妥善有效的處理。

扁平化溝通，使開發與資安順暢合作

雲力橘子軟體開發安全部主任 Lung-Yu Tsai（Tygr）表示，軟體開發工程師的主要任務是寫程式。然而，企業管理層是否曾思考過如何定義程式能力的優劣，以及如何評估產出軟體的品質好壞？現今企業經常要求工程師在有限的時間內開發眾多功能，但卻沒有給予足夠的時間針對軟體品質和軟體安全性的相關項目進行妥善的管控與強化，因此，企業往往會埋下資安隱患。在管理面議題，現今企業認為購置網通設備就可以保障企業的安全性。然而，任何設備都可能存在零日漏洞，而企業花費了龐大資源購買安全防護設備可能未能有足夠的成效，同時企業可能因維護與管理設備而耗盡極其有限的資安資源。與其如此，應該強化應用程式的安全性，方能從根本解決問題。例如，開發團隊認為企業存在WAF（Web 應用程式防火牆），因而未進行妥善的輸入驗證，當網路駭客成功繞過 WAF 的保護後，就能輕易攻擊防禦應用程式，並有機會進一步入侵到企業內部網路環境。

至於資安治理方面，資安單位是否為組織做好資安藍圖的規畫？能否正確且深入了解到管理規範或資安標準的條文本質，並透過設計正確且有效的控制措施以及進行妥善的檢核作業。譬如導入 SIEM 系統除了可以幫助資安人員及時檢測和回應異常事件，並對事件進行深入調查，並且統一收容日誌的機制可以確保日誌不被刪除，以規避重要日誌遺失的風險，並且在未來可供事件調查和追蹤。除了仰賴資安解決方案，同時可以要求軟體工程師根據特定規範或標準撰寫的日誌，此要求可以強化系統異常的分析的同時，對於資安事件調查也能有正向的影響，因為此舉可以提供有關應用程式的運行情況和異常事件的詳細信息，供調查人員更準確的鎖定問題的原因。最後討論應用程式開發的常見安全性議題，以 SQL Injection 為例，它長期穩居 OWASPTop 10，顯見始終是值得留意的威脅；為了防範它，各大資安網站皆已經有標準的程式撰寫範本以達到防禦的效用，且目前主流的原碼掃描檢測工具皆應已具備一定程度的偵測能力，然而Stored Procedure 可能是安全檢查的漏網之魚，因企業進行原碼掃描時通常僅針對應用程式的原始碼，而 Stored Procedure 卻通常不在其檢測範圍之內；其餘諸如 Insecure Randomness 乃至JNDI 等更多議題亦有類似情節，往往由於開發端不認為是問題、而資安端又缺乏足夠判斷力之下，埋下未爆彈。並且，若資安單位未闡明相應的安全議題的情況要求開發人員修補，開發人員可能因專案時程的壓力與人員溝通成本，選擇將存在弱點的程式碼寫進非原始碼檢測範圍內（例如：Stored Procedure、dll、jar⋯等），心想偵測機制找不到即代表無資安風險，大家像吃了蜜糖一樣開心過日子。然而此現象，肯定不是企業管理層樂見的結果。

當前企業解決資安問題的首要之策是建立扁平化的溝通機制。由於資安和開發兩端的技術專長有所侷限，必須透過溝通來達成共識。只有彼此合作，才能真正落實軟體開發安全框架規範（SSDF）。此外，透過教育訓練，開發人員和資安人員可以互相了解對方的專業知識，使溝通更加容易，並有助於企業有更多資源進行安全配置。除了基礎的資安防禦外，這些措施還能夠有助於企業持續強化其資安防禦措施。雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法i

其他訊息

產業訊息

雲力橘子 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

其他訊息

多雲管理雲端是什麼？企業多雲資安管理的5大解決方案一次看！

雲地混合是什麼？3分鐘看公有雲、私有雲及混合雲優缺點比較！

ISO 27001是什麼？企業需要導入嗎？一篇瞭解資訊管理系統的優缺點！

雲端託管好嗎？雲端託管6大優點和挑選重點懶人包！

API 金鑰洩露引發大規模虛擬機創建事件

如何有效監控雲端成本？用「用量」而非「費用」來分析異常

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

雲力橘子 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

雲力橘子 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

雲力橘子邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

雲力橘子串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

雲力橘子 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

主動追蹤 AWS 「資源用量」，避免配額用盡造成任務失敗

我的網站慢嗎？如何檢測讓網站加速？新手必知 5 項網站優化指南！

阿里雲訪問控制與權限設置教學

該怎麼選擇 GCP Disk ?

AWS-WorkSpaces雲端桌面服務 (下集)

SOC 是什麼？SOC 資訊安全監控 v.s NOC 網路操作中心的差異？

2021 OWASP Top 10 A08軟體及資料完整性失效

OWASP前10大A07認證及驗證機制失效，瞭解如何修補及預防！

2022 雲力橘子 Hacker Talk 漂亮收尾， 解構開發模式、弱點檢測之安全盲點

CDN 內容傳遞網路是什麼？其運作的原理及用途為何？

SOC 資訊安全監控中心是什麼？4 項功能服務與優勢一次知！

雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

雲力橘子 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 雲力橘子 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！

嚇！手遊資安危機　數小時恐喪失上億營收

從Google Play下載App保證安全!？資安業者：超過100款惡意程式會偷資料、點擊詐騙

網銀App漏洞金管會關注