雲力橘子Hacker Talk傳授企業資安設計要訣，並探索IoT資安風險化解之道

2022/11/08

近年來全球資安事件層出不窮，企業無論規模大小小似乎都難逃駭客毒手，不禁讓企業主或資安長（CISO）為之感嘆，資安要做到多安全才足夠？另外面對萬物聯網浪潮，眼看如排山倒海而來的漏洞，也急欲找尋因應之道。

為此雲力橘子於日前舉辦「Hacker Talk」論壇，邀請奧義智慧共同創辦人叢培侃（PK）、杜浦數位安全（TeamT5）資深研究員Nick，深入剖析企業資安設計之路，以及萬物聯網資安漏洞風險等關鍵議題。

以完整資安威脅量測心法，落實Security by Design
奧義智慧共同創辦人叢培侃(PK)指出，近3年的疫情固然帶來危機，卻也加快企業的創新步伐，讓數位轉型願景及早付諸實現。但在此過程中，資安事件發生頻率隨之攀升，似乎突顯了「防守方永遠落後兩步」的現實，始終無法有效壓制駭客攻擊。
唯今之計，企業須認真思考如何強化資安治理。但PK感受到企業在面對資安問題時，往往無法找到有效解答，癥結在於總是先想「How」、鮮少想「Why」，未能追根究底反思問題如何發生、未來如何避免再次發生；因此他建議企業莫要一眛偏重產品及技術實作，應徹底理解風險在何處及需要甚麼。
由於數位轉型浪潮，導致資安邊界模糊，使傳統城牆式防禦備受挑戰，因而讓「零信任」觀念加速被採用，亦即必須不斷證明自己沒有被入侵，而非像從前等著出現資安告警才知自己生病。而零信任也蘊含「Inside Out」概念，假定攻擊未必都從外部進入，可能從內部發起，故需要確保有無異常人員使用合法帳號在企業內從事可疑行為，才能及時遏阻後續的危害。
PK認為，企業、供應商與客戶的資源限制不一、管理制度不一，彼此協作與資料交換之間一定有風險存在，因而需要設法控制風險。首要之務，須導正過往略顯偏誤的資安評估與量測方式，例如未將資安納入需求設計階段、不認為與營運有關，抑或沒有探究根因而實施不正確管控措施。而是採用對的評估量測方法，不再僅以防火牆或IDS阻擋連線數等流水帳來呈現資安績效，應設定資安風險承受指標，而為了滿足指標需採行的資安控制措施與產品將可被盤點出來，而企業進行的資安風險評估量測得出之資安控制措施亦可在合規上展現相互對應的優勢。
以Momentum Cyber所公布全球資安地圖為例，上面有800多家資安公司，假設每家有4項產品，總計就有3,200項產品之多，不可能什麼都要、什麼都買，務必取決資安決策的真正需求才展開部署行動。此時企業可參考諸如OCTAVE FORTE、PASTA等威脅建模框架，並建立以CSRM（Cybersecurity Risk Management）為核心的企業資安風險管理機制，拿出應有的資安願景與態度來落實Security by Design精神。
此外，企業仍需持續關注各種被揭露的資安攻擊手法與威脅情境，或進行系統組態變更時皆須進行小規模的風險模式分析，如:利用PASTA威脅建模等手法分析發生可能，進而推估影響（財務損失），再把前述兩項數字相乘、得出「對外曝險金額」，依金額排定優先順序，並逐項訂定應變措施、緩解目標，據此決定需要採購的產品或採用的資安控制措施；至於資安績效，端看後續實際執行內容，是否落在定義的風險承受指標範圍內，甚至委外廠商的績效，亦須與企業的績效目標對接，如此將有助於提升企業整體供應鏈資安意識與成熟度。

善用Qiling framework等工具，提升IoT資安研究能量
TeamT5資深研究員Nick，接續發表「沒設備就想做研究，是不是搞錯了什麼？」演說，假設一個懶惰的資安研究員，如何有效因應IoT資安風暴。他指出在萬物聯網時代，舉凡冰箱上網、手機控制周遭電視或洗衣機等情境已不稀奇，但試問大家可曾思考過它們是否有安全疑慮？還是只求方便即可？
研究員面對大量各具特色的IoT設備，如何做資安風險評估與漏洞挖掘，實為重中之重。然而使用者亦須體認，所有事物接上網路，不管接的是實體或無線網路，只要不同事物間可以通訊，都會造成一定危險。例如現在手機已非單純搖控器、用於開關電器而已，還可在家門外控制冷氣或觀看寵物攝影畫面，若貪圖一時方便讓設備在公共網路直接被連結到，想當然爾風險一定很大。
但其實以研究員或攻擊者角度，看到的面向並不僅是「裝置不安全」，而是整個攻擊面擴大，譬如手機App若有風險，可能影響終端裝置、雲平臺，繼而危害整個組織或家庭。
在本次活動，Nick將探討重點置於終端設備，整理出6個經常可見、但又容易忽略的安全盲點，包括網路閘道器、安防攝影機、多功能事務機、智慧電視、門禁以及NAS。研究員欲探究它們是否有資安疑慮，第一步需要做韌體分析，依序執行資訊收集、韌體分析、逆向工程等步驟，
惟韌體可能因加密或壓縮導致解析困難，可從binary entropy、Binwalk找出破解線索。接著嘗試運用幾種方法，像是藉由UBI、SQUASHFS識別其特徵，做基本判斷，利用已知明文攻擊資訊來解析加密的韌體，或透過SRECORD或Intel Hex來突破Encoded韌體等等。取出韌體後，下一步執行靜態分析，先留意Base是否錯置，若正確，再以Bindiff、String Refs、Constant或Pattern Matching等方法做Patch分析，接著進行Call Flow分析。
若察覺箇中有疑似非顯性漏洞，可進一步做動態分析，但其過程相對複雜，可嘗試利用IDA Appcall、Dumpulator、Unicorn Engine、Flare-emu等工具尋求突破；但這些工具各有罩門，操作上頗為繁瑣，並不符合懶惰研究員所需，此時可結合運用Qiling framework與IDA Pro，梳理出相對直接迅速的方法，來查找漏洞蹤跡。
總之我們需要更多研究員、更多好用的工具來挖掘IoT設備的資安風險。另對企業用戶，切記該做的隔離、更新皆須做好做滿；至於於價格敏感型消費者，則切莫因貪圖便宜而招惹風險上身。

其他訊息

產業訊息

雲力橘子Hacker Talk傳授企業資安設計要訣，並探索IoT資安風險化解之道

其他訊息

MDR是什麼？企業需要MDR資安保護嗎？3分鐘看其原理與好處！

為什麼你的企業需要 Azure OpenAI：讓 AI 讀懂你公司的資料，還能變成專屬小助理

採用人工智慧克服銀行業的挑戰

多雲時代來臨，Azure Arc 引領企業輕鬆掌握多雲網路管理之道

從配置漏洞到數據洩露：一則 Terraform 安全案例剖析

告別安全與速度的兩難！阿里雲 ESA 邊緣安全加速，一站式全託管，安全防護，兼顧加速

雲端自動擴展的隱患：配置錯誤將引爆成本危機？

雲端日誌防線重要磐石，別讓黑箱成為防禦漏洞！

IAM 權限設定不當造成離職員工帳號被濫用

SOC結合SOAR好嗎？ SOC安全營運中心用途與結合SOAR優點一次知！

如何查詢網址安全？專家推薦這4招，教你免費檢測網頁安全性！

IT外包費用很貴嗎？一篇搞懂IT外包5個優點和費用如何評估！

多雲管理雲端是什麼？企業多雲資安管理的5大解決方案一次看！

雲地混合是什麼？3分鐘看公有雲、私有雲及混合雲優缺點比較！

ISO 27001是什麼？企業需要導入嗎？一篇瞭解資訊管理系統的優缺點！

雲端託管好嗎？雲端託管6大優點和挑選重點懶人包！

API 金鑰洩露引發大規模虛擬機創建事件

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

雲力橘子 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

雲力橘子 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

雲力橘子邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

雲力橘子串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

雲力橘子 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

雲力橘子 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 雲力橘子 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！