OWASP台灣分會研發長胡辰澔

善用駭客戰隊能量 強化產業防護力

採訪/施鑫澤、林裕洋 文/林裕洋

DEFCON 活動現場有知名搶其攻防賽外,還有許多分組活動,吸引不少資安公司、專業資安人士到場參觀,其帶來之效益絕對超過想像,若能夠在台灣舉辦類似活動,將有助活絡資安產業的發展。

被譽為全球最大資安盛事的DEFCON CTF,2018年改由O.O.O.(Order-of-the-Overflow)舉辦駭客搶旗攻防賽,本屆比賽前三名分別為韓國隊DEFKOROOT獲得冠軍,美國隊PPP、臺灣HITCON戰隊。值得一提之處,首度參賽的臺灣BFS戰隊也獲得第12名,這代表臺灣擁有相當不錯的資安能量,只是以往沒有足夠資源與贊助,以至於無法在國際舞台上有表驗得機會。

在資安等於國安的思維下,2017年行政將資安產業納為「5+2產業創新計畫」所推動的「國防(資安)」產業之一環,並透過「國家資通安全發展方案」全力在科技發展計畫及前瞻基礎建設計畫中推動,期盼藉此帶動資安產業的蓬勃發展,藉此作為發展數位國家的後盾。只是該計畫並沒有納入更多類似於 DEFCON 活動的規劃,顯見政府對駭客社群仍然不慎了解,因此恐怕難以有效整合隱藏於各開源社群中的資安人才,導致削弱帶動台灣資安產業的發展力道。

OWASP台灣分會研發長胡辰澔說,相較於已經偏商業化的 Black Hat大會,眾多駭客聚集的DEFCON 活動現場更為熱鬧,除台灣民眾較熟悉的駭客搶旗攻防賽外,現場有也很多分組活動,所以也吸引不少台灣資安公司、專業資安人士到場參觀。DEFCON 活動帶來效益絕對超過想像,建議台灣政府應該考慮與國內各資安社群多合作,若能夠在台灣舉辦類似活動,除可讓資安產業眼界大開之外,也能強化企業與政府機關的資安意識,才能真正活絡資安產業的發展。

跨足行動資安 保護企業安全

OWASP (Open Web Application Security Project) 要是以研究與發佈關於網站應用程式安全為主體,同樣屬於全球性的非營利組織,且每隔一段期間會發佈的 Top 10(前十大)資安威脅。除此以外,Application Security Testing Guide (ASTG) 跟 Application Security Verification Standard (ASVS) 也成為許多程式開發者會用來檢測的項目。因應行動化時代來臨,該組織近年來啟動的研究計畫,也開始跨足行動應用程式安全等相關的領域,其中包含了 Mobile Security Testing Guide (MSTG) 以及 Mobile Application Security Verification Standard (MSVS) 以便因應新興資訊科技出現帶來新的資安問題。

OWASP Taiwan Chapter於2017年重新啟動台灣分會的運作,並隨即舉辦OWASP Taiwan Day,除吸引許多對 OWASP 有興趣的資安人踴躍參與之外,也台灣再次有機會與國際資安組織 OWASP 接軌。OWASP台灣分會依循全球一致的原則,以中立的角色連結產管學研界,希望凝聚國內資安社群的能量,以接軌國際資安社群,能夠同步發佈全球已公開的研究資料,將有助於改善與提昇國內的資安防禦技能與產業環境。而目前社群內也著手翻譯 MSTG 以及 MSVS 等相關文件,以協助能更快速推廣該專案研究的結果。

胡辰澔說,因應行動裝置成為企業無法割捨的重要數位工具,App安全問題也成為全球最關注的問題,OWSAP因應此趨勢針對行動應用程式安全推出驗證標準- 「Mobile Application Security Verification Standard」。在 App 安全問題日益嚴峻,該標準已逐漸成為各國檢測APP安全的參考指南。以台灣經濟部工業局委託資策會制訂「行動應用 App 基本資安檢測基準」,僅只參考 OWASP Mobile Top 10 而定出行動應用程式安全風險評估與審驗,訂定基本資安檢測項目、依檢測項目所須檢測之各項檢查事項、預期之檢測結果及各結果之形成條件等,其內容並不足夠實際應對國際標準。

另外,在新型態攻擊手法問世當下,資訊安全事件進行通報與應變與對於資安威脅進行預警通報,已成為遏制資安威脅事件擴大的最佳方法之一。

DEFCON 打造IoT Village 凸顯物聯網資安問題

受惠於行動通訊技術普及、物聯網技術日益成熟,全球各種連網裝置數量正不斷增加中,根據Gartner統計約在2020年達到250億個以上。而根據IDC公布統計結果,2018年全球智慧居家裝置出貨量將提高31%,達到6.4億個,預估2022年出貨量續升至接近13億個。然而防護能力薄弱的連網裝置,早已成為駭客組織發動大規模DDoS攻擊的最愛,如2016年Mirai入侵的上萬台監控器,最後導致多數企業的資訊服務遭到大規模的DDoS而停擺。

而在2018 DEFCON 大會上,主辦單位也特別打造IoT Village,會場中匯集市面上各種品牌的智慧設備,讓現場與會專業人士運用各種工具進行攻擊,凸顯出連網設備的不安全性。而台灣多家公司推出的NAS設備也列其中,讓人不禁好奇這些產品是否還能夠在企業內部使用。

「雖然不管台灣或是國外品牌的NAS產品確實存在安全疑慮,但能夠被主辦單位挑中,也代表產品功能與穩定度確實不錯,在市場上很受消費者肯定,不能就此抹滅台灣廠商的努力。」胡辰澔認為:「在接觸前述品牌業者過程中,也感受到台灣業者也很關注資安問題,也很努力修補各種漏洞,建議企業用戶最好要定時更新修補程式,搭配完善的資安防護機制,才能兼顧使用便利性與安全。」

DEFCON China 在北京 後續影響力不容小看

近來在DEFCON大會現場,都可以看到來中國資安公司投入大筆行銷活動,以提升在國際舞台上的知名度。而以往每年DEFCON舉辦的駭客大會都僅在美國拉斯維加斯舉辦,而2018年透過與中國搜尋引擎巨頭百度合作,今首度在5月11-13日於北京召開DEFCON China 活動,且也吸引逾1300人參加。這場DEFCON活動在中國政府默許之下,首度移師到海外舉行,儘管活動內容與規模無法與美國相比,但也代表該國政府積極引進創新技術,藉此帶動資安產業發展的目標。

胡辰澔認為,在北京召開DEFCON China活動有兩大目的,首先是讓無法或沒空到海外參加活動的中國企業或專業人士,能掌握最新全球資安技術與趨勢,有利於產業與國際資安社群接軌。其次,藉由DEFCON的名義可吸引原本隱身在檯面下的駭客現身,未來若中國有特殊需求時,有足夠籌碼可運用。

相較之下,行政院在今年第一季,通過資安產業發展行動計畫,規劃利用半導體、晶片、資通訊產業優勢,整合5+2產業創新、新南向、留才與攬才等計畫資源,打造台灣產業優質安全品牌,穩固國內關鍵基礎設施資安環境,進而扶植我國資安產業進軍國際市場。另外,亦積極透過參訪全球第二資訊大國-以色列,吸取國外經驗。

但是若能將國內各資安社群整合並邀請到更多的國外資安社群如DEFCON到台灣舉辦活動,重現在美國活動的現況,才能活絡台灣產業的發展能量。而多數產業內的資源分配,以集資安新創的能量,仍有帶更完整的 Eco System 才能持續發展,而非像目前僅分配至特定對象身上。

防禦與分析綜合 主動回應資安威脅

面對今日日益複雜的網路威脅,企業需要完全不同的新思維,因為傳統防毒軟體只有預防功能並沒有減少網路威脅。因此,現今進階惡意程式、漏洞、其他網路攻擊,能在防毒軟體尚未到更新的特徵值之前,短時間內攻擊系統,所以無論靜態分析如何縝密,不應該是最後一道防線,企業更因該需要一套整合性新世代端末保護機制與資安資料分析機制主動瞭解企業內的資安現況。

除了擔任OWASP台灣分會研發長也身兼安創資訊創辦人的胡辰澔表示,因應此種趨勢,安創資安推出SentinelOne端末防護平台(Endpoint Protection Platform,EPP)在單一控制台管理的平台上整合了預防,偵測、反應。為組織提供即時一致端末防護。並整合了先進的資料分析(Qlik)以及資料收容系統(JAICAS)進行分析處理。這套平台利用先進的機器學習和「真」人工智慧機能來保護Windows、OS X、Linux的端末設備,除了可避免端末設備受各種主要威脅,如進階的惡意程式(透過檔案和記憶體),漏洞利用和Script的隱身攻擊。密切監視系統上的每一個行程和運作,甚至到Kernel層級。更進一步的,能夠將這些資料融合其他資安設備的日誌資訊,並完整的分析和呈現目前資訊安全的整體現況。

由於台灣資安市場規模不大,所以安創資訊未來勢必會朝向歐美市場發展。至於多數人看好的中國市場部分,考量到軟體業若進入該市場,得將軟體原始碼交給中國官方審查,不利於公司長遠發展與歐美市場的疑慮,短時間內尚且沒有進軍中國市場的計畫。

SentinelOne端末防護平台可提供全面系統監視,包括系統調用(system call)、網路功能,I / O,系統登錄檔、歷史記錄等,透過 JAICAS及 Qlik 系統更可收集更多資訊並提供全視圖區分正常和惡意行為。一旦識別出惡意模式並對其進行評分,即可在攻擊開始之前,立即觸發回應結束駭客攻擊。

改變資安防護心態 才能有效杜絕資安事件

在資安事件持續擴大下,近來台灣企業在提升資安預算之虞,也開始委託資安公司進行滲透測試,找出公司防護機制現有的漏洞。由於這是模擬駭客組織的攻擊手法,對網路或主機進行攻擊的測試,有助於發掘系統漏洞、提出改善方法的目標,對強化資安防護力有極大幫助。然而此種機制在施行之後,卻往往沒有發揮預期效益,反而引進部分企業內部人員反感。

胡辰澔指出,台灣企業把執行滲透測試當作是例行公事,最好不要找出任何漏洞,即便有也不要寫在報告上,因為相對的會讓人員工作增加。相較之下,國外企業則認為唯有找出漏洞與修補,才能夠降低被駭客入侵的風險,所以才會出現許多台灣企業遭到駭客攻擊而不自知的現象,因此整體防護觀念有改善必要。

因此,胡辰澔建議台灣企業應該要運用獎金制度,邀請各方資安團隊挖掘產品或資安防護的漏洞,才能夠達成降低資安風險疑慮,保護重要商業組織的目的。