本土資安服務供應商中,DEVCORE(戴夫寇爾)可說是少數由一群真正「貼近駭客思維」專家所組成的資安團隊。成員中DEVCORE首席資安研究員Orange Tsai(蔡政達)更是在去年(2021)美國黑帽大會(Blackhat),以微軟Exchange郵件伺服器漏洞ProxyLogon,獲得堪稱資安界奧斯卡獎Pwnie Awards的最佳伺服器漏洞獎項,在世界舞台上展現台灣資安技術的實力。
近年來DEVCORE除了既有高強度的滲透測試服務,為企業診斷對外營運系統的弱點與漏洞,更擴展提供紅隊演練服務,如同扮演國際駭客組織,鎖定企業內部營運核心系統與機敏資料,由外而內執行滲透攻擊,藉此讓負責防守的資安團隊針對可被成功入侵環節更精準地部署防禦技術。
客製戰術、技術與流程執行攻擊演練
DEVCORE共同創辦人暨資深副總徐念恩指出,DEVCORE自創業以來提供給企業的資安服務,核心理念是協助營運不中斷,例如市場上最普及的滲透測試服務,願意投資執行的企業理應相當在意資安,問題是以往無法找到可信任團隊以高強度滲透測試,DEVCORE即可靠自身技術滿足這類需求。
實際上,早期找上DEVCORE的企業多為受駭者,原因是儘管資安事件發生後自行調查,卻往往只能看到部分遭受惡意程式感染的環節,無法釐清來龍去脈。為了驗證外部攻擊進入內網終至成功竊取機敏資料的攻擊鏈,DEVCORE開始構想還原真相的方式,在2017年推出台灣第一個紅隊演練服務。
徐念恩說明,紅隊演練完成後會把整起攻擊活動撰寫成報告,例如利用哪個對外網站的弱點執行滲透,建立可移動到內網核心系統的通道,如何成功地把機敏資料搬移到外網。後續可探討演練過程中SOC監控是否能及時發現、攔截與應變,再針對不足之處加以改善。
另外,徐念恩認為,資安事件爆發後啟動的事件調查,主要是以證據推論攻擊者的意圖,而紅隊演練講究的是實戰,依據企業IT環境客製戰術、技術與流程(TTP),攻擊成功後再說明實際採用的手法與目的。
他舉例,某些攻擊手法需要高權限管理者帳號登入才得以存取機敏資料,紅隊演練運用的手法可能是先故意讓關鍵應用系統發出異常告警通知,管理者勢必會登入檢查,藉以鎖定竊取帳密;反觀執行事件調查時,卻可能是探究攻擊者何以能掌握高權限帳號的存取行為。兩者思維方向完全不同,若非為發動攻擊者本人,僅從結果來推論邏輯,未必能得知事實真相。徐念恩強調,「此即為紅隊演練必須具備駭客思維的主因,實際操作才會發現,並非技術精湛即可成功模仿。」
藍隊參與實戰培養防禦技能
初期DEVCORE推出紅隊演練服務的用意,在於縱觀全局檢視企業IT環境潛在的弱點或未修補的漏洞,避免被駭客組織利用來入侵,DEVCORE商務發展總監鍾澤華觀察,後續客戶卻延伸出更多需求,尤其是希望在執行紅隊演練時,可讓防守方加入,進而培養資安人員提升應對技能。
例如駭客組織在整起攻擊活動中共有七個步驟,資安事件應變(IR)團隊調查時釐清其中三種,隨即建議投入資源增添防護技術以免重蹈覆轍。DEVCORE紅隊演練不僅可明確地說明七個攻擊鏈的步驟,以最有效的機制執行控管,經常未必須採最先進的防禦技術即可達到效益,讓有限的資安成本更精準地配置。
近幾年台灣大型企業接連遭國際駭客組織入侵,徐念恩觀察到,這些實際事件已明顯推升整體資安危機意識,以金融業為例,如今願意投入到資安演練的預算較五年前拉高約莫十倍之多。就DEVCORE長期經營高強度滲透測試服務的經驗,金融業對於資安風險議題最為看重,問題是過去的資安服務難以評估價值,導致法規要求的滲透測試、弱點掃描等定期檢測,僅被視為例行任務,自然編列的預算也有限。如今改以實際駭客思維發動的攻擊演練,高階管理層可較為理解投入預算的意義。
重新盤點風險驗證防禦有效性
過去企業大多仰賴ISO 27001標準規範,盤點最重要的資產以及可承受的風險。鍾澤華指出,藉由紅隊演練可深度發現過去風險評估方式潛在的疑慮,首先是被判定為低風險等級的問題,攻擊者往往只要投入時間嘗試也可成功利用。其次是資產彼此之間的關係,如同幾年前爆發銀行ATM盜領與盜轉案,運用的手法正是先滲透不重要資產,再利用資產彼此關聯性風險的盲點滲透進入內網。
資產盤點實務上本就不可能僅仰賴人力執行,問題是即便採用盤點工具,也會遭遇已揭露的漏洞第一時間安裝修補更新未必就可真正安全無虞。其次是就算找到應該安裝補丁的系統,卻未必允許離線安裝,只能改以其他方式降低風險。
DEVCORE共同創辦人暨資深副總徐念恩(右)與DEVCORE商務發展總監鍾澤華(左)指出,資安風險評估起手式,應從紅隊演練著手,以精準地增添防護或控管措施,如同改善資安體質、增強抵抗力,未來面對真實病毒才能產生有效抗體。
「我們做過多場紅隊演練的經驗來看,幾乎沒有一個企業IT環境不存在已知漏洞,儘管已套用漏洞管理原則的識別、分類、確定優先等級、修復、緩解,當前駭客技術能力仍可運用多個低風險的漏洞串連成為高風險,此手法多數企業IT或資安管理者根本無從得知。」鍾澤華強調。
就攻擊面來看,MITRE ATT&CK框架搜集全球已知攻擊手法轉化為共通語言,讓防守方可得知駭客採用的技巧,特別是企業專責資安人員可藉此評估防護需求應採用的技術。紅隊演練服務做的事就如同國際駭客組織,整起攻擊活動亦可被歸納對應到矩陣列表。紅隊依據產業經常遭受的攻擊手法來執行,驗證防守方能否偵測發現,資安產品亦須能應對現代化攻擊手法,據以撰寫並套用執行抵擋的劇本,才能檢視出其有效性。
非業務單位的資安團隊,在組織中受重視的程度常取決於高層的態度。金管會正式發布新版「公開發行公司建立內部控制制度處理準則」,明訂上市櫃公司須設置資安長與專責單位,推動更多企業管理規範項目中正視納入資安風險,勢必有助於提升高層重視。至於短期內面臨人才缺口的問題,便可委由外部資安服務團隊協助,既符合法規規範,同時也藉此培養自家資安人員。