臺灣企業以傳統被動式防禦為主,忽略當遭到入侵後的處理措施。因戴夫寇爾(DEVCORE),積極在臺灣推廣國外盛行多年的紅隊演練服務,期盼藉此提升企業資安團隊的應變能力,對抗攻擊手法多變的惡意威脅。
採訪/施鑫澤‧文/林裕洋
因應資安等於國安的趨勢,2016 年行政院即將資安產業列為重點發展產業,全力扶植極具發展潛力的新創團隊。此政策推動後,原本不少技術能力強悍的資安公司,開始在市場上受到關注,並在國際舞台上展露頭角。以 2021 年 CISA(CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY)公布全球最常被利用的 CVE 漏洞前 15 名中,有 7 個便是由戴夫寇爾(DEVCORE)挖掘,顯見該公司技術能力已經足以國際大型資安公司一較高下。
近來臺灣企業的整體資安意識提升不少,但仍然以傳統被動式防禦為主,忽略當遭到入侵後的因應方式。因此,戴夫寇爾積極在臺灣推廣國外盛行多年的紅隊演練(Red Team Assessment)服務,期盼藉此提升企業資安團隊的應變能力,同時藉此改善資安防護架構的偵測能力,以便對抗攻擊手法日益嚴峻的惡意威脅。
戴夫寇爾共同創辦人暨紅隊總監許復凱指出,面對無孔不入的惡意程式,企業唯有了解到自身資安防護的弱點後,才能制定後續改善的方向。我們推出紅隊演練服務的目的,就是希望訓練企業,透過此類模擬駭客入侵攻擊的機制,也能找出資安防護機制上的不足之後,可作為後續改進的優先順序,進而讓寶貴資安預算能夠發揮最大效益。
貼近駭客思維 掌握惡意攻擊模式
創立於 2012 年的戴夫寇爾,是由一群真正貼近駭客思維的專家們所組成的資安團隊,熱衷挑戰多元思維、創新技術,期盼藉由對資安技術的熱情與專業,為企業建立堅強的資安後盾。該公司是臺灣第一家攻擊型資安服務廠商,擁有世界級檢測能力,致力於挖掘世界級漏洞、讓攻擊先於防禦,為提供企業最真實的服務。戴夫寇爾以全方位檢驗企業的資安部署策略,並精確找出問題根源為主要服務項目,讓客戶的有限資源可放在正確位置上。
以技術為核心的戴夫寇爾,經常透過積極參與國際競賽提升公司知名度,也獲得非常亮眼的表現。如在 2021 年美國黑帽大會(Black Hat USA)中,由於對 Microsoft Exchange 伺服器漏洞的深度研究,順利擊敗來自世界各地的另外六支隊伍,順利奪下 Pwnie Awards 的最佳伺服器漏洞獎(Best Server-Side Bug),此獎項向來有資安奧斯卡的美譽。至於全世界最著名、獎金最豐厚的安全競賽-Pwn2Own,也在 2020 Pwn2Own Tokyo 獲得亞軍、2021 Pwn2Own Austin 獲得亞軍、2021 Pwn2Own Vancouver 獲得冠軍等表現。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
戴夫寇爾營運發展總監鍾澤華說,市面上多數資安公司都兼著提供防禦、攻擊等不同類型的服務,但是戴夫寇爾是專注在主動式的資安服務上。我們希望透過主動式、攻擊型的資安服務,為企業建立堅強的資安防禦網,降低資安知識落差,做全球資安體系的後盾,推動企業正視資安檢測的重要性。我們熟悉各種駭客社群最新發佈的情資與攻擊手法,絕對有能力比駭客先找出公司的 0-day 漏洞 ,確保企業產品與服務可抵禦日新月異的攻擊。
戴夫寇爾有 80% 以上員工皆為資安技術專家,曾獲得 10 項國際資安獎項或網路安全技術票選的肯定,成立至今揭露超過 100 個漏洞。該公司將對漏洞研究的熱情與瞭解,投注在對客戶提供服務中,並致力於強化企業在面對攻擊前的能力與事件發生時的回應能力。
善用滲透測試服務 挖掘潛在漏洞
在 COVID-19 疫情蔓延多年下,許多人已經知道當病毒進入社區後,隨時隨地都有可能接觸到並且遭受感染。而駭客攻擊就像生活中的病毒,必須審慎小心處理,多數企業熟悉的弱點掃瞄服務,只能避免企業內部存在已公開的漏洞,難以抵禦新型態的攻擊手法。而近來廣泛被企業採用的滲透測試服務(Penetration Test,PT),即是以駭客思維嘗試入侵該企業的網站、資訊系統、設備等軟硬體,找出各種潛在的漏洞,驗證企業的資料與設備是否可被竊取或破壞,評估資訊系統與硬體安全性是否有待加強。
換句話說,滲透測試如同健康檢查,若企業能定時執行深層的資安健檢,便能及早針對資訊架構的弱項做改善防禦,日後面對各種攻擊時即可提高存活的機率。市面上不少業者都有提供相關服務,而戴夫寇爾的滲透測試最大特色,在於長期深耕駭客社群,了解駭客的思維及攻擊手法,並將最新穎的入侵行為應用在滲透測試上。
許復凱表示,我們認為資安是一場無止境的戰爭,唯有貼近駭客想法才能帶來最真實的滲透測試。戴夫寇爾擅長組合多個不同風險、不同面向的漏洞來達成最大化攻擊效果,進而找出企業從未發現的攻擊途徑。特別是大型企業通常擁有眾多網站、App、網通設備等各種軟硬體,必須仰賴編制完整的資安團隊,擁有各種系統、程式語言、設備滲透能力的專家,才能夠全方位的評估企業的各種安全風險,而我們則是少數具備此能力的業者。
在滲透測試部分,戴夫寇爾的檢測服務項目包括網路掃描、弱點掃描、滲透測試三大層面,並且遵循 OWASP(Open Web Application Security Project)網站應用程式安全測試清單第四版、OSSTMM(Open Source Security Testing Methodology Manual)開源安全測試方法指南第三版等。
補足滲透測試不足 借重紅隊演練服務
儘管滲透測試確實有助於改善整體資安防護力,不過戴夫寇爾從過去上百次滲透測試經驗中發現,由於企業邊界往往存在嚴重弱點,且泰半不自知。即使主要網站防護很完備,駭客只需要從這麼多目標中找到一個問題,如從第三方服務、廠商供應鏈、社交工程等途徑入侵,就可對企業造成傷害。
鍾澤華表示,戴夫寇爾建議企業在引進滲透測試之外,亦需要借重紅隊演練服務,藉由透過真實演練找到整體架構中的脆弱之處。此服務可協助企業全盤評估潛在的重大風險,以及驗證被入侵的可行性,以便評估資安風險、擬定防禦策略,乃至於可找出企業風險評估忽略的地方。
戴夫寇爾的紅隊演練服務有四大特色,首先是會模擬駭客組織的全面攻擊演練,以各種必要的攻擊入侵企業與客戶所有可能接觸點,藉此提供企業最貼近現況的全盤風險狀況。其次,則是在有限時間之內透過入侵情境達成攻擊,進而更立即地發現潛在高度風險,藉此驗證與盤點企業的機敏資料、伺服器、資料庫等是否處於高度風險。第三點藉由紅隊演練服務取得弱點,並進行複合式評估分析,為企業內部資安團隊建議對應機制,避免真實駭客入侵的措手不及,確保企業的高度安全性。最後,自然是藉由模擬真實駭客入侵、抓出潛在危機,保護企業與客戶的資安,避免可能發生的公關危機。
「市面上提供紅隊演練服務的公司不少,但我們是唯一會將已揭露的 0-day,並將 1-day 應用於紅隊演練中。我們會去挖掘基礎設施的 0-day,在負責任的揭露後,會將 1-day 用於演練中,這種模式對國外業者的紅隊演練服務是相當少見。」許復凱解釋:「為能幫助紅隊,研究組平時主要工作內容,即是尋找企業外網會使用的通用服務,如郵件伺服器、Jenkins、SSL VPN,而我們找的弱點都是以不用認證、可取得伺服器控制權為優先。目前已公開有 Exim、Jenkins、Palo Alto GlobalProtect、FortiGate、Pulse Secure 等,這些成果在演練當中都有非常高的戰略價值。」
引進資安顧問服務 提升資安防護力
前面曾經提到,在全球資安事件頻傳下,提升企業的整體資安意識,期盼打造一定能量的資安團隊,以便回應日益嚴峻的駭客攻擊。特別是臺灣上市櫃公司在金管會要求下,必須在一定期限內設立資安長、資安團隊,然資安人才欠缺的狀況下,自行培育資安人才往往需要長久時間與極高成本,難以滿足現階段的防禦需求。在此狀況之下,若能引進專業資安公司的教育訓練與顧問服務,可望將替企業節省更多成本,也使資安防禦更有效率。
戴夫寇爾的資安顧問服務是以自有專業技術為核心,與駭客站在同一個技術水平進行防禦,可協助協企業防禦各種駭客攻擊行為,服務內容包含定期滲透測試檢測、資安教育訓練、資安通報及網路與電話顧問諮詢。該公司的定期滲透測試檢測服務,會對網站或網路服務進行滲透測試,驗證可能被攻擊之漏洞,並提供修補建議。而資安教育訓練則是能強化開發者的資安概念,提升整體公司資安體質。至於資安事件通報服務,可讓企業在第一時間掌握最新資安情報。最後,當企業有任何資安疑慮或尋求資安建議時,則能由電話或網路尋求顧問團隊協助。
許復凱說,相較於其他資安公司,戴夫寇爾的資安顧問服務有兩大特色。首先是可提供最精準的資源分配建議,以駭客思維分析潛在攻擊者可能最感興趣的目標,並衡量企業資料的重要性之後,提供相關防護建議。此舉,能助企業保護最寶貴的資產,為資安預算做最有效的分配。第二項特色是能提供最完整的安全情資,當企業因為資訊落差而使用錯誤的防禦機制時,猶如使用木盾對抗槍砲,幾乎毫無實用性。而我們熟悉各種駭客社群發佈的最新情資及攻擊手法,能輔助客戶建立縝密且有效的資安防禦計畫。
積極分享最新攻擊手法與駭客思維的戴夫寇爾,向來把客戶危機當成自己的危機,在臺灣市場已深受眾多企業肯定。面對駭客攻擊手法持續進化,戴夫寇爾建議企業在既有防禦機制之外,也應該逐步引進的滲透測試、紅隊演練等服務,以主動式防禦對抗駭客入侵。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
