🥝 的意義

將新手可能會不懂的資安基礎知識，利用 🥝 的符號，讓大家可以識別一些基礎內容。

前言

企業安全當中要針對是否有做好基礎的盤點，以及了解自己可能會有哪一些被攻擊的目標之後，再來談最新的安全概念與趨勢，對於企業可能才不會無故花大錢。

比如說需要有漏洞修復的機制與流程，不然找到漏洞也沒有用處。

以及企業內部需要有資訊安全的最低標準 Baseline 用來滿足安全需求中的最低要求。

很像法律一樣是道德的最低標準。

Baseline 的概念，可以參考政府推廣的推廣政府組態基準(Government Configuration Baseline，簡稱GCB)

目的在於規範資通訊設備(如個人電腦、伺服器主機及網通設備等) 的一致性安全設定(如密碼長度、更新期限等)，以降低成為駭客入侵管道，進而引發資安事件之風險。 ~ 國家資通安全研究院

常見的安全基準又可以稱規範、標準、參考，比如 OWASP 鍾的 OWASP Application Security Verification Standard 是一個針對應用程式安全驗證與開發人員安全開發的要求清單。

在前幾篇的內容，了解「知道駭客攻擊手法」的重要性，在過去的業界經驗當中，很多人苦於「不知道駭客會攻擊哪裡」導致忙著盤點，卻總是盤不到那個被駭客攻擊的工具。

但因為現在有許多自動化的工具可以協助與幫忙，因此盤點的價值會在「是否有效梳理真正會被攻擊的資產」。

也許企業短期或是初期先專注在「會被攻擊的資產」，再來一步一步建構更安全的企業環境。

什麼是攻擊面

攻擊面代表一個系統可以被駭客利用的所有因素。

假設一家電商平台有很多個線上服務，包括一個客戶購買物品的網站、一個管理員後台，以及一個 API 服務來管理庫存。

這家公司的攻擊面將包括所有這些服務，以及背後的伺服器器、資料庫、網路結構等。

企業該知道自己哪裡會被攻擊/攻擊面

根據 ATT&CK 中的 Reconnaissance 策略來收集必要的資訊，收集方式可分成主動收集、被動收集兩大方向，收集的內容包含企業內部的人員、使用系統、程式語言等，收集完畢之後會制定對應的下一步攻擊方向。

🥝 Reconnaissance

偵察的行為包括涉及駭客主動或被動收集可用來支持攻擊目標目標定位的資訊的技術。

主動收集

• 企業內部人員資料
• 使用的系統和程式碼
• 開放的 IP 和通訊埠
• 公開的服務和 API

比如說企業內部人員資料，透過 LinkedIn 來找出企業的關鍵人物並企圖欺騙他們透露敏感資訊。或是使用的系統和程式碼，企業使用的是知名的開源軟體，攻擊者可以尋找這個軟體的已知漏洞來進行攻擊。

被動收集

• 社群媒體和公開報導
• 第三方報告和白皮書
• 公共 DNS 資料和 WHOIS 資訊

進而找到可能的攻擊目標

1. 對外開放的IP、端口和服務
   • 公共網站、官方網站
   • 信件伺服器
   • API 端口
2. 對內開放的IP、端口和服務
   • 內部網路
   • 內部系統
   • IoT 設備
     • 列表機
     • 攝影機
   • 內部使用的 API
3. 域名
   • 內部和外部域名
   • 子域名與其他公司使用域名
4. 應用程式接口(API)
   • 公開API
   • 內部API
   • 第三方API
5. 資料
   • 客戶資料庫
   • 內部文件和報告(財務報表)
   • 設備參數
6. Wi-Fi
   • 公共 Wi-Fi
   • 內部 Wi-Fi
7. 物理環境
   • 辦公區域
   • 機房
   • 公共區域
8. 人員
   • 員工
   • 合作夥伴和供應商
   • 企業產品的使用者
9. 第三方協作
   • 第三方JS嵌入
   • 雲端服務
   • 外包服務

分析攻擊目標與管理方式

IP、端口和服務

目的：製作好資產列表

不管是對外使用還是內部網路使用，都可以利用列表維護 IP、端口、服務的列表，但尤其內部網路中，開發部門可能所使用的 IP、端口與服務會常常變更。

因此短期可以先建立外部服務的伺服器，所使用的 IP、端口與服務。

會遇到的挑戰

人工維護資產列表是一件很困難的事情，尤其還有變更快速的問題，因此可以選擇「資產掃描器」來協助企業內部盤點對應的內容。

可以參考已經開源的工具，或是選擇自製相關的資產管理系統。

開源資產管理系統

• 開源 IT 資產管理系統：Open-AudIT
  • 官方網站進行安裝
    • https://www.open-audit.org/downloads.php
  • 根據指示進行安裝

常用來做資產盤點工具

1. masscan
2. nmap

其他收集的方法

1. 監聽流量，從流量中解析網路封包中的來源與目的 IP
2. 遇到沒有在資產資料庫中的就加入 IP
3. 流量來源
   • 對外網路出口
   • VPN 連接的內部伺服器/路由器

🥝 IP

1. IP（Internet Protocol）代表網路傳輸資料(封包)的協定
2. IP Address（Internet Protocol　Address）用來識別網路上的設備的唯一地址
   • 目前有兩個版本：IPv4 和 IPv6
     • IPv4 地址由四組 0 到 255 的數字組成
       • ex. 192.168.1.1
     • IPv6 地址則由八組由十六進制數表示的四個字串組成
       • ex. 2001:0db8:85a3:0000:0000:8a2e:0370:7334
3. 內網 IP（Private IP Address） vs 外網 IP（Public IP Address）

🥝 端口

1. 搭配 IP Address 一起使用，讓封包可以準確傳給正確的應用程式
2. 端口類型
   • 物理端口：物理硬體設備
     • 網路卡：RJ45 端口
     • 路由器：WAN 端口
   • 網路端口：
     • 每一個端口都可以執行一個服務
     • 範圍： 0~65535

🥝 服務

• 每一個應用程式所提供的內容
  • Web 服務 ==> 網站

域名

1. 分析所有的域名伺服器內容
2. 如果有幾個域名沒有存取的紀錄，就直接取消該子域名

物理環境

多半都是跟保全公司合作，可以思考如果保全公司的系統有漏洞，是否也會威脅企業的安全性。

常見的攻擊面管理方式

1. 只要有網路可能就會有風險
2. 權限設定好，進行好隔離

最小化權限原則

• 這個功能如果不需要用到，就不要開啟。

  • 不需要的服務一定要關閉

• 存取控制的策略

  • 存取目標：外網、伺服器、應用程式
  • 存取時間：一個月
  • 存取人員：員工編號

• 應用程式隔離

  • 應用程式之間可以嘗試無法存取

小結

1. 企業的安全步驟
   1. 控制攻擊面
   2. 釐清攻擊目標
   3. 管理方式
2. 每一個企業都有攻擊面，都需要進行管理與減少
3. 管理目標包含 IP、端口、服務與更多的伺服器內容
4. 員工教育訓練也需要專注在識別攻擊
5. 監控會是建立安全網路環境的起點

參考資料

• 政府組態基準(GCB)
• OWASP Application Security Verification Standard