真將是捶心肝! 駭客三番二次來造訪，每隔二週的週六下午2:00 : 還在我們的眼皮子底下寫了一行又一行的程序，好像我家是他家。
資安事件是許多資安人的日常處理工作，大家一定有許多驚險的故事，今天我真的是在關公面前耍大刀，內容敍述及用詞如有不精準敬請包函及指教。
我是業務，我期望這些分享可以帶出一些容易被忽略的管理細節 ; 没有十全十美的管理方式及資安產品，而每個產業推動的情資共享(N-SOC、F-SOC、H-SOC)即是期望達到前車之鑑的效果。
1、資安事件一

• 事件 : 駭客大約連續進來4-5次，每隔二週的週六下午2:00準時報到，最後一次是在客戶的眼皮子底下寫程序，客戶有全面使用端點偵測(MDR)包含Server主機，每進來一次，MDR就叫一次。
• 處理 : 我們翻遍所有對外服務的網站，而該做的滲透及弱掃每年都有定期執行，最後決定將所有對外服務的網站全部下線檢查，包含滲透弱掃以及LOG逐一檢查。
• 根因 : 官網內有連結可連至歷史資料查詢區，有篇多年前活動的資料，裡面有一些填入資料的欄位，駭客利用其中一個欄位注入一串程序，意圖進來探底。
• 事件學習 : 對外開放的網站有許多連結可查詢舊的活動資料，相關服務、或者相關單位 ; 這些連結大都連結至與原網站不同的網址，因此在執行檢測時可能因為這些網址不同而需要額外收費、或者我們覺得這只是舊資料而已，因而我們的檢測容易忽略了這些伸出去的旁支旁節。

2、資安事件二

• 事件 :
  1.帳號被竊、資料被取。
  2.駭客把檔案複製到「MAIL」主機上公開網頁目錄，透過公開的「MAIL」主機Exchange網址將檔案下載。
• 處理 : 此入侵並非為內部端點被植入後門程式引起，也不是由外部暴力密碼破解帳號導致 ; 在VPN 記錄中發現大量的「AAAA」帳號登入行為，在查找過程中也有查找到駭客使用「joindomain」帳號進行伺服器的登入。於是盤查VPN設備近幾個月的漏洞，在官方文件查找到了可疑足跡。
• 根因 :
  1.最後確定VPN設備為入口，因設備未即時更新漏洞讓駭客有機可乘。
  2.進入的VPN帳號是先前專案提供給外部廠商使用，做為更換新電腦時加入網域使用的帳號。
• 事件學習 :
  1.VPN設備未即時更新漏洞，此外也因為這款設備在市場上的聲量小，因而容易忽略相關訊息。相反的，許多人說Fortinet漏洞多，但也因為市場佔有率高聲量高，因此訊息流通高，監督的力量也大。
  2.未使用的帳號進行停用或移除處理。
  3.VPN連線時應使用多因子驗證機制。
  4.加入網域後的Local Admin帳號停用。