導讀

於上一篇的內容針對資料的安全的重要性與如何降低風險的設計方式用了稽核及如何管理資料，於最後對資料進行加密的各種方式，也稍微提到各種法規概念內容。本日課程將對於漏洞的偵測進行討論。

資產保護與漏洞管理

1. 資產漏洞

• 每項需要保護的資產都存在數十個潛在漏洞。
• 關鍵是找到並解決這些漏洞，避免其成為問題。

2. 漏洞的定義

• 漏洞是一種可以被威脅者利用的弱點。
• 重點在於「可以」被利用，並不意味著漏洞一定會被攻擊。

漏洞與安全規劃

1. 漏洞的範例

• 以重要文件為例，容易被偷竊或損壞，如紙張容易燃燒或不防水。
• 安全團隊依據資產的脆弱性來制定防護措施。

2. 漏洞利用

• 威脅者可能會利用資產的弱點，稱為漏洞利用。
• 預先考慮可能的利用方式可以幫助制定防禦措施（如安裝警報系統）。

漏洞管理流程

1. 漏洞管理的定義

• 漏洞管理是一個發現並修補漏洞的過程，防止威脅成為問題。

2. 漏洞管理的四個步驟

3. 識別漏洞：發現資產的弱點。

4. 評估利用方式：考慮漏洞可能被如何利用。

5. 準備防禦：設計防禦措施來應對潛在的威脅。

6. 評估防禦措施：檢查防禦措施的有效性。

7. 持續的循環過程

• 漏洞管理是循環進行的，不斷重複以上步驟，因為總有新漏洞出現。

多元化與零日漏洞

1. 多元化的觀點

• 擁有多元背景與經驗的安全團隊有助於更好地發現漏洞。

2. 零日漏洞

• 零日漏洞是之前未被發現且立即被利用的漏洞，因無法即時修復，極具危險性。
• 它們代表了計劃之外的威脅，可能導致資產面臨更大的風險。

漏洞管理的重要性

1. 定期執行漏洞管理

• 大多數組織會定期進行漏洞管理，以保障資產安全。
• 最重要的步驟是識別漏洞，在未來的課堂中會深入探討。

網路七層針對各威脅的防範方式

縱深防禦的概念

** 縱深防禦** (Defense in Depth) 是一種將多種安全措施分層部署的策略，旨在強化系統的安全性。就像一座城堡，縱深防禦並非只靠一道高牆就能抵禦所有攻擊，而是透過多道防線、多種武器，讓入侵者難以攻破。

1. 層層防禦難以突破

• 當一個防禦屏障失效時，會有另一個防禦層取而代之，阻止攻擊。
• 縱深防禦是一種分層的安全模型，透過分層方法來進行漏洞管理並降低風險。

2. 縱深防禦的比喻：城堡接近

• 縱深防禦通常被稱為「城堡接近」，因為它類似於中世紀城堡的分層防禦。
• 在中世紀，這些防禦結構難以穿透，每個防禦設計都各不相同，給予攻擊者不同的挑戰。
• 例子： 護城河和石牆等障礙，防止攻擊者接近並進一步攻擊城堡。

中世紀防禦與縱深防禦的類似之處

1. 逐層防禦

• 在中世紀城堡的防禦系統中，每一層防禦都針對不同的脆弱性進行防護。例如：
  • 護城河阻止攻擊者接近城牆。
  • 攀爬石牆時，攻擊者會遇到瞭望塔內的防禦者。
• 每一層防禦系統協同運作，最大限度地降低風險。

2. 縱深防禦的運作

• 縱深防禦的概念類似於中世紀的多層防禦，可以用來保護任何資產。
• 這一概念主要應用於網路安全，透過五層設計保護資訊的進出。

縱深防禦的五層設計

1. 周邊層（Perimeter Layer）

• 包含使用者名稱與密碼等技術，這是一個身份驗證層，過濾外部存取。
• 主要目的是只允許值得信賴的合作夥伴進入下一層防禦。

2. 網路層（Network Layer）

• 與授權緊密結合，主要由網路防火牆等技術提供防護。

3. 端點層（Endpoint Layer）

• 包括可以存取網路的設備，如筆記型電腦、桌上型電腦或伺服器。
• 常見的保護技術是防毒軟體，用於保護這些設備。

4. 應用層（Application Layer）

• 涉及所有與技術互動的介面，安全措施編程為應用程式的一部分。
• 例如，多重身份驗證（如密碼+簡訊驗證碼）就是應用層防禦的一部分。

5. 資料層（Data Layer）

• 負責保護最關鍵的數據，如個人識別資訊（PII）。
• 資產分類是一項重要的安全控制，用來保護資料層的資產。

縱深防禦在現代企業中的應用

1. 五層防禦的協同運作

• 資訊在網路上交換時，會經過五層防禦，每層都發揮其保護作用。
• 企業通常依照縱深防禦模型來設計其安全系統，以保護重要資產。

2. 理解縱深防禦的框架

• 縱深防禦框架的理解有助於掌握組織內部的安全控制如何共同運作，確保資產安全。

漏洞的層級定義

CVE（Common Vulnerabilities and Exposures，常見漏洞與曝光）是一個公開的資料庫，用於標準化和記錄已知的安全漏洞和曝光。CVE 系統透過唯一的編號（CVE ID）來識別和描述這些漏洞，使得不同組織、廠商和安全專家可以更有效地溝通並管理安全風險。

• 漏洞與曝光的區別

  • 漏洞：系統中的弱點。
  • 曝光：系統中的錯誤，可能會被威脅利用。

• CVE 列表（常見漏洞與曝光）

  • CVE 列表是線上公共圖書館，用於分享並記錄已知的漏洞與曝光。
  • 許多組織使用 CVE 列表來提升防禦能力。

• CVE 列表的歷史

  • CVE 列表由 MITRE 公司在 1999 年創建。
  • MITRE 是一個非營利研究與發展中心，由美國政府贊助，專注於改善全球的安全技術。

• CVE 列表的目的

  • 提供標準的識別方法並對已知的漏洞與風險進行分類。
  • 大部分 CVE 是由獨立研究人員、技術供應商和道德駭客報告，任何人都可以檢舉。

• CVE 清單的審查流程

  • CVE 在進入清單前，會經過 CNA（CVE 編號機構）的嚴格審查，確保漏洞符合四個標準：
    1. 漏洞獨立，不需要修復其他問題即可修復。
    2. 具有潛在安全風險。
    3. 提交附有支持證據。
    4. 影響單一程式碼庫。

• NIST 國家漏洞資料庫與 CVSS 評分系統

  • NIST 資料庫使用 CVSS（常見漏洞評分系統）來評估漏洞的嚴重性。
  • CVSS 分數範圍 0-10，安全團隊用來計算漏洞的影響和決定修補優先順序：
    • 分數低於 4.0 屬於低風險，不需立即處理。
    • 分數高於 9.0 屬於嚴重風險，應立即解決。

常見的漏洞

• Broken Access Control（門禁損壞）：存取控制失效，可能導致未經授權的資訊外洩、修改或破壞。
• Cryptographic Failures（加密失敗）：未能使用有效的加密保護敏感資料，例如使用弱雜湊演算法，增加資料外洩風險。
• Injection（注射攻擊）：惡意程式碼被插入到易受攻擊的應用程式中，如網站登入表單，可能導致憑證竊取。
• Insecure Design（不安全的設計）：應用程式缺乏或實施不當的安全控制，使其易受攻擊。
• Security Misconfiguration（安全配置錯誤）：安全設定未正確配置，如使用預設設定部署設備，導致系統不安全。
• Vulnerable and Outdated Components（易受攻擊和過時的元件）：應用程式使用未經維護的開源程式庫，增加被攻擊風險。
• Identification and Authentication Failures（識別和認證失敗）：應用程式無法正確識別使用者和權限，可能導致未授權存取。
• Software and Data Integrity Failures（軟體和資料完整性故障）：更新或修補未充分審查，可能導致供應鏈攻擊，如 SolarWinds 攻擊。
• Security Logging and Monitoring Failures（安全日誌記錄和監控故障）：缺乏充分的日誌記錄和監控，導致無法發現或解決安全問題。
• Server-Side Request Forgery (SSRF)（伺服器端請求偽造）：攻擊者操縱伺服器操作，讀取或更新伺服器上的未經授權資源。
  

公開情報

1. 開源情報（OSINT）的概述

• 開源情報 (OSINT)：從公開來源收集和分析資訊，以產生可用於支援網路安全活動的情報。
• OSINT 在識別潛在威脅和漏洞方面發揮重要作用，有助於提高網路安全。

2. 資訊與情報的區別

• 資訊：指有關特定主題的原始資料或事實的收集。
• 情報：透過對資訊的分析，產生可以支援決策的知識或見解。
  • 例如，作業系統更新的資訊可以通過多方研究，演變為與威脅相關的情報，幫助組織決策。

3. 情報在改善決策中的作用

• 組織利用開源資訊來深入了解威脅和漏洞，從而改善安全決策。
• OSINT 在資訊安全 (InfoSec) 中發揮重要作用，幫助資安團隊保護網路免受潛在威脅。
  • 例如，資安團隊可以利用 OSINT 監控駭客論壇，評估公司使用的軟體漏洞風險，並快速實施防禦措施。

4. 開源情報（OSINT）的應用

• OSINT 產生情報的方法：
  • 提供有關網路攻擊的見解。
  • 檢測潛在的資料外洩。
  • 評估現有的防禦措施。
  • 識別未知漏洞。
• OSINT 是漏洞管理過程的一部分，有助於安全團隊開發目標概況並做出資料驅動的決策。

5. 常見的開源情報工具

• VirusTotal：可分析可疑檔案、網域、URL 和 IP 位址以查找惡意內容。
• MITRE ATT&CK®：基於現實世界觀察的對手戰術和技術知識庫。
• 開源情報框架：一個基於 Web 的介面，提供幾乎任何來源或平台的 OSINT 工具。
• Have I Been Pwned：可搜尋被破壞的電子郵件帳號的工具。
• 這些工具幫助資安團隊有效收集情報並保護企業免受威脅。

漏洞掃描方法的概述

1. 漏洞掃描方法

• 漏洞評估：組織安全系統的內部審查過程，識別弱點並防止攻擊。
• 漏洞掃描工具：模擬威脅，尋找攻擊面中的漏洞，協助實施補救策略。

2. 什麼是漏洞掃描器？

• 漏洞掃描器：自動將已知漏洞和暴露情況與網路技術進行比較的軟體。
  • 扫描系統以尋找錯誤配置或程式缺陷。
  • 掃描五個攻擊面：外圍層、網路層、端點層、應用層、資料層。
  • 掃描結果會與安全威脅資料庫進行比較，並更新資料庫。

3. 執行掃描

• 非侵入式掃描：不會像攻擊者那樣破壞或利用系統，只是掃描表面並提醒系統中的漏洞。
• 注意：掃描可能會無意中導致問題，例如系統崩潰。

4. 掃描類型

• 外部與內部掃描：

  • 外部掃描：測試內部網路之外的外圍層，例如網站和防火牆，發現外部可被利用的漏洞。
  • 內部掃描：檢查組織的內部系統，例如應用程式處理使用者輸入的弱點。

• 經過身份驗證與未經身份驗證掃描：

  • 經過身份驗證掃描：使用真實使用者或管理員帳戶登入來測試系統，檢查漏洞如損壞的存取控制。
  • 未經身份驗證掃描：模擬無權存取系統的外部威脅參與者，檢查是否能夠存取本應限制的資源。

• 有限與全面掃描：

  • 有限掃描：分析網路上的特定設備，如搜尋防火牆上的錯誤配置。
  • 全面掃描：分析連接到網路的所有裝置，包括作業系統和用戶資料庫。

更新的概念

1. 更新的重要性

• 效能與穩定性：更新提供了效能、穩定性的改進，並可能增加新功能。
• 安全角度：更新能解決可能使用戶、設備和網路面臨風險的安全漏洞。
• 更新與漏洞評估：更新通常在漏洞評估之後進行，作為補救策略的一部分。

2. 修補安全漏洞

• 比喻：過時的計算機像一棟門沒鎖的房子，容易被惡意行為者利用。
• 修補程式：軟體和作業系統的更新，用於解決安全漏洞和錯誤。
  • 理想情況：在漏洞被駭客發現之前解決它們。
  • 零日漏洞：補丁有時是針對之前未知的漏洞開發的。

3. 常見的更新策略

• 手動更新：

  • 方式：IT 部門或使用者自行尋找、下載和安裝更新。
  • 優點：提供更多控制，避免未經測試的更新引發不穩定問題。
  • 缺點：關鍵更新可能會被遺漏或忽略。

• 自動更新：

  • 方式：系統或應用程式自動尋找、下載和安裝更新。
  • 專業提示：CISA 建議使用自動更新選項。
  • 優點：簡化部署過程，保持系統和軟體更新。
  • 缺點：可能會出現不穩定問題，影響效能和用戶體驗。

4. 報廢軟體

• 生命週期終止 (EOL) 軟體：無法獲得更新的舊軟體。
  • 生命週期：從生產開始到新版本發佈，舊軟體停止支援。
  • CISA 建議：停止使用 EOL 軟體，以免帶來無法修復的風險。
  • 挑戰：更換 EOL 軟體的成本可能很高，尤其在商業環境中。

5. 風險與案例

• 連網設備風險：EOL 軟體的風險隨著連網設備的增加而上升，例如 IoT 設備。
• WannaCry 攻擊：2017 年的 WannaCry 攻擊本可以通過安裝最新安全補丁來阻止。

滲透測試

1. 滲透測試

• 定義：滲透測試或筆測試是一種模擬攻擊，幫助識別系統、網路、網站、應用程式和流程中的漏洞。

  • 模擬攻擊：使用與惡意行為者相同的工具和技術來模仿現實中的攻擊。
  • 道德駭客：滲透測試被視為道德駭客的一種形式，利用發現的系統弱點來測試防禦效果。

• 實例：金融公司可能模擬對銀行應用程式的攻擊，以查找竊取客戶資訊或非法轉移資金的漏洞。

• 合規要求：受 PCI DSS、HIPAA 或 GDPR 監管的組織必須定期執行滲透測試以維持合規性標準。

2. 滲透測試方法

• 紅隊測試：模擬攻擊來識別系統、網路或應用程式中的漏洞。

• 藍隊測試：專注於防禦和事件回應，驗證現有的安全系統。

• 紫色團隊測試：協作性測試，結合紅隊和藍隊的元素以改進安全狀況。

• 存取權限：滲透測試人員需決定所需的存取權限和資訊。

3. 滲透測試策略

• 開箱測試（白盒測試）：測試人員擁有與內部開發人員相同的資訊，如系統架構、資料流和網路圖。

  • 別名：內部測試、完全知識測試、明盒滲透測試。

• 閉箱測試（黑盒測試）：測試人員幾乎無法存取內部系統，模擬外部惡意攻擊者的情況。

  • 別名：外部測試、零知識滲透測試。

• 部分知識測試（灰盒測試）：測試人員對內部系統有有限的存取權限和知識。

  • 別名：灰盒測試。

• 模擬準確性：閉箱測試通常提供最準確的現實攻擊模擬，但所有策略都能展示攻擊者如何滲透系統及其能夠存取的資訊。

4. 成為滲透測試員

• 技能要求：

  • 網路和應用程式安全
  • 作業系統經驗（如 Linux）
  • 漏洞分析和威脅建模
  • 偵測和回應工具
  • 程式語言（如 Python 和 BASH）
  • 溝通技巧

• 技能培養：程式設計技能對滲透測試非常有幫助，透過實踐和奉獻精神可以培養所需技能。

5. 錯誤賞金計劃

• 定義：組織為發現和報告產品中漏洞的自由滲透測試人員提供財務獎勵。
• 機會：漏洞賞金活動是業餘安全專業人員參與和提升技能的良機。
  • 專業提示：駭客一號是道德駭客社區，提供活躍的錯誤賞金參與機會。

威脅行為者的類型

1. 威脅行為者的類型

• 預測攻擊的重要性：成為高效能的安全專業人員需要預測攻擊，這需要開放和靈活的心態。
• 攻擊面的例子：網路、伺服器、設備和員工都是可被利用的攻擊面。
• 保護關鍵：保護這些攻擊面關鍵在於限制對它們的存取。

2. 威脅行為者的定義

• 威脅行為者：指任何有安全風險的個人或團體，包括組織內部和外部的人員，以及故意或無意中使資產面臨風險的個人。

3. 威脅行為者的類別

• 競爭對手：可能從洩漏資訊中受益的競爭對手公司。
• 國家行為者：政府情報機構。
• 犯罪集團：有組織的團體，通過犯罪活動賺錢。
• 內部威脅：任何擁有或被授權存取組織資源的個人，包括意外損害或故意將資產置於風險中的人員。
• 影子 IT：使用缺乏 IT 治理的技術的個人，如員工使用個人電子郵件發送工作相關通信。

4. 駭客的類型

• 未經授權的駭客：利用程式設計技能進行犯罪的個人，也稱為惡意駭客，包括技能有限的腳本小子。
• 授權或道德駭客：利用程式設計技能提高組織安全性的人，包括內部安全團隊成員和外部安全供應商，通常參與錯誤賞金計畫。
• 半授權駭客：可能違反道德標準但不被視為惡意的駭客，如駭客行動主義者，目的是暴露安全風險以供修復。
  

5. 進階持續威脅 (APT)

• APT 定義：威脅行為者長時間保持對系統的未經授權存取，通常與民族國家或國家資助的行為體相關。
• APT 的目標：監視目標以收集資訊，並利用這些情報操縱政府、國防、金融和電信服務。
• 影響範圍：雖然APT與國家行為者相關，但私人企業也可能受到影響，APT 通常先針對私人組織以接觸大型實體。

6. 存取點

• 攻擊媒介類別：

  • 直接訪問：物理訪問系統。
  • 可移動介質：如 USB 隨身碟。
  • 社交媒體平台：用於溝通和內容共享。
  • 電子郵件：個人和企業帳戶。
  • 本地無線網路。
  • 雲端服務：由第三方組織提供。
  • 供應鏈：第三方供應商可能存在後門。

• 識別攻擊媒介：識別威脅行為者的意圖可以幫助確定他們可能瞄準的接入點和最終目標。

防範暴力破解的方式

1. 防禦暴力網路攻擊

• 使用者名稱和密碼（Username and Password）：當今最常見且重要的安全控制，像是用來限制對網路、服務和資料的存取的門鎖。
• 問題：登入憑證容易被攻擊者竊取和猜測。

2. 暴力攻擊策略

• 暴力攻擊（Brute Force Attack）：攻擊者透過猜測使用者名稱和密碼的組合來存取系統。
• 字典攻擊（Dictionary Attack）：攻擊者使用常見的憑證清單來嘗試存取系統，類似於將單字與字典中的定義匹配。
• 反向暴力攻擊（Reverse Brute Force Attack）：從單一憑證開始，嘗試不同系統，直到找到匹配。
• 憑證填充（Credential Stuffing）：攻擊者使用從先前資料外洩中竊取的登入憑證來存取另一組織的帳戶。
  • 傳遞雜湊（Pass-the-Hash）：重複使用被盜的未加鹽的雜湊憑證來欺騙身分驗證系統建立新的工作階段。
• 窮舉密鑰搜尋（Exhaustive Key Search）：用來暴力破解加密訊息。

3. 暴力破解工具

• Aircrack-ng：用於測試 Wi-Fi 網路的暴力攻擊漏洞。
• Hashcat：散列破解工具。
• John the Ripper：密碼破解工具。
• Ophcrack：Windows 密碼破解工具。
• THC-Hydra：支援多種協定的暴力破解工具。

4. 預防措施

• 散列和加鹽（Hashing and Salting）：將資訊轉換為唯一值，加鹽則向資料添加隨機字符以增強保護。
• 多重身份驗證（Multi-Factor Authentication, MFA）：要求使用者透過兩種或多種方式驗證身分來存取系統或網路。
• 驗證碼（CAPTCHA）：完全自動化的公共圖靈測試，用於區分電腦和人類。
  • 文字驗證碼（Text CAPTCHA）：要求使用者輸入隨機字母和/或數字序列。
  • 圖像驗證碼（Image CAPTCHA）：要求使用者將圖像與隨機生成的單字進行匹配。
• 密碼政策（Password Policy）：標準化良好的密碼實踐，要求長度、複雜性和密碼鎖定策略，增加密碼的組合數量以延長破解時間。
  

5. 重點

• 暴力攻擊是獲得未經授權的系統存取的簡單而可靠的方法。
• 密碼強度：密碼越強，被破解的難度越大。
• 安全專業人員：需使用上述工具來測試系統的安全性，認識攻擊策略和工具是防範攻擊的第一步。

社會工程概述

社會工程攻擊是威脅行為者常用的一種技術，因為誘騙人們提供存取權限、資訊或金錢，往往比利用軟體或網路漏洞更簡單有效。本文將探討幾種常見的社會工程策略，並提供防禦建議。

社會工程的風險

社會工程是一種透過操縱人們的情感與信任來達成目的的技術，它利用了人們的好奇心、慷慨心和興奮感，讓他們放棄對判斷力的把持。這些攻擊方式非常簡單，但其破壞力巨大。

例如，2020年推特駭客事件，駭客冒充 IT 部門人員打電話給 Twitter 員工，騙取了對網路和內部工具的存取權，最終控制了知名用戶的帳戶，包括政客、名人和企業家。這樣的攻擊展示了社會工程的威脅，它們不需要高深的技術即可成功，反而依賴於人為錯誤。

常見的社會工程策略

1. 誘餌攻擊 (Baiting)
   攻擊者放置受感染的 USB 驅動器等物品，誘使受害者插入自己的設備，從而損害安全。

2. 網路釣魚 (Phishing)
   通過數位通訊（如電子郵件）誘騙受害者洩漏敏感資料或安裝惡意軟體，是最常見的社會工程攻擊形式之一。

3. 交換條件 (Quid Pro Quo)
   攻擊者假裝提供回報，誘使受害者共享存取權限或資訊。例如，冒充銀行人員提供優惠條件，要求受害者提供帳戶資訊。

4. 尾隨 (Tailgating)
   攻擊者跟隨授權人員進入禁區，這種技術有時被稱為搭載 (Piggybacking)。

5. 水坑攻擊 (Watering Hole)
   攻擊者破壞特定使用者群體常去的網站，讓訪問這些網站的人受到惡意軟體感染。2020 年聖水攻擊就是一個典型例子，攻擊針對了宗教、慈善和志願者網站。

防禦社會工程攻擊的方法

儘管社會工程攻擊難以完全防範，但有一些跡象可以幫助識別潛在的威脅：

• 可疑的通信與身份
  注意拼寫錯誤、不一致的寄件者名稱與電子郵件地址。當收到不尋常的請求時，保持警惕。

• 資訊分享的謹慎
  在社群媒體上分享資訊時要格外小心，攻擊者常常透過這些平台尋找有用的線索。

• 不切實際的誘惑
  當一個提議看起來好得令人難以置信時，請抑制好奇心，避免點擊附件或連結。

強化防禦的專業提示

除了提升使用者的警覺性，技術防護同樣重要，建議實施以下措施：

• 防火牆 (Firewall)
• 多重身份驗證 (Multi-Factor Authentication, MFA)
• 封鎖清單 (Blacklist)
• 電子郵件過濾 (Email Filtering)

結論

在本篇文章中，我們深入探討了資料保護與漏洞管理的重要性。從識別資產漏洞、定義漏洞到實施縱深防禦策略，每一個步驟都對維護網路與系統安全至關重要。透過縱深防禦的五層設計，企業能夠建立多層次的安全屏障，有效減少被攻擊的風險。此外，CVE系統與開源情報（OSINT）的應用，提供了標準化的漏洞識別與防禦資源，進一步提升了組織應對現代網路威脅的能力。持續進行漏洞管理與防禦措施，是確保企業網路安全的關鍵。