安全強化是透過減少系統漏洞及攻擊面來增強系統安全性,具體而言是藉由限制進入點來最小化攻擊面,並在物理攻擊面上設置障礙以阻止攻擊。
| 項目 | 優點 | 缺點 |
|---|---|---|
| 物理攻擊面 | 直接可見,便於保護和控制 | 不可預見的內部威脅難以防範 |
| 數位攻擊面 | 靈活性高,可以隨時訪問信息,包括組織防火牆之外的所有內容 | 擴大了攻擊範圍,增加了潛在的風險 |
| 安全加固(Hardening) | 減少潛在漏洞,提升整體安全性 | 可能需要額外資源和時間來實施 |
| 雲計算 | 提升效率,支持遠端辦公 | 帶來更多的安全挑戰,需加強防護措施 |
主動模擬(Red Team):假定攻擊者角色,利用漏洞。
被動模擬(Blue Team):假定防守者角色,回應攻擊。
| 主題 | 描述 |
|---|---|
| 攻擊者思維 | 用於預見變化並識別漏洞。 |
| 準備計劃 | 透過模擬不同的問題來制定應對計劃。 |
| 模擬威脅 | - 主動模擬(Red Team):假定攻擊者角色,利用漏洞。- 被動模擬(Blue Team):假定防守者角色,回應攻擊。 |
| 掃描漏洞 | 利用漏洞掃描工具自動識別弱點,包含識別、分析、風險評估和補救四個步驟。 |
| 創新解決方案 | 保持對最新安全趨勢和技術的了解。 |
| 項目 | Red Team | Blue Team |
|---|---|---|
| 角色定位 | 假定攻擊者角色,模擬外部威脅 | 假定防守者角色,回應攻擊 |
| 目標 | 測試系統防禦能力,主動尋找漏洞 | 保護系統資產,增強防禦與響應能力 |
| 方法 | - 利用漏洞進行攻擊- 進行社交工程攻擊(如釣魚郵件) | - 收集資產資訊- 使用漏洞掃描工具進行風險評估 |
| 活動性質 | 主動性(Proactive) | 被動性(Reactive) |
| 需要的技能 | - 創造性思維- 熟悉攻擊技術與工具 | - 分析能力- 熟悉防禦技術與安全工具 |
| 優點 | - 能夠提前發現漏洞- 提升整體安全意識 | - 加強防禦能力- 提升團隊對實際攻擊的應變能力 |
| 缺點 | - 可能影響業務運作- 需要更多時間規劃與執行 | - 反應可能較慢,依賴於威脅的識別- 可能無法主動發現新型漏洞 |
| 常見工具或方法 | - 漏洞利用工具:Metasploit、Cobalt Strike- 社交工程工具:SET(Social Engineering Toolkit)- 釣魚攻擊模擬:GoPhish | - 漏洞掃描工具:Nessus、Qualys- 資產管理工具:SolarWinds、OpenVAS- 事件管理工具:Splunk、SIEM 系統 |
| 模擬類型 | 攻擊模擬(Attack Simulation) | 防禦模擬(Defense Simulation) |
網路、伺服器、設備和人員構成的攻擊面經常成為被利用的對象,安全團隊需不斷防禦,而防禦關鍵在於限制對這些資源的訪問。
| 類別 | 定義 |
|---|---|
| 競爭者 Competitors | 可能從洩漏資訊中獲利的競爭公司 |
| 國家行為者 State actors | 政府情報機構 |
| 犯罪團夥Criminal syndicates | 從犯罪活動中獲利的組織 |
| 內部威脅Insider threats | 擁有授權訪問組織資源的個人 |
| 陰影IT Shadow IT | 使用缺乏IT治理技術的個人,通常是因為用戶試圖尋求更便利或快速的解決方案,而未通過公司的正式安全或技術審核程序。例如員工使用個人電子郵件帳戶來傳輸與工作相關的機密文件或信息。 |
| 未經授權黑客 Unauthorized hackers | 進行犯罪活動的個体 |
| 授權(道德)黑客Authorized, or ethical, hackers | 提升組織安全的黑客 |
| 半授權黑客Semi-authorized hackers | 違反道德標準但不惡意的黑客 |
未經授權的駭客,或稱不道德的駭客,是指利用其程式設計技能犯罪的個人。未經授權的駭客也被稱為惡意駭客。此類駭客的技能水平差異很大。例如,有些駭客技能有限,無法自行編寫惡意軟體,有時被稱為腳本小子(script kiddies)。這類未經授權的駭客使用從其他更高技能的駭客那裡取得的事先撰寫好的程式碼進行攻擊。
授權的或倫理駭客是指利用其程式設計技能來改善組織整體安全的個人。他們包括內部安全團隊成員,他們專注於測試和評估系統以保護攻擊面。他們也包括外部安全供應商和由某些公司激勵以發現和報告漏洞的自由駭客,這種做法被稱為漏洞獎勵計劃。
半授權駭客通常指可能違反道德標準但不被視為惡意的人。例如,駭客行動主義者 hacktivist可能利用自己的技能來達成政治目標。他們可能會利用公共事業公司的安全漏洞來提高對其存在的意識。這些類型的威脅行為者的意圖通常是暴露應在惡意駭客發現之前解決的安全風險。
「attack vectors」(攻擊向量)是一個資安領域的關鍵術語,指的是威脅行為者(threat actors)用來接觸或利用系統、網絡或設備漏洞的一種途徑或方法。簡單來說,它描述了攻擊者如何運用特定的技術或方式來突破安全防線,達成其攻擊目標。
| 攻擊向量 | 風險 | 舉例 | 如何防範 |
|---|---|---|---|
| Direct access | 攻擊者繞過數位保護措施,直接操作設備或提取數據。 | 攻擊者插入惡意USB裝置或拆解硬體以提取敏感數據。 | 限制物理存取權限,使用硬體鎖具,並對實體設備區域進行監控。 |
| Removable media | 攜帶惡意軟體的設備可能感染系統,或導致數據外洩。 | 員工插入受感染的USB驅動器,導致惡意軟體擴散至內部網絡。 | 禁用USB端口或限制其使用,實施端點防護軟體,並對可移動媒體進行掃描。 |
| Social media platforms | 敏感信息可能被洩露,或通過社交工程誘騙員工點擊惡意鏈接。 | 攻擊者通過假冒的社交媒體帳號誘騙員工提供登錄憑據。 | 提高員工的安全意識,限制工作環境中對社交媒體的訪問,並使用多因素驗證(MFA)。 |
| 魚叉式網絡釣魚攻擊可能竊取憑據或散播惡意軟體。 | 攻擊者向員工發送偽裝成公司內部郵件的釣魚郵件,誘使員工點擊惡意鏈接。 | 使用電子郵件過濾器,啟用垃圾郵件檢測,並培訓員工識別釣魚郵件。 | |
| Wireless networks | 攻擊者可能攔截未加密的數據或通過不安全的網絡進行中間人攻擊。 | 攻擊者在咖啡廳設置假冒的Wi-Fi熱點,誘使用戶連接並竊取數據。 | 使用加密的Wi-Fi協議(如WPA3),避免連接公共Wi-Fi,並使用VPN進行數據加密。 |
| Cloud services | 攻擊者可能利用弱密碼或未經保護的API進行未授權訪問。 | 攻擊者通過暴力破解攻擊獲取雲端存儲帳戶的憑據,並訪問敏感數據。 | 使用強密碼和多因素驗證(MFA),定期審查雲服務的存取權限,並加強API安全性。 |
| Supply chains | 第三方供應商可能成為攻擊者利用的後門backdoor,導致系統受損或數據洩露。 | 攻擊者通過受感染的供應商軟體更新植入惡意軟體(如SolarWinds事件)。 | 審核供應商的安全措施,限制供應商對系統的存取權限,並對供應鏈進行持續監控與評估。 |
yennefer
iThome鐵人賽
看影片追技術