原标题:红队测试成企业盘点资安风险的新选择
戴夫寇尔执行长 翁浩正(摄影/iThome)
经常听很多资安专家说,台湾民众的个资,上自八十岁、下至出生只有八个月的小婴儿,基本上,许多个资都已经外泄到中国骇客手上,这会造成什么样的威胁呢?戴夫寇尔执行长翁浩正指出,台湾企业甚至每三家就有一家是撞库攻击的受骇者。
到底什么是撞库攻击呢?简单而言,就是拿网络上已经外泄的使用者帐号和密码,在其他网站或者是平台进行比对,只要比对一次成功,就可以再到另外的平台上,窃取到该使用者的资料。台湾曾经发生类似的资安事件,当时称为“资料拼图”,撞库攻击现更常见。
翁浩正表示,包括个资、金流或者是企业的机敏资料,都是骇客有兴趣的标的,但却不一定是企业所防护的重要系统范围,更多时候,骇客往往会通过边界防御较为薄弱的管道,先入侵到企业内部系统后,再通过横向移动的方式,窃取锁定的重要资料。
也因此,他认为,现在的企业对于防护企业内部的防护,除了可以利用传统使用设备执行的弱点扫描,或者是聘用技术高超的渗透测试专家,找出企业系统的漏洞外,也可以评估红队测试(Red△Team△Assessment)的方式,找出各种可以入侵企业所有主机的管道,着重广度,了解企业面临的风险。
企业面临的风险,往往来自于资讯不对称“企业面对的风险,往往不是来自攻击,而是资讯不对称。”翁浩正表示,就像木桶理论一样,桶子可以装的水,就是取决于侧面最短的木板高度而定;而企业的风险,也同样来自于企业内部最脆弱的环节。
到底是哪些不对称的资讯,将会为企业带来风险呢?翁浩正认为,可以从三个面向来看,分别是:更强的运算能力,更刁钻的攻击手法,以及传统的防御方法思维失效。
现在电脑运算能力强大已经超出许多人的想像,他举一个GitHub上面的破解密码的专案为例,专家使用8张Nvidia△GTX1080的显示卡组成GPU丛集,并使用Hashcat破解密码,测试破解常见的8个字元的MD5密码,测试结果非常惊人,因为每秒可以破解2,000万组Hash(杂凑值)。
同为8个字元MD5密码,如果只是单纯数字组成的密码,只需要0.0005秒就可以破解;若是数字加上英文大小写组成的密码,破解只需要18分钟;但若是所有ASCII可视字元组成的密码,破解时间则长达9小时。
但若是将密码的字元数,从8个字元增加到9个字元,密码破解难度就大幅提升,像是只有10个数字组成的MD5密码,破解时间需要0.005秒,比8个字元多花十倍时间解码;但若是数字加上英文大小写组成的密码,破解时间需要将近19个小时,但若是所有ASCII可视字元组成的密码,破解时间将近36天又12小时左右。
“密码长度越长越安全”的确有其实证依据,也因此,翁浩正认为,光是使用的密码字元数多一个字元,即便使用GPU破解密码,所花费的时间就已经不是用等比级数的时间差异在计算。他说:“从这个专案可以发现,密码长度越长,骇客破解难度越高,所需要破解的时间也越长。”
他进一步指出,当这么简单的密码规则,却不是每一间企业的IT人员或是高阶主管基本常识的情况下,甚至于,许多企业的IT人员,为了贪快、求省事,密码设定甚至采用弱密码,这就是资讯不对称的例证,只有骇客知道但企业用户却不知道的防护方式,就会成为企业内部最脆弱的资安漏洞之一。
此外,像是骇客针对GitHub发动DDoS攻击,攻击流量高达1.35Tbps,创下当时最大的DDoS攻击流量;但没两天,资安业者Arbor则观察到,又出现破纪录的1.7Tbps的DDoS攻击流量,成为目前DDoS史上最高的攻击流量;此外,骇客现在也会使用更刁钻的攻击手法,通过组合各种漏洞与情境,达成渗透主目标的任务。他认为,企业如果不清楚,骇客目前的攻击能力到什么程度,会采用怎么样的攻击组合技,就可能会因为轻忽风险,反而会对企业带来危害。
利用强调广度的红队测试盘点企业风险,并从攻击者思维做快速防堵“在战场无限扩张的时代,仅能针对攻击者的思维做重点防御,”翁浩正认为,现在企业界定的外部网络与内部网络的边界,也是攻击者与防御者的战线。要如何确认企业的边界防御是有效的呢?就必须要先厘清企业重点防御的范围,以及边界防御的范围有何不同。
以企业而言,会在资料库、主网站及ERP系统等范围,架设防火墙等防御设备,确保这些系统的安全性,这些系统和资料往往都与企业营运相关,也都会是企业重兵防守的范围。
但事实上,对于想要入侵企业系统的骇客而言,如果锁定窃取的资料是存放在企业重点防御的范围内,而这个地方采取比较严密的防御方式的话,骇客就会选择,另外从网络边界中,防御相对薄弱的系统作为入侵的管道,等到成功入侵企业内部系统之后,就可以通过内部的横向移动方式,到达锁定的目的地;甚至于,还可以通过IT人很常使用的Slack,或者是GitHub服务的漏洞,作为入侵企业的管道。
因为企业必须要防守的范围太大,过往针对已知漏洞所使用的弱点扫描,或者是针对系统服务找出各种漏洞的渗透测试,其实并不足以因应资安防守范围越来越大的现在;而且,企业最在意的标的,包括:个资、金流、机敏资料等,都分散在企业各处的系统,这些也都是骇客有兴趣的资料,其他像是一般检测范围之外的网络边界,也容易成为骇客攻击的重点目标,例如: Gmail、GitHub、Bitbucket、SSH、Dropbox,以及Slack等。因此,翁浩正认为,强调广度、可以了解企业全盘风险,并针对重大危害漏洞进行修补的“红队测试”,将会是下一波企业用来自我检视企业资安风险的好工具。
他进一步解释,红队测试必须在不损及企业利益的前提下,对企业进行模拟入侵攻击,在有限的时间内,以无所不用其极的方式,从各种进入点击型攻击,尝试达成企业指定的测试任务,最终的目的,就是要找出各种可能入侵企业的路径。
翁浩正表示,国外的红队测试,甚至还会做到实体入侵,只不过,目前台湾比较偏重企业系统面的红队测试。
到底什么样类型的企业需要进行红队测试呢?翁浩正认为,下列企业都是,例如:容易成为攻击目标的上市柜,或高资本额的企业; 数位资产庞大,需要全面检测的企业;将资安列为企业形象重点的企业;拥有需要保护机敏资料的企业,或者是想要挑战自我防御能力的企业等,都适合红队测试这样的服务。
他强调,高达70%的企业即使做过红队测试,依旧可以从检测过的标的中,取得机敏资料,因此,不管是红队测试,或者是行之有年的弱点扫描或渗透测试等,都不是“一次服务、终生保固”的服务类型。更简单的说,红队测试的作法更像是,由资安专家盘点骇客各种可能会入侵企业内部的管道,依照攻击者的思维做快速防堵的因应措施。
企业可以依照需求,选择红队测试或者是渗透测试找出企业面临的资安风险。一般而言,前者强调尽可能找出各种可以入侵企业管道的“广度”,后者则是找出企业面临各种漏洞的“深度”。图片来源/戴夫寇尔
iThome△Security
相关:
平时习惯海淘化妆品的朋友大概都了解,近年来,韩国品牌化妆品一直是海淘消费者的主要选择之一,深受国内众多的消费者欢迎,近期报道韩国化妆品重金属超标后,涉及8家企业13款产品的清单随即曝光。韩国化妆品惊现安全
企业年金即企业补充养老保险,是指企业及其职工在依法参加基本养老保险的基础上建立的,旨在提高职工退休后生活水平,对基本养老保险进行补充的一种养老保险形式。那么职工企业年金到退休有多少呢?想必广大职工人员
在很多人眼中,饭店的饭菜总是要比自己做的好吃,但经常在外面的餐厅吃饭也是有风险的,尤其是大家总喜欢点这4种餐馆里的畅销菜。这样一说,不少朋友一定忍不住想知道这4种餐馆里的畅销菜指的是哪些了吧,下面就一一
企业改善Chatbot对话体验的好帮手,Google Bot引擎Dialogflow推出分析流程图
图片来源: Google Google的Chatbot引擎Dialogflow(原为API.ai)近日在分析的平台中,推出对话分析流程图Session△Flow的功能,Dialogflow曾在9个月前推出分析控制台?Analytics△dashboard,让企业监控Chatbot的状况
在金融界,我们常常会听到风险保证金这个词,那么风险保证金是什么意思呢?据了解,风险保证金,是指P2P网贷平台建立一个资金账户,当借款出现逾期或者违约时,平台将会动用账户里的自有资金来进行垫付,从而达到保护