果核Hacker Talk傳授企業資安設計要訣,並探索IoT資安風險化解之道

2022/11/08

近年來全球資安事件層出不窮,企業無論規模大小小似乎都難逃駭客毒手,不禁讓企業主或資安長(CISO)為之感嘆,資安要做到多安全才足夠?另外面對萬物聯網浪潮,眼看如排山倒海而來的漏洞,也急欲找尋因應之道。

為此果核數位於日前舉辦「Hacker Talk」論壇,邀請奧義智慧共同創辦人叢培侃(PK)、杜浦數位安全(TeamT5)資深研究員Nick,深入剖析企業資安設計之路,以及萬物聯網資安漏洞風險等關鍵議題。


以完整資安威脅量測心法,落實Security by Design
奧義智慧共同創辦人叢培侃(PK)指出,近3年的疫情固然帶來危機,卻也加快企業的創新步伐,讓數位轉型願景及早付諸實現。但在此過程中,資安事件發生頻率隨之攀升,似乎突顯了「防守方永遠落後兩步」的現實,始終無法有效壓制駭客攻擊。
唯今之計,企業須認真思考如何強化資安治理。但PK感受到企業在面對資安問題時,往往無法找到有效解答,癥結在於總是先想「How」、鮮少想「Why」,未能追根究底反思問題如何發生、未來如何避免再次發生;因此他建議企業莫要一眛偏重產品及技術實作,應徹底理解風險在何處及需要甚麼。
由於數位轉型浪潮,導致資安邊界模糊,使傳統城牆式防禦備受挑戰,因而讓「零信任」觀念加速被採用,亦即必須不斷證明自己沒有被入侵,而非像從前等著出現資安告警才知自己生病。而零信任也蘊含「Inside Out」概念,假定攻擊未必都從外部進入,可能從內部發起,故需要確保有無異常人員使用合法帳號在企業內從事可疑行為,才能及時遏阻後續的危害。
PK認為,企業、供應商與客戶的資源限制不一、管理制度不一,彼此協作與資料交換之間一定有風險存在,因而需要設法控制風險。首要之務,須導正過往略顯偏誤的資安評估與量測方式,例如未將資安納入需求設計階段、不認為與營運有關,抑或沒有探究根因而實施不正確管控措施。而是採用對的評估量測方法,不再僅以防火牆或IDS阻擋連線數等流水帳來呈現資安績效,應設定資安風險承受指標,而為了滿足指標需採行的資安控制措施與產品將可被盤點出來,而企業進行的資安風險評估量測得出之資安控制措施亦可在合規上展現相互對應的優勢。
以Momentum Cyber所公布全球資安地圖為例,上面有800多家資安公司,假設每家有4項產品,總計就有3,200項產品之多,不可能什麼都要、什麼都買,務必取決資安決策的真正需求才展開部署行動。此時企業可參考諸如OCTAVE FORTE、PASTA等威脅建模框架,並建立以CSRM(Cybersecurity Risk Management)為核心的企業資安風險管理機制,拿出應有的資安願景與態度來落實Security by Design精神。
此外,企業仍需持續關注各種被揭露的資安攻擊手法與威脅情境,或進行系統組態變更時皆須進行小規模的風險模式分析,如:利用PASTA威脅建模等手法分析發生可能,進而推估影響(財務損失),再把前述兩項數字相乘、得出「對外曝險金額」,依金額排定優先順序,並逐項訂定應變措施、緩解目標,據此決定需要採購的產品或採用的資安控制措施;至於資安績效,端看後續實際執行內容,是否落在定義的風險承受指標範圍內,甚至委外廠商的績效,亦須與企業的績效目標對接,如此將有助於提升企業整體供應鏈資安意識與成熟度。


善用Qiling framework等工具,提升IoT資安研究能量
TeamT5資深研究員Nick,接續發表「沒設備就想做研究,是不是搞錯了什麼?」演說,假設一個懶惰的資安研究員,如何有效因應IoT資安風暴。他指出在萬物聯網時代,舉凡冰箱上網、手機控制周遭電視或洗衣機等情境已不稀奇,但試問大家可曾思考過它們是否有安全疑慮?還是只求方便即可?
研究員面對大量各具特色的IoT設備,如何做資安風險評估與漏洞挖掘,實為重中之重。然而使用者亦須體認,所有事物接上網路,不管接的是實體或無線網路,只要不同事物間可以通訊,都會造成一定危險。例如現在手機已非單純搖控器、用於開關電器而已,還可在家門外控制冷氣或觀看寵物攝影畫面,若貪圖一時方便讓設備在公共網路直接被連結到,想當然爾風險一定很大。
但其實以研究員或攻擊者角度,看到的面向並不僅是「裝置不安全」,而是整個攻擊面擴大,譬如手機App若有風險,可能影響終端裝置、雲平臺,繼而危害整個組織或家庭。
在本次活動,Nick將探討重點置於終端設備,整理出6個經常可見、但又容易忽略的安全盲點,包括網路閘道器、安防攝影機、多功能事務機、智慧電視、門禁以及NAS。研究員欲探究它們是否有資安疑慮,第一步需要做韌體分析,依序執行資訊收集、韌體分析、逆向工程等步驟,
惟韌體可能因加密或壓縮導致解析困難,可從binary entropy、Binwalk找出破解線索。接著嘗試運用幾種方法,像是藉由UBI、SQUASHFS識別其特徵,做基本判斷,利用已知明文攻擊資訊來解析加密的韌體,或透過SRECORD或Intel Hex來突破Encoded韌體等等。取出韌體後,下一步執行靜態分析,先留意Base是否錯置,若正確,再以Bindiff、String Refs、Constant或Pattern Matching等方法做Patch分析,接著進行Call Flow分析。
若察覺箇中有疑似非顯性漏洞,可進一步做動態分析,但其過程相對複雜,可嘗試利用IDA Appcall、Dumpulator、Unicorn Engine、Flare-emu等工具尋求突破;但這些工具各有罩門,操作上頗為繁瑣,並不符合懶惰研究員所需,此時可結合運用Qiling framework與IDA Pro,梳理出相對直接迅速的方法,來查找漏洞蹤跡。
總之我們需要更多研究員、更多好用的工具來挖掘IoT設備的資安風險。另對企業用戶,切記該做的隔離、更新皆須做好做滿;至於於價格敏感型消費者,則切莫因貪圖便宜而招惹風險上身。

其他訊息