果核數位「聖誕駭樂」資安社群論壇,探索 IR、生物辨識、API 風險三大議題

2020/01/06

在以往,企業卯足全力強化網路閘道端防護,不讓駭客越雷池一步;到了今天,駭客入侵管道趨於多元,更加防不勝防,使過往防禦策略愈來愈難發揮效用。所以企業開始體認到,當被駭成為註定的事實,重點並非如何不被駭,而是如何在被入侵後做鑑識回溯,找到漏洞根本原因避免再次發生。

此外不少人非常關心現今正夯的生物辨識,到底能提升資安規格、或反倒開啟更大的個資漏洞?再者伴隨資料開放浪潮,Open API 的安全威脅有多麼可怕?如何做適當管控、才足以趨吉避凶?針對這些熱門議題,果核數位以「聖誕駭樂-駭客退散耶誕禮物」為題,於日前舉辦資安社群論壇,期望在專業講師的精闢論述下,引領聽眾明瞭如何擬定攻防策略。

從 IR 追溯入侵來源,展開復原計畫

果核資安工程師 Jim 發表「從 IR 事件看後滲透測試之幽靈現身(首部曲)」演講,他指出多數人不清楚資安事件回應(Incident Response;IR)、資安鑑識兩者有何相同、有何不同?事實上 IR 偏重以調查方式追溯入侵來源,幫助用戶修補漏洞,鑑識重視證據保存與重建。

IR 基本上與鑑識有雷同之處,有一些步驟與方法可循,依序是研判發生何種事件、了解入侵者怎麼進入、分析事件如何發生、駭客如何帶出資料,再根據這些發現執行短期補救措施、展開長期復原計畫。

上述步驟背後隱含四個關鍵技術,分別是時間軸分析、記憶體分析、檔案系統查找及資料復原。先確認入侵點是 Web、Internet 或 Host,找出時間點,再推測相關證據。利用記憶體分析來挖掘證據、確認主機狀態和網路狀態;至於檔案系統查找,用於確認範圍、控制範圍、調查並釐清問題何在。

他列舉曾參與的實例,某企業主機感染勒索病毒,欲從 IR 探知前因後果。他先做記憶體分析,從網路狀態 TCP port 3389 找到可疑 Process ID,接著由開機啟動鈕研判有無被植入後門,從目錄查找殘餘惡意程式軌跡。

至此未找到惡意程式,Jim 轉而從 Log 探尋軌跡,察覺有無受感染主機、藉由一些 Process ID 做橫向擴散。最終揭曉答案,是委外廠商執行遠端開發和維護時導致勒索病毒擴散到內部。於是建議用戶實施短期與長期因應措施,前者包括限制外對內連線、將 C&C IP 加入防火牆黑名單、避免使用弱密碼,後者包含規劃測試區供委外廠商使用、強化防火牆規則、限制來源 IP、建立監控機制。

駭客利用生物辨識漏洞,竊取使用者資產

ZUSO 如梭世代 資安研究員「$7 智障駭客」張啟元說,透過 Touch ID 和 Face ID,使用者可不輸入帳密,直接透過生物辨識方式授權登入或解鎖裝置;問題來了,這些技術安不安全?

根據 PCI DSS 規範,使用者發送交易請求時須輸入至少六位數 PIN 碼,銀行也會使用 OTP 一次性密碼做交易驗證碼。至於 iPhone 不儲存任何指紋和臉部圖像,而是轉譯為數學形式,加密儲存於 A11 到 A13 仿生晶片中,在安全隔離區內保護,看似安全,但仍有破綻。曾有「用 Touch ID 查詢健康資料即付 100 美元」的 iOS 詐騙 App 出現,當人們的手指放在感應器,App 會在開始倒數約 3 秒時啟動確認付款畫面,在措手不及下完成付款,只因使用者基於方便開啟 Touch ID 付款功能,不需手動輸入密碼確認交易,因而中招。

蘋果為打擊誘導付費,更新 Apple Store 訂閱機制,使用者在透過 Touch ID 和 Face ID 驗證後,會再彈跳一個系統等級視窗確認購買行為,但這僅解決欺騙訂閱問題;係因 Apple 為了安全,不允許開發人員自行開發側邊電源鍵點兩下的功能(點擊後才會開啟 Face ID),於是駭客透過惡意代碼自動點擊確認按鈕、進入 Face ID 授權功能,因使用者盯著手機螢幕,遂在措手不及下完成 PIN 碼輪入,讓駭客能突破交易最後防線、成功以類似 CSRF 手法發送偽造請求。

「生物辨辨識技術在辨識特徵時,無法辨識是否出自使用者意願,」張啟元說,所以我們需要能調用系統級別的確認方法,但目前無法實現,故人們對生物特徵認證仍應提高警覺。

系統設計、檢測、監控三管齊下,消弭 API 安全風險

果核網路資安顧問 Jimmy 表示,隨著資訊網路不斷發展,現今人們仰賴的生活應用情境,網頁服務(Web)與應用程式服務(AP)可謂密不可分,而開放資料正是實現這些應用的必要基礎,因而使 Open API 蔚為風潮,成為帶動開放政府、FinTech 等大量應用的樞紐,連帶讓 API 的風險和應變成為重要議題。

有鑑於此,OWASP 於 2019 年首次揭露 API Top 10 風險,其中較常出現於臺灣的風險項目,包括 A1、A2 和 A5 等「認證與授權」風險,意指系統及 API 應用上未完善控管身份認證與授權,導致身份遭盜用、管理功能被非管理人員濫用;另有 A4「未限制資源使用」風險,主要是針對請求資源未做好限制控管,以致影響後端系統和伺服器資源的可用性。

Jimmy 建議,企業或機構應做好三件事,以確保 API 安全性,包括在系統開發設計時遵循 Open API Standard 等國際標準,接著確實執行原碼檢測、滲透測試等資安檢驗工作;最後藉由 WAF、API Gateway 及 API 日誌系統,嚴密監控 API 活動。

總而言之,時值 2019 年聖誕佳節前夕,果核發揮創意巧思,選定 2020 年最值得正視的三項資安議題,深入探討其發生成因與解決之道,讓有志於資安研究或從事防禦工作的人們知所防範。


報導連結: https://www.ithome.com.tw/pr/135164

其他動態
果核數位力推WeMB方案,加速建立企業3D視覺化智慧戰情室

果核數位力推WeMB方案,加速建立企業3D視覺化智慧戰情室

2022/06/09
蓋亞資訊攜手果核數位打造手機App資安全面防護網

蓋亞資訊攜手果核數位打造手機App資安全面防護網

2022/06/09
伊雲谷、果核數位共推雲端資安解決方案appGuard

伊雲谷、果核數位共推雲端資安解決方案appGuard

2022/05/18
科技視覺,釋放數據新價值,創造高效關鍵決策 - 2022 智慧城市與物聯網 南港展覽館

科技視覺,釋放數據新價值,創造高效關鍵決策 - 2022 智慧城市與物聯網 南港展覽館

2022/03/01
HACKER TALK - 關鍵基礎設施一點也不安全?! XP 時代的惡意程式盛行又該如何應對?

HACKER TALK - 關鍵基礎設施一點也不安全?! XP 時代的惡意程式盛行又該如何應對?

2022/02/22
2022 資安365年會-OWASP Top 10 2021企業指南

2022 資安365年會-OWASP Top 10 2021企業指南

2022/02/21
未來的CDN服務主流:複合式CDN平台的管理與效用

未來的CDN服務主流:複合式CDN平台的管理與效用

2021/10/26
駭客首要攻擊目標Active Directory(AD)!該如何保障AD安全並阻斷攻擊?! 
馬上報名【InfoSec Taiwan國際資安大會】將為您現場說明

駭客首要攻擊目標Active Directory(AD)!該如何保障AD安全並阻斷攻擊?! 馬上報名【InfoSec Taiwan國際資安大會】將為您現場說明

2021/10/14
什麼是多重內容傳遞網路 (Multi CDN)?網站停機有哪些原因?

什麼是多重內容傳遞網路 (Multi CDN)?網站停機有哪些原因?

2021/06/15
果核推出資安評級服務,協助企業檢測網路駭客病毒的威脅!

果核推出資安評級服務,協助企業檢測網路駭客病毒的威脅!

2021/06/02
複合式內容傳遞網路(CDN)平台,打造內外兼具的客製化資安解決方案!

複合式內容傳遞網路(CDN)平台,打造內外兼具的客製化資安解決方案!

2021/05/17
地表最強的駭客論壇,5分鐘快速分析ML與區塊鏈安全!

地表最強的駭客論壇,5分鐘快速分析ML與區塊鏈安全!

2021/03/25
果核數位兩大資安方案助企業保護App安全

果核數位兩大資安方案助企業保護App安全

2021/03/15
地表最強 駭客講堂 - 開春首發,不聽會後悔的重量級課程

地表最強 駭客講堂 - 開春首發,不聽會後悔的重量級課程

2021/02/09
2021/1/28-1/29 Taipei Game Show台北國際電玩展-B2B ZONE 商務區攤位活動

2021/1/28-1/29 Taipei Game Show台北國際電玩展-B2B ZONE 商務區攤位活動

2021/01/05
果核 2020 聖誕駭樂論壇,剖析 WoW64 惡意利用、進階網路機器人攻擊

果核 2020 聖誕駭樂論壇,剖析 WoW64 惡意利用、進階網路機器人攻擊

2021/01/04
果核數位榮獲BSI 雲端資安獎,擁本地優勢+國際合作,免除 AIoT 時代資安疑慮

果核數位榮獲BSI 雲端資安獎,擁本地優勢+國際合作,免除 AIoT 時代資安疑慮

2020/12/09
遭到網路駭客DDoS攻擊怎麼辦?要如何重新建立資安防護?

遭到網路駭客DDoS攻擊怎麼辦?要如何重新建立資安防護?

2020/11/23
駭客資安論壇 - 2020/12/5(六) 聖誕駭樂

駭客資安論壇 - 2020/12/5(六) 聖誕駭樂

2020/11/16
重新定義金融加密機制與分享醫療區塊鏈解決方案 - 11/2-11/4 InfoSec Taiwan 2020國際資安大會

重新定義金融加密機制與分享醫療區塊鏈解決方案 - 11/2-11/4 InfoSec Taiwan 2020國際資安大會

2020/10/14
防駭之心不可無 – 建立防護化解危險,勢在必行

防駭之心不可無 – 建立防護化解危險,勢在必行

2020/10/06
鞏固防禦堡壘,拒絕再當受駭者

鞏固防禦堡壘,拒絕再當受駭者

2020/09/29
果核聲明

果核聲明

2020/09/25
果核「駭客資安論壇」,揭示特權帳號管理、App 風控的精進之道

果核「駭客資安論壇」,揭示特權帳號管理、App 風控的精進之道

2020/06/23
~~線上~~駭客資安論壇將於6/11準時上線

~~線上~~駭客資安論壇將於6/11準時上線

2020/05/27
物聯網隱藏資安風險
果核數位推AI SOC服務

物聯網隱藏資安風險 果核數位推AI SOC服務

2020/05/11
HyperG 強打 Amazing Thor VDI 方案,為企業提出安全靈活的防疫辦公利器

HyperG 強打 Amazing Thor VDI 方案,為企業提出安全靈活的防疫辦公利器

2020/04/28
在家上班4隱憂!釣魚信件、驗證機制、連線存取恐成為資安破口!

在家上班4隱憂!釣魚信件、驗證機制、連線存取恐成為資安破口!

2020/04/16
HyperG 推 Smart Sensing,藉由動態偵測與防禦機制,強力守護 App 安全

HyperG 推 Smart Sensing,藉由動態偵測與防禦機制,強力守護 App 安全

2020/04/07
果核數位與 Reblaze 聯手出擊,強力守護企業網站與 App 安全

果核數位與 Reblaze 聯手出擊,強力守護企業網站與 App 安全

2020/03/17
2020年資安人亞太資訊安全論壇 - 區塊鏈技術與醫療應用

2020年資安人亞太資訊安全論壇 - 區塊鏈技術與醫療應用

2020/02/06
2020/2/6-2/7 Taipei Game Show台北國際電玩展攤位活動

2020/2/6-2/7 Taipei Game Show台北國際電玩展攤位活動

2020/01/17
果核數位「聖誕駭樂」資安社群論壇,探索 IR、生物辨識、API 風險三大議題

果核數位「聖誕駭樂」資安社群論壇,探索 IR、生物辨識、API 風險三大議題

2020/01/06
【iThome專訪】果核鎖定 OWASP 十大 API 風險,完整佈局檢測、監控與顧問服務

【iThome專訪】果核鎖定 OWASP 十大 API 風險,完整佈局檢測、監控與顧問服務

2020/01/02
AISOC服務 - 第一時間為客戶揪出可疑的行為,確保內部網路的安全

AISOC服務 - 第一時間為客戶揪出可疑的行為,確保內部網路的安全

2019/12/23
果核結盟 I.X,力推實體金鑰加密、杜絕企業機密外洩

果核結盟 I.X,力推實體金鑰加密、杜絕企業機密外洩

2019/12/09
【數位時代專訪】- 做好「隨時被駭」準備,App資安先驅果核數位:滴水不漏的資安保護過時了

【數位時代專訪】- 做好「隨時被駭」準備,App資安先驅果核數位:滴水不漏的資安保護過時了

2019/12/09
12/14 資安社群論壇【聖誕駭樂- 駭客退散耶誕禮物】

12/14 資安社群論壇【聖誕駭樂- 駭客退散耶誕禮物】

2019/11/28
果核數位通過108年經濟部工業局資安服務能量登錄

果核數位通過108年經濟部工業局資安服務能量登錄

2019/10/18
果核數位資安社群論壇會後報導 - 洞察駭客戰術、增強防禦能力

果核數位資安社群論壇會後報導 - 洞察駭客戰術、增強防禦能力

2019/06/04
VMware攜手AWS 助企業加快數位轉型 - 果核數位為首波在地合作夥伴,共同提供完整的VMware Cloud on AWS技術服務

VMware攜手AWS 助企業加快數位轉型 - 果核數位為首波在地合作夥伴,共同提供完整的VMware Cloud on AWS技術服務

2019/05/23
5/25(六) 今年首場資安社群論壇 - 駭客過招,實戰分享

5/25(六) 今年首場資安社群論壇 - 駭客過招,實戰分享

2019/05/02
2019年果核數位【共同供應契約採購項目總覽】更新

2019年果核數位【共同供應契約採購項目總覽】更新

2019/04/25
【雙平台下被刻板印象所忽略的手機app漏洞】- 2019 亞太資訊安全論壇,您不能不知道的平台漏洞

【雙平台下被刻板印象所忽略的手機app漏洞】- 2019 亞太資訊安全論壇,您不能不知道的平台漏洞

2019/04/18
果核數位與BaaSid攜手,實現史上最便捷的安全區塊鏈認證應用

果核數位與BaaSid攜手,實現史上最便捷的安全區塊鏈認證應用

2019/03/07
在iOS系統架構下,你的app真的無堅不摧? iThome臺灣資安大會將分享iOS攻擊手法與攻破實戰分享,快上網報名議程!

在iOS系統架構下,你的app真的無堅不摧? iThome臺灣資安大會將分享iOS攻擊手法與攻破實戰分享,快上網報名議程!

2019/03/04
TAF國家級認證的實驗室-電檢中心認證appGuard四大功能

TAF國家級認證的實驗室-電檢中心認證appGuard四大功能

2019/01/28
2019/1/24-1/25 Taipei Game Show 台北國際電玩展 - 世貿三館商務區正式登場

2019/1/24-1/25 Taipei Game Show 台北國際電玩展 - 世貿三館商務區正式登場

2019/01/17
從防堵手遊外掛起家,果核數位攻進金融App資安市場

從防堵手遊外掛起家,果核數位攻進金融App資安市場

2018/10/18
iThome專訪: 結合國際視野與戰略思維,將資安能量推向至高境界

iThome專訪: 結合國際視野與戰略思維,將資安能量推向至高境界

2018/10/04
9/20 國際資安威脅與戰略攻防要素- 資安社群論壇

9/20 國際資安威脅與戰略攻防要素- 資安社群論壇

2018/08/29
用AI從Big Data 挖寶掘金! 研討會即日起熱烈報名中

用AI從Big Data 挖寶掘金! 研討會即日起熱烈報名中

2018/08/07
【案號:1070201】appGuard加入共同供應契約採購囉!

【案號:1070201】appGuard加入共同供應契約採購囉!

2018/06/06
果核數位力推appGuard,助保險業牢牢守護App安全

果核數位力推appGuard,助保險業牢牢守護App安全

2018/05/31
Radware全系列產品舊換新 : Server Load Balance(Alteon)、IPS Defensepro和Link Load Balance(Linkproof),即日起開跑!

Radware全系列產品舊換新 : Server Load Balance(Alteon)、IPS Defensepro和Link Load Balance(Linkproof),即日起開跑!

2018/04/24
果核與全球一級DDOS清洗商Radware攜手合作,提供企業資安完整防護,並提供台灣在地化的第一線服務

果核與全球一級DDOS清洗商Radware攜手合作,提供企業資安完整防護,並提供台灣在地化的第一線服務

2018/04/23
果核數位 SOC 結合 AI 聯防,能加速斬斷駭客攻擊,以子之矛、攻子之盾,反制敵方的 AI 攻擊

果核數位 SOC 結合 AI 聯防,能加速斬斷駭客攻擊,以子之矛、攻子之盾,反制敵方的 AI 攻擊

2018/03/27
2018 資安社群論壇報名開跑,精采內容你絕對不能錯過阿!

2018 資安社群論壇報名開跑,精采內容你絕對不能錯過阿!

2018/03/12
【橘妹愛玩 TECH專訪】App 上線前的最強把關者:果核貓網讓開發者在雲端完成一切 App 相容性測試!

【橘妹愛玩 TECH專訪】App 上線前的最強把關者:果核貓網讓開發者在雲端完成一切 App 相容性測試!

2018/03/06
賀!106年資安服務廠商評鑑 - 果核數位SOC監控服務獲得特優

賀!106年資安服務廠商評鑑 - 果核數位SOC監控服務獲得特優

2018/01/05
iThome報導【頂尖駭客攻防交流,培養多元防護新觀點】

iThome報導【頂尖駭客攻防交流,培養多元防護新觀點】

2018/01/05
Merry Hackmass - 2017年最後一場資安社群論壇,趕快來報名!

Merry Hackmass - 2017年最後一場資安社群論壇,趕快來報名!

2017/12/05
果核數位資安社群論壇徵稿活動即刻開跑,你就是我們要的熱血資安講師

果核數位資安社群論壇徵稿活動即刻開跑,你就是我們要的熱血資安講師

2017/11/15
企業有API漏洞怎麼辦?資安團隊靠滲透測試,模擬駭客找到問題!

企業有API漏洞怎麼辦?資安團隊靠滲透測試,模擬駭客找到問題!

2017/09/19
遊戲決勝在雲端Bluemix Infra 研討茶會,分享IBM Watson人工智慧與社群結合應用

遊戲決勝在雲端Bluemix Infra 研討茶會,分享IBM Watson人工智慧與社群結合應用

2017/09/12
資安社群論壇 - 駭客思維 滲透測試,帶您進入駭客的世界

資安社群論壇 - 駭客思維 滲透測試,帶您進入駭客的世界

2017/09/01
2017/09/20 (三)「當AI遇到Big Data商機在哪裡?」研討會,席次有限,額滿為止!

2017/09/20 (三)「當AI遇到Big Data商機在哪裡?」研討會,席次有限,額滿為止!

2017/08/28
果核資安社群論壇 - 報名開始
將邀請專業講師,探討時下關注的資安議題

果核資安社群論壇 - 報名開始 將邀請專業講師,探討時下關注的資安議題

2017/06/22
【專訪】善用果核數位appGuard 搶進商機無限行動支付市場

【專訪】善用果核數位appGuard 搶進商機無限行動支付市場

2017/05/22
果核數位:appGuard 要為遊戲、銀行、支付 App 穿上最強悍的資安鋼鐵衣!

果核數位:appGuard 要為遊戲、銀行、支付 App 穿上最強悍的資安鋼鐵衣!

2017/05/11
你在明,駭客在暗,防駭時代先行自保,刻不容緩!

你在明,駭客在暗,防駭時代先行自保,刻不容緩!

2017/03/24
【資安研討會線上報名開跑】

【資安研討會線上報名開跑】

2017/03/16
重大漏洞訊息通報 - CVE-2017-5638 Struts 2 S2-045

重大漏洞訊息通報 - CVE-2017-5638 Struts 2 S2-045

2017/03/08
IBM與果核結盟切入雲端服務 協助台灣遊戲布局全球<br><br>

IBM與果核結盟切入雲端服務 協助台灣遊戲布局全球

2016/12/19
【專訪】資安人-appGuard保護App安全 果核數位協助業者搶攻行動商機<br><br>

【專訪】資安人-appGuard保護App安全 果核數位協助業者搶攻行動商機

2016/12/13
2017資安趨勢論壇 – 行動軟體資安檢測與防護<br><br>

2017資安趨勢論壇 – 行動軟體資安檢測與防護

2016/12/12
「網管人」雜誌專訪刊載價格與實際收費狀況有所出入說明<br><br>

「網管人」雜誌專訪刊載價格與實際收費狀況有所出入說明

2016/11/11
【專訪】網管人 - 檢測行動應用安全 幫App套金鐘罩鐵布<br><br>

【專訪】網管人 - 檢測行動應用安全 幫App套金鐘罩鐵布

2016/11/11
【合作客戶】台灣之光-四合願,選用appGuard做為最佳防駭服務<br><br>

【合作客戶】台灣之光-四合願,選用appGuard做為最佳防駭服務

2016/07/13
【活動訊息】【突破虛擬+現實的數位商戰】 ~驊宏資通帶您 ~ 翱翔雲端 倘佯數據海!~

【活動訊息】【突破虛擬+現實的數位商戰】 ~驊宏資通帶您 ~ 翱翔雲端 倘佯數據海!~

2015/10/12
【專訪】保護App安全 果核數位推出appGuard

【專訪】保護App安全 果核數位推出appGuard

2015/09/02
【活動訊息】2015/01/15(四)13:30~17:00 2015-HP資安趨勢論壇

【活動訊息】2015/01/15(四)13:30~17:00 2015-HP資安趨勢論壇

2014/12/30
【活動訊息】2015/02/06 (五) HP Fortify 源碼檢測體驗營

【活動訊息】2015/02/06 (五) HP Fortify 源碼檢測體驗營

2014/12/25
來自遊戲橘子的果核數位

來自遊戲橘子的果核數位

2014/12/25