iThome報導【頂尖駭客攻防交流,培養多元防護新觀點】
根據統計,駭客喜歡挑重大節日來行動,面對難以預測且層出不窮的資安事件,果核數位舉辦Merry Hackmas 2017資安社群論壇,透過交流分享、相互精進彼此的資安防護能力。
時序進入年末,聖誕節、新年等重大節慶接連不斷,而這些盛大的節慶不僅對許多人充滿意義,對駭客而言也是一個發動攻擊的好時機,要如何享受佳節免受駭客侵擾,就得了解駭客的入侵手法,進一步建立有效的防護機制。
為了幫助資安同好不斷更新最新情報,果核數位固定每季舉辦資訊安全交流社群活動,邀請許多如白帽駭客、資安業者等重量級講師,定期為大家分享多元資安攻防的相關資料,本次Merry Hackmas 2017資安社群論壇於遊戲橘子的品牌博物館中舉辦,為大家帶來了資安創業心路歷程、企業資安合作計畫,以及黑帽搜尋技術解析等精彩內容分享,讓與會來賓的安全知識滿載而歸。
以蛛絲馬跡還原入侵始末,修補防護拒絕駭客再光臨
根據羅卡交換定理:「凡兩個物體接觸,必會產生轉移現象」,這個應用在犯罪現場調查的觀念同樣也適用於資安事件,也是資訊安全工作很重要的一環,當發生資安事件要亡羊補牢的重要關鍵,就是透過資安鑑識還原入侵始末,找出受影響的設備與檔案,同時修補駭客入侵的漏洞。之前任職於法務部調查局電腦犯罪科擔任專業顧問的Jack Chou指出,資安事件回應(Incident Response,IR)就是要盡可能找出這些蛛絲馬跡,例如調查電腦在資安事件時有無異常行為,例如CPU、網路頻寬使用量特別高,或是在Log紀錄中可追查出駭客行動的軌跡。
「網站受到駭客入侵的調查方式,就是透過駭客的攻擊思維,整理出入侵點、跳板、目標主機等網站依序被打的過程,若有Log或相關紀錄等,越詳細的資料越有助於還原始末、以利後續將漏洞順利補強。」Jack Chou在會中分享許多實際案例,表示有許多企業或機關的網站依然會遭到許多陳年手法攻陷,特別是關鍵學術、國安,以及外交等擁有珍貴資訊的單位,應該適時跟上、不斷修補,才能有效阻絕入侵行動。
避免破壞資安現場,有助提升安全防護新價值
談到資安鑑識,同樣在IR領域經驗豐富的艾克索夫實驗室創辦人Birdman亦在會中透過案例分享,表示白名單在資安鑑識流程的重要性,因多數鑑識系統會跳過白名單的審核機制,而過去的案例就曾發現惡意軟體偽造知名軟體業者的數位簽章,藉此企圖欺瞞防護系統,增加反查難度。「若結合機器學習技術與資安經驗來建立模型,就能強化鑑識效率與效果,也能降低人員分析誤判的可能。」
在案例分享時,Birdman表示企業或機關的IT人員經常會因為主機遭到攻擊後,因擔心懲處並想快速恢復電腦運作時,會將電腦格式化、重灌,但這樣反而破壞駭客的足跡、不利後續防護,最好能將機器離線、原封不動才有助於鑑識工作分析,真正解決資安事件的問題癥結。
本次研討會上,除了有豐富的技術與案例分享外,Birdman也介紹了自身精彩的創業歷程,包含創業後被美國前20大企業相中、收購,並在資安重鎮以色列任職的成功故事,藉此鼓勵大家精進自己的資安攻防能力,並透過技術、創新的方式來提升自己的價值。「與國際上其他資安業者相較,台灣對中國端的攻擊防護手法更加熟悉,向全球行銷技術時也是個很好的切入點。」
建立獎金制度,結眾人之力固強資安防護網
「擔任白帽駭客除了能幫助企業健全資安環境,透過Bug Bounty的獎金制度也能有實質上的補貼,是許多資安好手一展長才的地方。」資安研究員Orange分享自己擔任白帽駭客的經驗,指出Bug Bounty獎金制度相對於任意攻擊他人網站,或是竊取資料圖利等方式更加穩定,而且也能幫助許多企業,同時獲得他們的肯定,且在Bug Bounty社群也有很多攻防資源可以參考,對於有志於安全防護的高手是個很棒的管道。
站在企業的角度,加入Bug Bounty計畫,不僅有助於提升內部的資安品質,也能強化安全的公信力,就好比第三方機構認證一般,效益也是非常可觀。Orange以FB、Google等大型企業為例,點出這種有龐大資安團隊的頂級企業,也是經常被發掘出各種資安缺陷,代表著資安防護的複雜與多樣化,必須仰賴大家集思廣益,用不同的角度來檢驗網站,才能讓資訊安全的品質不斷進化。「企業面對網站漏洞被找到時的心態應該更開放,畢竟白帽駭客的善意告知相較惡意駭客的竊取行動損失更少,大家應共同合作才能讓防護效益持續提升。」
洞悉惡意SEO手法,確保網站閱覽正常化
搜尋引擎是大家前往各種網站的主要工具,為了讓自己的網站能曝光,搜尋引擎優化技術SEO也就應運而生。專研SEO技術的AZ郭璟塘指出,SEO的正當手法是利用內容、關鍵字連結強化等方式逐漸提升網站的加權排名,但有些網站會以作弊、惡意操作等方式來影響搜尋引擎的結果,這就屬於黑帽SEO手法,這和黑帽駭客是不相同的,但的確有許多黑帽SEO會利用黑帽駭客的手段來達成目標。
「採用黑帽SEO手法的網站,若發現是違法行為來影響結果,將會被搜尋引擎永久剔除。」AZ指出,常見的黑帽SEO技巧,包含透過綁架主機來提升點閱率,或綁架高權值的網站來提升自己的排名;也有些網站是以鏡像技巧竊取別人的內容,讓點閱率匯集到自身網站上;另外,也有竄改網頁內容,讓搜尋引擎將惡意植入的廣告內容呈現在快取資料中的手法,這些都會對正當經營的網站帶來許多影響,也是網管人員要多留意的部分。「有些點閱劫持只針對海外 IP下手,黑帽 SEO 會讓台灣連線存取正常的內容,因此網管人員以台灣IP登入查閱時就難以發現異常,若能了解這些惡意手法,也有助於自家網站營運正常。」
享受便捷網路生活,又要避免駭客來搗亂,就要仰賴大家培養充足的資安知識,會場當天講師分享的案例中,不僅有的讓大家驚呼連連的精采,也有令人莞爾的趣事,誠如本屆講師Orange提到的團隊合作與多元分享,是提升防護能力的不二法門,而這也是果核數位舉辦交流活動的目標,也歡迎各界資安好手、學校師生共襄盛舉,透過專業的資訊流通,一起打造友善安全的網路生活環境。
報導連結: https://www.ithome.com.tw/pr/120156