果核數位社群論壇 一窺駭客思維滲透測試資安脈動

2017.09.25
果核數位社群論壇 一窺駭客思維滲透測試資安脈動
數位時代
根據統計,資安事件有9成的漏洞來自於軟體開發,企業若要在資安防護戰中完勝,必須以假想敵的方式檢未知的弱點。

隨著行動網路普及,相對產生的網路安全問題也日趨嚴重,只要能夠連上網的產品,都可能是資安攻擊的目標。提供完整專業技術支援的果核數位團隊,日前舉辦「駭客思維.滲透測試」的資安社群論壇活動,邀請多年網路資安經驗的專業講師,分享國際資安趨勢風向球,模擬與瞭解駭客使用的方法與戰術,學習如何知己知彼以百戰百勝。

API名列資安新威脅

所謂防範未然,降低資安威脅的第一步就是從源頭的程式開發開始。多次在資安技能競賽金盾獎獲得佳績,同時也是OWASP 2017 Taiwan Day Speaker的Wayne Tseng,主講「以 Node.js 撰寫之 REST API 看 API安全問題」。

API是行動載具銜接雲端服務的必備工具,許多網站遭到入侵,大多是駭客透過有漏洞的API而入侵到伺服器。Web 開發技術 Node.js有JavaScript的開放原始碼與跨平台執行與開發Google APIs的優點,其特色就是可在伺服器端執行JavaScript,受到許多人的喜愛。Wayne以Node.js快速開發一個簡單的REST API為例,講解開發 API程式設計時容易遇到的身份認證、權限與存取等安全上的問題。

紅隊測試的重要性

台灣駭客年會 HITCON Community 總召同時也是戴夫寇爾 DEVCORE 執行長Allen Own介紹何謂Red Teaming(紅隊測試)。他指出,目前台灣在資安防護的層級只做到弱點測試,在滲透測試方面上並不普及,主要因為麻煩。弱點測試主要透過工具掃瞄已知漏洞,但工具是死而駭客思維是活的,無法只透過工具來掃瞄,這也就是為什麼要做滲透測試,唯有透過資安專業團隊模擬駭客的人腦思維,才能一窺駭客可能的攻擊樣式。

簡單來說,紅隊測試團隊就是善意駭客在不影響企業運作下採取有組織的攻擊,由於攻擊方與企業的防禦方之間處於資訊不對等,因此企業難以防禦。就像軍方的天威部隊一樣,是一支假想敵特種部隊,專門進行滲透與破壞任務,驗收軍隊的訓練成果。

紅隊測試團隊的特色即是像敵人一樣思考的駭客思維,就像真實的攻擊演習,不限定標的與手法,在有限時間內進行攻擊測試,讓企業瞭解攻擊者會透過怎樣的思維、手法與工具入侵企業,辨識出組織運作的盲點,讓公司做好有效的防禦設備。紅隊測試服務兼具深度與廣度,包括弱點掃瞄、滲透測試、社交工程等都是紅隊測試團隊所屬於的任務。

透過情境引導建立資安思維

為了讓理論能夠在實務上應用,國防大學多次舉辦情境式資安競賽,透過情境題目設計讓學生實際體驗資安攻防事件。國防大學理工學院電機系助理教授張克勤強調,發現網路漏洞必須靠實作練習,透過情境式題目設計,可測試與引導處理資安問題的思維與能力。

目前國內外興起奪旗(Capture The Flag,CTF)的資安競賽即是結合解謎與攻防型的競賽。參賽者有自己要保護的伺服器,在該伺服器上提供數樣服務同時也充滿多種漏洞。參賽者除了要解謎保護自己的伺服器不被攻擊外,也必須要對其他人的伺服器發動攻擊,以奪下對方的旗幟。以去年國防大學情境式資安競賽為例,設計四道題目分析SQL injection資料庫安全漏洞開始、DDOS封包流量攻擊與如何用加密演算法RSA解出私鑰等,透過情境引導瞭解駭客攻防的技術。

資安已成為企業存亡關鍵要素,果核數位每季都會針對資安有興趣的學生舉辦社群分享論壇,藉此讓學生們了解理論與實際應用的連結,扶植其更好資安技術與觀念強化實戰力,協助未來成為資安防衛的一份子。

每日精選科技圈重要消息