除了使用電話、通訊軟體聯繫,我們每天和客戶、同事大大小小的溝通,都仰賴郵件傳遞,但你是否想過,這些資訊可能有被「看光光」的風險。
微軟(Microsoft)在3月公開表示,旗下電子郵件伺服器軟體的漏洞遭到駭客攻擊,試圖盜取美國大型組織的機密。事實上,微軟早在1月就被告知這個漏洞,當下即展開修補作業,升級安全性。
而這個漏洞的通報者,是台灣的攻擊型資安公司戴夫寇爾(DEVCORE),不只微軟,戴夫寇爾還曾揭露多家國際企業的資安漏洞,包含亞馬遜(Amazon)、Facebook、推特(Twitter)、群暉科技等公司,涵括44種產品、114個弱點,協助企業完善資訊系統,避免遭到有心人士利用。
「我覺得我們在做的其實是拯救世界的事。」 戴夫寇爾共同創辦人暨紅隊組長許復凱說。
攻擊客戶網站、伺服器,用「駭客思維」找到系統弱點
作為「攻擊型」資安公司,戴夫寇爾跟一般的資安公司哪裡不同?意即在不影響企業正常營運的前提下,模擬駭客思維,使用攻擊技術和戰略,入侵客戶資訊系統的可能接觸點,像是伺服器、資料庫、機密資料等,尋找潛在的暴露風險,稱之為 紅隊演練(Red Team Assessment)。
與之相對的則是 藍隊演練(Blue Team Assessment),指的是企業內部的工程部門或資安人員,當紅隊發動攻擊時,藍隊要在第一時間反應,快速防堵漏洞,將傷害降至最低。
紅、藍隊的概念來自軍事推演,紅隊為敵方、藍隊為我方,藉由各種決策、行動推導,進行真實作戰的模擬與評估。
我們一般熟知的駭客,又可成為「黑帽駭客」,他們利用漏洞脅迫政府、企業,謀取不當利益,行違法之事;相反地,戴夫寇爾是 「白帽駭客」 ,運用技術發現漏洞,改善資訊安全網絡。
戴夫寇爾創立於2012年,早期以滲透測試服務(PT,Penetration Test)為主,企業針對單一可能外洩的資訊途徑,例如網站、資訊設備等軟硬體,委託外部單位檢測。
駭客也有分好壞!黑帽駭客、白帽駭客是什麼?
| 黑帽駭客 | 白帽駭客 |
|---|---|
| 利用漏洞脅迫政府、企業,謀取不當利益,行違法之事。 | 運用技術發現漏洞,改善資訊安全網絡。 |
不過,團隊時常在驗證過程中,發現不只一個破壞點,比方說,單看官網防護本身沒問題,卻能從其他設備連接、入侵網站, 「小偷去你家偷東西,絕對不是走正門,一定是看哪裡最好進入,像窗戶、後門、陽台。」 戴夫寇爾共同創辦人暨資深專案經理徐念恩比喻,黑帽駭客也是同樣的思考邏輯,掃描整間公司的資訊系統之後,從最容易利用的地方下手。
2017年,戴夫寇爾正式推出紅隊演練服務,為台灣第一家專營紅隊演練的資安公司,客戶包含總統府、台北市政府、衛生福利部、兆豐銀行、全球前五大半導體封測廠。
紅隊演練就像健康檢查,事先預防才能有效防堵病毒入侵
團隊鑽研各種攻擊手法,不限範圍、時間,協助客戶找到隱藏風險,徐念恩說明,各產業關注的機密資料不同,舉例來說,金融業在意ATM密碼、醫療業重視病人個資、政府單位聚焦基礎設施等。
戴夫寇爾會先進行訪談,了解客戶的需求是什麼,才開始進行紅隊演練。許復凱在「DEVCORE Conference 2019」資安研討會分享,紅隊演練的編制可分為5組:
- 偵查(Intelligence):資訊搜查。盡可能拆解和目標有關的所有資訊,如網站使用的技術、網段位址、洩漏的帳號密碼。
- 特攻(Special Force):攻擊漏洞。使用各種攻擊手法,無所不用其極取得網域存取權、主機提取權。
- 常規(Regular Army):掃蕩戰場。建立多個據點,確保特攻組「攻城」的過程,不會受到干擾,有更多資源、時間進攻主要「堡壘」。
- 支援(Support):後勤補給。觀察、記錄戰況,隨時保持備戰狀態。
- 研究(Research):精進武器。研究、開發具價值的戰略系統。
紅隊演練就像是企業的健檢報告,定期檢查身體,發現哪裡出了毛病,盡早補救,當有病毒入侵時,才有強大的防禦機制保護自己。
徐念恩舉例,曾有客戶的資訊部門做得滴水不漏,還是被戴夫寇爾找到漏洞,原來是其他部門買了一台新設備,雖沒有直接連接到資訊系統,仍能透過繞道等手法,入侵核心系統。「內部人員會有盲點,我們能夠提供其他的觀點。」
資安的核心不是100%零漏洞,而是遭到攻擊懂得如何反擊
隨著技術推展,攻擊手法也愈來愈「創新」,資安系統的弱點一定能被找到,只是時間早晚的問題。以服務過的客戶來看,戴夫寇爾拿下企業內網存取權限的比例為100%,等同取得企業內部的電子郵件、網域管理、檔案傳輸等使用權。
因此,企業的資訊安全防護重點不只是「守城」,而是就算被找到突破口,也具備迅速反擊的能力。
許復凱補充,戴夫寇爾通常會在一般上班時間進行攻擊,曾經有個客戶特別表明不需要「挑」時間,因為駭客絕對不會在人多的時候出現。他帶領團隊在半夜攻城,才剛踏入堡壘,徐念恩的手機就響了,客戶來電詢問是不是戴夫寇爾發動的突襲,如果不是,他們就要進行下一步的防堵行動。
「就我們的角度而言,這間企業的防護系統做得非常好。」 許復凱認為,只要企業能夠在第一時間反應,就代表防護網處於備戰狀態,能夠立即應付各種攻擊。
換句話說,戴夫寇爾處於攻擊方,一般防禦型資安品牌屬於防守方,兩者的關係合作大於競爭。 經由紅隊演練,一方面驗證資訊安全的重要性,即使找到漏洞,補洞的過程也能使防護網更加嚴謹,對雙方都有好處。
【延伸閱讀】
1.麥當勞薯餅大缺貨,全因航運供貨卡關!供應鏈斷鏈的如何衝擊全球採購?
2.東京著衣如何從峰頂落到負債1.1億地步?周品均指出3大致命錯誤
本文授權轉載自:經理人月刊
責任編輯:傅珮晴、蕭閔云
