HITCON創辦人徐千洋。

「我們需要更多的資安人才,才能幫助我們的產業作好資安」,HITCON創辦人徐千洋在今年臺灣資安大會的演說中,一開始就點出了國內企業在資安上的痛點,缺乏資安人才,也因此HITCON在過去舉辦了多次的CTF競賽,去年12月還舉辦了HITCON Defense大賽,這些競賽背後的目的,都在培育國內資安人才。

但是,傳統CTF競賽,儘管可以讓資安人才學習到很多駭客攻擊技巧,但徐千洋也坦言,這些競賽中學得的技巧能否實際在企業中用於防禦,可能每個人有不同的解答。許多的企業資安人才和IT、稽核有關,但這些人未必很懂駭客攻防技巧,即便他們學習了,在IT的資安維運實務上可能會發現派不上用場。當企業發生資安事件時,他們在CTF競賽中學習解題未必能幫上忙。

可是,面對資安攻擊的威脅,企業更迫切需要的是資源的統合利用,不只是企業自己的資源,還需要來自外部廠商的資源整合,內外部的資源整合來解決企業的安全問題。

他認為,企業資安團隊培育人才時,有兩大課題,如何讓資安人才具備資安威脅應變能力,以及能體認到情資分享的重要性。

防禦競賽來模擬企業遭遇攻擊的真實情境

因此,為了讓培育人才的資安競賽更貼近企業的真實情況,去年底舉行的HITCON Defense大賽決定將企業的IT環境搬到競賽中。

「這完全是個大工程,距離決定要辦只有兩個月」,徐千洋一語道出當初籌辦HITCON Defense的艱辛之處,不僅籌備的時間緊迫,資源也嚴重不足。

首先,過去HITCON資安競賽隊伍多達十多隊,HITCON Defense大賽最初規劃是十四隊,雖然後來降低到十隊,但舉辦時間在年底,他們很快發現全臺無法湊出十套DDoS防禦設備,而每個隊伍需要的伺服器機櫃也是如此,最終只能湊出7套設備,1套給主辦單位扮演的紅隊(攻擊者)使用,6套提供給參賽團隊(藍隊)使用。由於這些借來的設備價格高昂,他們還保了鉅額的保險。

每個隊伍會分配到雲端主機、實體主機若干臺,還有數臺桌上型電腦,模擬小型企業的內部網路環境,每個參賽隊伍會被分配到帳號密碼,讓他們登入自己的設備系統,如同企業真實的IT維運環境般,讓他們自行操作、設定這些設備,檢測系統上的漏洞並將其修補。

而主辦單位則扮演紅隊,每隔一段時間對每個隊伍發動攻擊,若因為沒修補漏洞而被入侵,積分就會被扣分,直到扣完分數為止,而只要伺服器服務未被中斷,就會不斷累積積分。真實世界的一分鐘相當於比賽中的一小時,依日間、夜間還有不同的計分方式,而評分的標準包括了網路是否正常,是否在預定時間內解決問題,排除駭客攻擊引發的危機、是否可以合作。

徐千洋表示,「我們希望競賽的目的從人才擴大到團隊,不只是一個人的力量,而是整個團隊,而是整個資源的力量。」企業面對資安攻擊,需要具備快速應變、找出問題的能力,Defense競賽中參賽隊伍扮演藍隊,實際面對紅隊的各種攻擊,如木馬、DDoS等,從中學習應變的能力。

競賽設計也引入情資分享的概念,「傳統的競賽,每個隊伍為了解決對手,解出題目不可能讓別人知道,但在Defense競賽中,我們鼓勵隊伍分享出來。」他說。只要分享解題方法給主辦方,就能獲得積分獎勵,同時有30分鐘的休息時間,不會受到主辦單位紅隊攻擊,其他隊伍若是卡關也能以積分,向主辦單位換取解題線索。

甚至,競賽現場還有藍隊廠商進駐,每個隊伍也能用積分換取所需要的軟體工具,立即用於解決問題。

另外,過去企業被DDoS攻擊,工程師可能會選擇關閉主機,但會造成服務停擺,使企業營業蒙受損失,所以在Defense的競賽中,隊伍如果遭受攻擊仍能保持服務不中斷就能累積積分,相反地,如果服務中斷,積分便不會增加。

還有一個特別之處,那就是每個競賽隊伍都可以向外求援,不論是透過電話或是網路,甚至走出去求援都可以,相比之一,傳統的資安競賽設計,隊伍必須在固定的封閉場所,斷絕對外的通訊。「這和企業遭遇資安攻擊的真實情境相同,企業以各種方式尋求外部的援助,不論是朋友、找社群高手或是廠商。」。

主辦單位也安排了另類的社交攻擊,由正妹拿著USB隨身碟,在比賽現場和參賽者交談,趁其不備之時,伺機插入隨身碟至參賽隊伍的設備上,一旦被插上主辦單位的紅隊就會偵測到,參賽隊伍就會被扣分。以此提高各個隊伍對實體設備的安全意識。

對於國內企業的資安人員缺乏學習的管道,徐千洋建議現在坊間已有不少的資安訓練課程,在學費上也有政府的補助,可供想要學習的企業資安人員利用,HITCON也同時歡迎資安人員參加競賽。


Advertisement

更多 iThome相關內容