戴夫寇爾執行長翁浩正,在2019臺灣資安大會首次揭露了臺灣企業委外執行紅隊演練的實際案例。

「這是我們做過最大規模的紅隊演練,實施組織的主機群超過4位數,且資安做得相當完善。」戴夫寇爾執行長翁浩正在2019臺灣資安大會上,首次揭露了臺灣企業委外執行紅隊演練(Red Team Assessment)的實際案例。

「全世界,包括臺灣,資安最大困境,就是戰場超乎你想像的大。」翁浩正解釋,不管是政府單位、金融機構、電商業者等組織,他們的網站、伺服器非常多,加上個人化的行動裝置、雲端,因此只要有接上網路,不管是內部網路或外部網路上的任何裝置、主機,駭客都有機會攻擊。

在戰場無限擴張的時代,翁浩正認為,百分之百的全面防禦很難做到,從駭客角度看,任何主機都是有機會入侵,現今不可能全面防禦。「戰場那麼大,企業在有限資源下,只能針對駭客的思維做重點防禦,且在被入侵後能立刻做反應。」

翁浩正指出,對企業來說,企業的主網站與資料庫向來是重點防禦區,企業主會投入極高資安預算與資源,像是買防火牆、網路應用程式防火牆(WAF)等各種防禦設備與資安服務。正因如此,對於以利益為導向的駭客來說,對這一區攻擊的成功率較低,成本較高,所以,駭客通常不會先攻擊這部分,「網路邊界才是駭客攻擊的重點」,翁浩正點出關鍵。

他解釋,企業這麼大,有些主機雖然由企業管控,但其實不在資安管轄範圍之內。例如極少有企業將測試機、開發機及次要業務的系統,納入資安檢測範圍,「光是主網站都顧不完,沒有太多餘力去顧到次要網站。」

因此,駭客會從企業網路邊界中,找尋資安防禦較弱的網站,從攻擊成本較低的次要網站下手,透過這類次要網站進入企業的內部網路,進而得到企業最近的資料,甚至有機會從企業內部來攻擊企業的主要網站,「這是駭客最常見的攻擊手法。」翁浩正說。

他更提醒,企業愛用的雲端服務如Gmail、Slack、GitHub,只要有任何一名員工沒有開啟二步驟驗證(2FA),並且還在使用遭外洩的帳號密碼,此員工的帳號就會成為企業的防禦缺口。駭客組織或是網軍能透過此帳號,取得企業GitHub原始碼,再來進行原始碼分析,就能得到企業最近的資料。這正是紅隊演練中常見的演練項目之一。

從紅隊演練找出資料外洩路徑,優先修補高風險漏洞

翁浩正指出,紅隊演練是最真實的攻擊演練,在不損及企業利益的前提下,對企業進行模擬入侵攻擊,並且是無所不用其極的方式,從各種進入點執行攻擊,嘗試達成企業指定的測試任務。像是個資、金流、信用卡號等各種機密資料,這些企業最在意的資料,也會是駭客有興趣的資料,都會成為紅隊演練的攻擊目標。

「若企業能在紅隊演練中,找到機密資料如何外洩,封閉這條路徑,讓駭客難以利用,企業就會變得更加安全。」翁浩正說。

不過,他強調:「紅隊演練不是滲透測試。」滲透測試只是檢測單一系統的各種風險,在固定範圍內盡可能找出各種漏洞。紅隊演練的範圍,則是針對企業所屬的所有主機,找出各種可入侵的路徑,利用漏洞來達成演練的目的,「企業授權演練的範圍越大,紅隊演練的效果會更好。」他舉例,金融機構舉辦紅隊演練時,設定竊取客戶個資為攻擊目標,紅隊的任務就是用各種方法潛入來取得個資。

在技術上,相較於滲透測試,翁浩正比較,紅隊演練會組合多種入侵路徑和手法來擴大攻擊面。例如先透過情資蒐集,找出管理者信箱,利用跨站腳本攻擊(XSS)搭配社交工程手法,取得管理者權限。再找出企業網路邊界中防護不佳的主機,利用已知漏洞進行攻擊,來獲取更多控制權,以便進入內部網路。甚至,紅隊會盤點到企業所用的第三方雲端服務,針對員工帳號採用撞庫攻擊來竊取權限,登入企業的雲端主機,從中取得更多的資料,來輔助更多攻擊行為。

翁浩正也以一場實際紅隊演練來說明。他指出,實施演練的大型組織擁有數千臺的主機,對外服務的網站,包括了主網站、次要網站與非主網站三類,內部網路則有7x24小時的監控機制,也要求不同的伺服器主機須使用不同的密碼才能登入。

這個組織主網站的資安防護強度很高,在核心防護區實施了白名單管制,只有名單上的主機才能連線到企業最核心的系統。虛擬主機上的網路硬碟,也套用了政府部門所用的政府組態基準GCB規則來設定組態以強化防護,甚至帳號驗證的AD控制器都使用雙因子認證機制來保護。

然而,即便這家企業所用的資安設備與服務相當齊全,但因次要網站的防護不足,沒有實施過滲透測試,也未納入WAF中,所以,戴夫寇爾先找出了次要網站上的漏洞,成了率先遭攻擊的防禦弱點。接著,在演練時,戴夫寇爾從次要網站下手,以撞庫攻擊的方式,成功地竊取到下一臺主機的登入權限,翁浩正解釋,成功駭入的關鍵,正是次要網站用了已外洩的帳號密碼。

紅隊循此路徑,就進入了企業的內部網路,運用已知漏洞,進一步控制了行政系統與檔案管理系統的主機。翁浩正指出,這可能是內部主機監控機制的涵蓋率不足、存取權限不夠嚴謹、通報嚴重度偏低等所造成的漏洞。

此外,進行紅隊演練時,翁浩正還發現,這個組織儘管每一臺主機都有特權帳號,但卻使用了同樣的密碼規則,破解出一組後,就可以推算出每一臺主機的密碼。透過這方式因此而登入了大量的主機,甚至有臺是VMware的vCenter伺服器,也由於vCenter管理了上百臺虛擬主機,所以,當他們控制了這家企業2臺vCenter的權限,就等於控制了1千多臺的主機。翁浩正強調,密碼設定不能有規則,否則就有機會遭破解。

最後,他們發現AD控制器也部署在VMware上,仿效先前vCenter的攻擊手法,也得到了AD的密碼,此時,扮演攻擊方的紅隊,已經有機會登入這家企業每一個員工的電腦,甚至可以透過白名單主機,連接到企業最核心的系統。翁浩正認為,像是vCenter、AD這類高敏感的核心系統,若未納入盤點,將會是企業資安防禦上的大盲點。

這組織最擔心的事情,都在紅隊演練中發生了。但翁浩正強調,這不是一件壞事,企業能在真實資安事件發生前,先用紅隊演練發現最大威脅,補完漏洞、落實防禦措施,等到真有駭客要循同樣的手法來入侵時,就會變得很困難。

紅隊演練得靠多人編制團隊實施攻擊分工

不過,因為紅隊演練中,往往需要大規模的攻擊和嘗試,紅隊必須採取多人編制的團隊作戰,翁浩正透露,在執行每次紅隊演練前,都會經過縝密的戰鬥規畫,分析目標組織的規模、攻擊目標可能位置、擁有哪些主機等,也會先評估哪些是可攻擊的弱點主機,再來擬定攻擊戰略,分組進行紅隊演練。有能力實施紅隊演練的團隊,還得經常挖掘並發表漏洞研究,還要具備強大的情報收集能力,並且高度熟悉駭客思維及各種多樣攻擊手法。「紅隊演練就是情報戰,掌握情報就能左右戰爭。」他說。

以戴夫寇爾的紅隊演練編制來說,共分為5個小組,分別是情資小組(Intel Team)、特種部隊(Special Force)、正規軍(Regular Army)、支援小組(Support Team)與研究小組(Research Team)。

先出動的是情資小組,負責情報偵察,以及收集企業外洩的帳號密碼。接著,由特種部隊負責取得最初的存取權限,尋找企業第一個可攻擊的爆破點,取得控制權後,再利用漏洞想辦法進入企業內網或取得更高的主機權限。翁浩正指出,前線防禦設備也可能是攻擊目標,所以企業在採購資安設備,千萬要小心。

入侵內網後,下一步則由正規軍出面掃蕩,尋找企業有哪些主機有類似的漏洞,並建置C2中繼站,開始橫向或是垂直的移動,入侵更多主機。除了攻擊部隊外,支援小組的任務則是觀察與記錄戰況,翁浩正解釋,由於紅隊演練規模太大,委外的攻擊團隊進駐到企業內部後,企業也很擔心,所以,得記錄下攻擊團隊的重點攻擊行為。研究小組則是負責漏洞的挖掘,並尋找哪些漏洞可以取得最初控制權,甚至是開發漏洞利用程式。

可用紅隊演練結果重分配資安預算

翁浩正認為,資安事件發生時所影響的是整個企業的形象及運作,所以,資安預算應從企業整體營運的風險角度來評估,所以資安費用應該是執行業務的必要費用,而不是屬於IT預算中的一部分。資源足夠的企業都進行風險評鑑,再以評鑑結果來安排資安預算。他認為,企業除了將預算用於高遭攻擊機率且高影響的部分之外,也應保留部分預算給低機率但高影響的部分,甚至要投資一些控制措施,讓低影響的情境不會提高為高風險。文⊙李靜宜


Advertisement

更多 iThome相關內容