【臺灣資安大會直擊】臺灣大型組織破千臺主機紅隊演練細節首次大公開

「這是我們做過最大規模的紅隊演練，實施組織的主機群超過4位數，且資安做得相當完善。」戴夫寇爾執行長翁浩正在2019臺灣資安大會上，首次揭露了臺灣企業委外執行紅隊演練（Red Team Assessment）的實際案例。

「全世界，包括臺灣，資安最大困境，就是戰場超乎你想像的大。」翁浩正解釋，不管是政府單位、金融機構、電商業者等組織，他們的網站、伺服器非常多，加上個人化的行動裝置、雲端，因此只要有接上網路，不管是內部網路或外部網路上的任何裝置、主機，駭客都有機會攻擊。

在戰場無限擴張的時代，翁浩正認為，百分之百的全面防禦很難做到，從駭客角度看，任何主機都是有機會入侵，現今不可能全面防禦。「戰場那麼大，企業在有限資源下，只能針對駭客的思維做重點防禦，且在被入侵後能立刻做反應。」

翁浩正指出，對企業來說，企業的主網站與資料庫向來是重點防禦區，企業主會投入極高資安預算與資源，像是買防火牆、網路應用程式防火牆（WAF）等各種防禦設備與資安服務。正因如此，對於以利益為導向的駭客來說，對這一區攻擊的成功率較低，成本較高，所以，駭客通常不會先攻擊這部分，「網路邊界才是駭客攻擊的重點」，翁浩正點出關鍵。

他解釋，企業這麼大，有些主機雖然由企業管控，但其實不在資安管轄範圍之內。例如極少有企業將測試機、開發機及次要業務的系統，納入資安檢測範圍，「光是主網站都顧不完，沒有太多餘力去顧到次要網站。」

因此，駭客會從企業網路邊界中，找尋資安防禦較弱的網站，從攻擊成本較低的次要網站下手，透過這類次要網站進入企業的內部網路，進而得到企業最近的資料，甚至有機會從企業內部來攻擊企業的主要網站，「這是駭客最常見的攻擊手法。」翁浩正說。

他更提醒，企業愛用的雲端服務如Gmail、Slack、GitHub，只要有任何一名員工沒有開啟二步驟驗證（2FA），並且還在使用遭外洩的帳號密碼，此員工的帳號就會成為企業的防禦缺口。駭客組織或是網軍能透過此帳號，取得企業GitHub原始碼，再來進行原始碼分析，就能得到企業最近的資料。這正是紅隊演練中常見的演練項目之一。

從紅隊演練找出資料外洩路徑，優先修補高風險漏洞

翁浩正指出，紅隊演練是最真實的攻擊演練，在不損及企業利益的前提下，對企業進行模擬入侵攻擊，並且是無所不用其極的方式，從各種進入點執行攻擊，嘗試達成企業指定的測試任務。像是個資、金流、信用卡號等各種機密資料，這些企業最在意的資料，也會是駭客有興趣的資料，都會成為紅隊演練的攻擊目標。

「若企業能在紅隊演練中，找到機密資料如何外洩，封閉這條路徑，讓駭客難以利用，企業就會變得更加安全。」翁浩正說。

不過，他強調：「紅隊演練不是滲透測試。」滲透測試只是檢測單一系統的各種風險，在固定範圍內盡可能找出各種漏洞。紅隊演練的範圍，則是針對企業所屬的所有主機，找出各種可入侵的路徑，利用漏洞來達成演練的目的，「企業授權演練的範圍越大，紅隊演練的效果會更好。」他舉例，金融機構舉辦紅隊演練時，設定竊取客戶個資為攻擊目標，紅隊的任務就是用各種方法潛入來取得個資。

在技術上，相較於滲透測試，翁浩正比較，紅隊演練會組合多種入侵路徑和手法來擴大攻擊面。例如先透過情資蒐集，找出管理者信箱，利用跨站腳本攻擊（XSS）搭配社交工程手法，取得管理者權限。再找出企業網路邊界中防護不佳的主機，利用已知漏洞進行攻擊，來獲取更多控制權，以便進入內部網路。甚至，紅隊會盤點到企業所用的第三方雲端服務，針對員工帳號採用撞庫攻擊來竊取權限，登入企業的雲端主機，從中取得更多的資料，來輔助更多攻擊行為。

翁浩正也以一場實際紅隊演練來說明。他指出，實施演練的大型組織擁有數千臺的主機，對外服務的網站，包括了主網站、次要網站與非主網站三類，內部網路則有7x24小時的監控機制，也要求不同的伺服器主機須使用不同的密碼才能登入。

這個組織主網站的資安防護強度很高，在核心防護區實施了白名單管制，只有名單上的主機才能連線到企業最核心的系統。虛擬主機上的網路硬碟，也套用了政府部門所用的政府組態基準GCB規則來設定組態以強化防護，甚至帳號驗證的AD控制器都使用雙因子認證機制來保護。

然而，即便這家企業所用的資安設備與服務相當齊全，但因次要網站的防護不足，沒有實施過滲透測試，也未納入WAF中，所以，戴夫寇爾先找出了次要網站上的漏洞，成了率先遭攻擊的防禦弱點。接著，在演練時，戴夫寇爾從次要網站下手，以撞庫攻擊的方式，成功地竊取到下一臺主機的登入權限，翁浩正解釋，成功駭入的關鍵，正是次要網站用了已外洩的帳號密碼。

紅隊循此路徑，就進入了企業的內部網路，運用已知漏洞，進一步控制了行政系統與檔案管理系統的主機。翁浩正指出，這可能是內部主機監控機制的涵蓋率不足、存取權限不夠嚴謹、通報嚴重度偏低等所造成的漏洞。

此外，進行紅隊演練時，翁浩正還發現，這個組織儘管每一臺主機都有特權帳號，但卻使用了同樣的密碼規則，破解出一組後，就可以推算出每一臺主機的密碼。透過這方式因此而登入了大量的主機，甚至有臺是VMware的vCenter伺服器，也由於vCenter管理了上百臺虛擬主機，所以，當他們控制了這家企業2臺vCenter的權限，就等於控制了1千多臺的主機。翁浩正強調，密碼設定不能有規則，否則就有機會遭破解。

最後，他們發現AD控制器也部署在VMware上，仿效先前vCenter的攻擊手法，也得到了AD的密碼，此時，扮演攻擊方的紅隊，已經有機會登入這家企業每一個員工的電腦，甚至可以透過白名單主機，連接到企業最核心的系統。翁浩正認為，像是vCenter、AD這類高敏感的核心系統，若未納入盤點，將會是企業資安防禦上的大盲點。

這組織最擔心的事情，都在紅隊演練中發生了。但翁浩正強調，這不是一件壞事，企業能在真實資安事件發生前，先用紅隊演練發現最大威脅，補完漏洞、落實防禦措施，等到真有駭客要循同樣的手法來入侵時，就會變得很困難。

紅隊演練得靠多人編制團隊實施攻擊分工

不過，因為紅隊演練中，往往需要大規模的攻擊和嘗試，紅隊必須採取多人編制的團隊作戰，翁浩正透露，在執行每次紅隊演練前，都會經過縝密的戰鬥規畫，分析目標組織的規模、攻擊目標可能位置、擁有哪些主機等，也會先評估哪些是可攻擊的弱點主機，再來擬定攻擊戰略，分組進行紅隊演練。有能力實施紅隊演練的團隊，還得經常挖掘並發表漏洞研究，還要具備強大的情報收集能力，並且高度熟悉駭客思維及各種多樣攻擊手法。「紅隊演練就是情報戰，掌握情報就能左右戰爭。」他說。

以戴夫寇爾的紅隊演練編制來說，共分為5個小組，分別是情資小組（Intel Team）、特種部隊（Special Force）、正規軍（Regular Army）、支援小組（Support Team）與研究小組（Research Team）。

先出動的是情資小組，負責情報偵察，以及收集企業外洩的帳號密碼。接著，由特種部隊負責取得最初的存取權限，尋找企業第一個可攻擊的爆破點，取得控制權後，再利用漏洞想辦法進入企業內網或取得更高的主機權限。翁浩正指出，前線防禦設備也可能是攻擊目標，所以企業在採購資安設備，千萬要小心。

入侵內網後，下一步則由正規軍出面掃蕩，尋找企業有哪些主機有類似的漏洞，並建置C2中繼站，開始橫向或是垂直的移動，入侵更多主機。除了攻擊部隊外，支援小組的任務則是觀察與記錄戰況，翁浩正解釋，由於紅隊演練規模太大，委外的攻擊團隊進駐到企業內部後，企業也很擔心，所以，得記錄下攻擊團隊的重點攻擊行為。研究小組則是負責漏洞的挖掘，並尋找哪些漏洞可以取得最初控制權，甚至是開發漏洞利用程式。

可用紅隊演練結果重分配資安預算

翁浩正認為，資安事件發生時所影響的是整個企業的形象及運作，所以，資安預算應從企業整體營運的風險角度來評估，所以資安費用應該是執行業務的必要費用，而不是屬於IT預算中的一部分。資源足夠的企業都進行風險評鑑，再以評鑑結果來安排資安預算。他認為，企業除了將預算用於高遭攻擊機率且高影響的部分之外，也應保留部分預算給低機率但高影響的部分，甚至要投資一些控制措施，讓低影響的情境不會提高為高風險。文⊙李靜宜