【資安人才大聲公】讓前輩親口告訴你

「以注射疫苗來說,最真實的病毒才能讓企業產生抗體,來對抗病毒,」戴夫寇爾紅隊隊長許復凱,以人體免疫機制來比喻企業資安防護力。他指出,要有效抵禦駭客入侵,就得透過最接近真實世界的駭客攻防演練,培訓企業產生抵抗力,來抵禦潛在的駭客威脅。而這劑疫苗,正是紅隊演練扮演的角色。

紅隊演練並非聚焦單一網站或系統執行滲透測試,而是更全面地運用多種攻擊手法,試圖攻破企業內網,找出潛藏的漏洞所在。許復凱比喻:「就像是玩手足球臺,攻擊手法不受限制,從空中、地下、或是直接破壞手足球臺,就是要想盡辦法攻進內網,拿到企業最在乎的資料。」

就算獲得企業授權下,要有能力暗中入侵企業環境來測試,紅隊就像是一群資安高手組成的特戰隊,負責攻防演練的紅隊隊員,也是許多資安新鮮人嚮往的工作。臺灣少數有能力執行紅隊演練的戴夫寇爾,2017年就推出了臺灣第一個紅隊演練服務,許復凱正是這項服務的領導者。

戴夫寇爾至今執行了超過40場紅隊演練,駭入企業內網的成功率達到百分之百,「演練過程中,我們駭入企業內網,多半像是如入無人之地,有時候在裡面逛很多天,對方才問是不是已經打進來。」

但許復凱觀察到,越新開發的網站,就越難攻破;少數能定期執行紅隊演練的企業,因為重新檢視系統開發的方法與習慣,來改善自身的資安體質,資安防護上也有長足的進步。顯示臺灣企業的資安意識,近年來已經有所提升。

要成為紅隊隊員要經過4階段努力,考證照、打比賽是技術奠定的不二法門

一個資安新手,許復凱認為,還是可以成為紅隊的一員。他提供了一個4階段學習過程,從初學、技術小成、技術精熟與強大的紅隊成員,每階段的目標和學習方法的建議。

比如資安初學階段者,許復凱定義,是指具有資訊背景,能架網站、寫程式,同時對資安領域懷抱憧憬,願意在未來十年投入其中的人。換句話說,這群人「雖然什麼都還不會,但是對這條路充滿熱情。」而熱情,就是前進的原動力。

在這個階段,許復凱建議,初學者可以利用網路上豐富的新手入門資源,直接Google搜尋關鍵字「資安、新手、建議」,就能找到許多學習的方法,包括與資安技術相關的筆記、書籍、課程等,來善加利用。若想上實體課程,則可以接觸教育部資安人才培育課程AIS3,或是積極參與各種資安社群,都是可利用的管道。

不過,許復凱也特別提醒,過去會推薦初學者參加CTF比賽,或是透過Bug Bounty挖漏洞來培養實戰經驗,但現在,這兩項挑戰的門檻都更高了。比如CTF演變至今,題目已經越出越難,「甚至可能直接給一個Github的函式庫,要挑戰者找漏洞,那根本就直接找零時差漏洞,已經不太適合新手,」他建議,若初學者要參加CTF,得慎選新手導向的比賽來參加。

而企業釋出的Bug Bounty計畫,也逐漸不適合新手練功,因為大多新手能發現的漏洞都已經被找到,要再找新的漏洞並非易事,還得與全球的高手競爭,「不建議這個階段就打Bug Bounty,可能會花很多時間,卻沒什麼回報。」許復凱說。

因此,許復凱推薦,資安初學者在課程方面,可以先完成資安線上課程PentesterLab,並在習得技能後,練習線上靶機,比如參加Hach the box來測試自身的實力。最後,再進一步考取實體證照,來驗證自身能力,推薦新手考取的實戰型證照包括OSCP與OSWE。

接著,進入技術小成階段。許復凱對於技術小成者的定義,是要能對各種漏洞瞭若指掌,知道OWASP有哪些漏洞、漏洞成因、建議的修補方法,「代表的意義,就是對教科書上已知的技巧已經有一定的熟練度。」他更透露,這個階段也是戴夫寇爾對於求職者能力的基本要求,就連內部寫研究報告的員工,為了能與資安研究員溝通,都具備了OSCP的證照。

這個階段的目標,許復凱指出:「要讓自己成為一個領域的專家,最好是全臺灣前十名!」他鼓勵,由於資安攻擊的專才不多,只要把目標訂得夠小,就有機會達成。這個階段中,他也建議可以參加CFT資訊網站「CTFtime」中,評級權重(weight)高的賽事,來驗證自己的實力,或是透過Bug Bounty,找商用或開源軟體中「未知」的漏洞,不僅能累積實戰經驗,若能找到全球極少數人能發現的漏洞,伴隨而來的成就感,也能推動自己持續向前。

精熟技術還不夠,紅隊成員更需累積戰場經驗與思維

下一步,來到技術精熟的階段,「老實說,技術面已經無懈可擊了,」許復凱認為,技術精熟者若繼續精進技術,就能開創屬於自己的技術流派。不過,儘管這個階段的技術實力來到巔峰,他仍點出,臺灣當前的主流技能樹較無涵蓋持續潛伏(Persistence)、防禦逃脫(Defense Evasion)與橫向移動(Lateral Movement)三種實戰技巧,技術精熟者可持續學習非主流的技能,來增加攻擊技巧。

持續累積資安實力,就是為了上戰場攻擊,但許復凱也提醒,並非具備強大的技術實力與攻擊技巧,就懂的如何打仗,要成為紅隊成員,還需要具備紅隊思維、累積紅隊經驗。

他舉例,假設在戰場上,隊友已經殺出一條血路直達敵區,目標要拿到保險箱內的東西,「不知道大家有沒有想過,放眼望去看到的敵人這麼多,怎麼知道要狙擊誰?打誰獲得的效益較高?」而且,「任務要拿到保險箱,但怎麼知道保險箱在哪?」

轉換為真實的案例,假設紅隊演練的目標是要入侵ATM,但在成功進入內網後,該如何得知ATM在哪裡?若在攻進內網後,更攻下了網域管理服務Active Directory(AD),就算能控制網域內上萬臺電腦,又該如何找到ATM發動攻擊?「根據我們的經驗,打下AD是家常便飯,但跟拿下ATM之間,還有很大的距離。」許復凱說。

藉由這個情境,許復凱點出,紅隊隊員在戰場上如何攻擊,並沒有標準答案,「但上戰場後,就得為這些過去不曾想過的問題,找到解決方法,這就是紅隊思維。」

不只要培養紅隊思維,戰場上也需要不斷的評估與抉擇,得靠許多經驗的積累,才能下好每一個決策。比如說,如何在黑箱的情況下,盲猜攻擊目標可能具備的防護機制?若發動攻擊可能有7成會因曝光而失去據點,但攻擊成功就有機會推展戰線,又該如何選擇?又或者,進入核心網段需要串5層Tunnel,要如何決定,第幾層該用哪個Tunnel技術?

許復凱表示,戰場上該如何決策,同樣也沒有標準答案,但作為紅隊成員,每個人都需要下意識地累積經驗,「這是一般攻擊技術很強的人,跟紅隊成員之間的差距。」

許復凱也點出身為紅隊成員應具備的心態。由於紅隊演練是為企業提供的一項服務,本質在於解決企業的問題,「雖然當駭客看到什麼好打就想去打,但是不行、更不能亂打,心態必須有所改變。」比如在戰場上,目標明明是攻擊企業的ATM,隊員卻打進了門禁系統,對戰場來說不僅沒有幫助,還平添困擾。

而且,紅隊成員在攻擊過程中,成功攻破對方守備的同時,也得為對方思考,應如何改善才能避免再次遭駭,並改變企業資安體質?許復凱點出,唯有不斷站在客戶角度思考,才能確實解決客戶問題。

最後,就是要保持專業,「這也是我們公司第一個準則,要保密、謹慎測試,發現漏洞要謹慎揭露,對自己的測試要負責。」許復凱指出,戴夫寇爾以嚴謹的態度在進行紅隊演練,就連客戶詢問一年前的攻擊行為,都能調閱記錄來詳實回應,這也是成為一位紅隊成員必備的素養。

相關報導


熱門新聞

Advertisement