有鑒於國內外資安事件層出不窮,對企業造成的傷害日益擴大,許多企業開始轉換思維,認為除了持續強化防禦機制外,應假設企業本身之網路環境與對外系統仍然存在可能被駭客所入侵的漏洞,需要透過特定的測試方法,藉由駭客的觀點,幫助企業挖掘隱而未現的資安盲點。因此,企業對於滲透測試、紅隊演練等專業服務的導入需求持續攀升。

依現狀來看,較多企業傾向採用滲透測試服務,預期透過每年執行一次的滲透測試,深度洞察關鍵系統是否存有潛在安全漏洞,從而加以修補,以確保整體網路環境安全無虞。但事實上,滲透測試通常優先針對特定的範圍與關鍵的目標,而其他與核心業務無直接相關的次要系統,大多成為有限的資安預算下,首要被犧牲對象。然後,這些次要系統雖然重要性不如核心系統,但仍然是駭客可能攻擊的對象,而這些未曾接受測試的次要系統,卻往往埋下駭客侵入的危險伏筆。隨著近年來越來越多國際知名企業遭受到駭客攻擊,也使得企業開始有所警覺,必須借重紅隊演練來檢測整個企業網路環境的安全。

簡言之,紅隊演練並非針對個體的安全強度進行測試,而是基於宏觀角度,檢驗整間公司對外或對內的資安防禦能量,旨在找出防護上較為薄弱的環節。紅隊演練的執行團隊,會透過大範圍的嘗試、不斷想方設法找到存在安全漏洞的系統作為進入內網路的突破點,過程中可能隨時變換攻擊手法或偽冒來源IP地址進行攻擊作業,以檢視客戶的資安維運團隊或防禦設備,是否能夠察覺這些攻擊行為。因為紅隊演練不止是攻擊團隊的單方面演出,亦是一場針對「藍隊」(防守方)的考驗,是否能透過現有的防禦設備與應變機制,針對所發現的攻擊跡象作出適當的處理,並及時阻擋這些攻擊行徑,保護企業資產安全。

著眼於紅隊演練對企業資安的重要性,安華聯網亦擁有一支精銳的服務團隊,陣中皆是深具專業能力的好手,不僅擅於執行具高複雜度的網站、物聯網產品及行動應用程式的滲透測試案件,也十分擅長執行紅隊演練作業,有效探查企業環境當中的弱點。

依據客戶的期望目標,彈性調整演練腳本

持平而論,放眼市場,能提供紅隊演練服務的業者不在少數,惟安華聯網團隊相較於友商,擁有諸多較為獨特的競爭優勢。首先安華聯網針對滲透測試服務流程部份,已取得國際CREST認證,此一能力亦適用於紅隊演練,足以確保團隊能夠展現優異的專案執行品質,譬如對於客戶資料的保護與遠端執行過程中的程序完整性,皆依循既定的嚴謹流程,較不會出現瑕疵疏漏。

其次,若企業無意把整間公司都當做紅隊演練團隊的攻擊情境,安華聯網也能依照客戶期望,彈性調整演練腳本。比方說,有些客戶期望模擬來自於網際網路的攻擊者,透過外部系統漏洞進入至內部網路;部分客戶則期望從內部網路出發,模擬單一員工電腦被植入後門程式,以此為起點展開橫向擴散和提權等必要手段,終至完成攻擊目標、獲得預設的機敏資料內容。不論攻擊的發動點為何,安華聯網都能配合客戶需求,進行彈性調整,而非堅持只能按照固定模式進行。

再者,安華聯網的紅隊演練服務範圍,不僅理所當然涵蓋常見的IT或OT網路,團隊基於對工業控制協定與控制系統網路的嫻熟,亦能將服務觸角延伸至工廠,且將攻擊對象從一般的資料庫、伺服器等等,轉換成為PLC、感測器或控制元件,針對整個廠務系統進行安全測試。考量OT環境相對缺乏資安維運人員或防禦設備,因此當測試完成後,安華聯網團隊也會全力協助客戶增強OT網路強度。

藉由縝密規劃與設計,執行攻擊演練活動

安華聯網的紅隊演練服務攻擊流程可以簡單分為:(1)從公開網路或暗網蒐集可以利用的資料;(2)找出突破點;(3)佔領這些突破點;(4)逐步向內部主機移動;(5)取得主機控制權限;(6)朝向目標前進。此處所謂的目標,通常都是在安華聯網與客戶的共識下設定完成,可以取得網域伺服器的控制權限或資料庫的客戶資料等,端看客戶的期望而定。

在每個紅隊演練專案結束後,安華聯網會提供一份完整報告、依經驗動輒70~80頁起跳,裡面會詳列攻擊演練過程所使用過的測試工具與手法,進一步清楚交待在整個演練過程所有曾異動過的程式、系統設定及帳號等相關資訊,亦即把整個攻擊路徑的樣貌做清楚陳述,以利客戶的資安維運團隊能根據這些備註,執行必要的刪除或系統還原動作。

不僅如此,安華聯網會繼續與客戶討論補強對策,針對該次攻擊演練中所發現的脆弱環節,評估是要透過政策規則的修正、抑或增設什麼樣的防禦設備,進行對應的調整或修補。待客戶完成這些補強措施後,再由安華聯網針對所發現的安全漏洞進行複測,檢查是否已修正完畢。藉由從頭到尾的完整規劃、設計及執行,安華聯網近期已提供國內電子製造業與金控集團紅隊演練服務,協助企業確認所建置的資安偵測、處理及應變機制是否到位。

熱門新聞

Advertisement