2019 資安大會

先來說說2019的資安大會,與往年不一樣的地方:

首先,EDR的廠商感覺增加了不少,有些還在會議中心的入口報到處擺攤。再來就是場地的增加,除了會議中心外,今年還多了世貿一館,這三天光是為了參加議程而兩邊跑了不下十次。其三,工控的主題變多了,在21號的大會堂中,也以火車模型展示了當駭客任意變更軌道時,所造成的公共安全問題,最後一點,是學生今年多了很多,小編覺得這是好事,代表新鮮的肝…哦!不是,是年輕人越來越希望能夠了解資安,期待資訊人才能夠直接與學生接軌。

感覺今年的Cyber lab(一些現場報名的實作課程)與去年的目標不同,去年比較重技術或是如何滲透,今年比較重鑑識及軌跡分析。

另外,還多了”Blue team workshop”, 課程的主題主要是以資策會採用了以色列開發的Cyberbit range所開發的攻擊演練系統,感覺這套系統也是因應去年底出來的資安法,為了讓金融,政府單位能訓練人才及通過法令(主要應該是法令) 。可惜的是在資策會的正式課程中,每一個攻擊演練都必花費至少數個小時完成,要在資安大會中的短短兩個小時中完成目標還是略顯不足。
 

Cyber Lab & Blue team workshop

 

Target ranson – 無需惡意程式的目標式勒索攻擊手法

這個課程小編覺得還不錯,題目符合實際操作,是利用Windows本來就有的工具來進行攻擊,如用Powershell進行提權,利用Pordump取得使用者的密碼,再利用使用者遠端進行檔案加密,且加密的工具是RAR,除了解密必需要使用Mimikatz外,幾乎是不用什麼特別的工具。當然最後還要伴演MIS,利用趨勢自家的EDR來去畫出駭客的軌跡,畢竟這堂課是他們開的,總是要幫自己打一下廣告吧!

 

Cyberbit Range Blue Team演練 Part 2 – Trojan Data Leakage攻防演練

課程一開始就花了較多的時間在解釋資策會如何去找到以色列的這套攻防演練軟體Cyberbit Range,並且期待要以這套軟體加強MIS或資安相關人才的培育,另外也是符合2018年底出來的資安法,針對公務機關都要進行攻防演練。最後花了半小時在操作這套演練系統,然後半小時解說,只能說是進來看看在做什麼,但其實沒有辦法把整個流程走完,以課程安排來說有點差強人意,但企業想加強人員的訓練,這個環境到是也不錯,連結貼在下面,有興趣的可以看看。

https://cybersecurity.tisnet.com.tw/Home/CenterIntroduce

 

議程

 

使用軟體無線電進行封包重送、逆向與偽造

這個議程是趨勢科技利用研究及實作來針對工業機具常使用的無線電控制器,在針對機具進行遙控時做無線電的側錄,並且進行指令的重送,成功的控制機具。在簡報中也提到這類型的攻擊會因為軟體定義無線電,而使得攻擊所花的成本越來越低,同時也利用這項研究,再一次說明工業用的機具在早期設計時並不會考慮到資安問題,但如果機具商不從現在開始考慮,就很有可能會造成工安事件,到時候損失將難以估計。

 

工業控制 Testbed 與資安攻防研究

這個議程由安碁資訊主講,跟上面的議程都是在探討資安風險的,不過這個議程是在大會堂辦的,所以人數多很多,主要是利用火車模型來模擬當基礎建設遇到駭客時,如果不注意資安風險,就會發生重大工安事件。也跟大多數的攻擊相同,一開始先針對工業語法Modbus進行封包側錄,在取得了包含燈開關、進出隧道、切換軌道等資料後,在火車下一次經過軌道時,發出假的訊號來迫使軌道切換,造成火車出軌。由這個實驗也帶出工控應該如何進行防護。

潛入黑色飯店窺探駭客足跡

 

一開始就放了這張圖,講述一個駭客集團被稱作”DarkHotel”,起因於這個集團並不像其他集團是針對系統漏洞或是釣魚來進行滲透,而是直接入侵飯店的網路系統,而當有價值的旅客來入住時使用飯店的網路時,趁機安裝惡意程式來取得機密資料。在此份研究當中,提到DarkHotel主要針對投資,政府機構,國防工業,電子製造商和能源政策制定者進行資料竊取。

個人覺得

 
這三天小編只去了一個Cyber lab 及一個Workshop,原因是第一天上午還在客戶那POC,另一個原因是小編本身對滲透比較有興趣,但這次的課程較少提供,所以大部份的時間都在議程當中移動。

另外一個有趣的點是,以前廠商會問你要不要留名片或填一些資料,可以換贈品,路過的人因為覺得留資料麻煩或不想留,導致績效不好,但現在廠商會一直問你要不要刷卡片,說可以換大會的贈品,其實最後結果還是一樣的,他們用便利的方式取得你的資料,你卻因為便利而賣了你的個人資料,當然,辦資安大會本來廠商就希望能取得越多資料越好,算是各取所需吧!

第三天的11點有舉辦資安Talk show,主要是甲乙兩方在台上互相訪問,裡面討論到一個很重要的觀點,乙方提到市場上的資安設備有的已有自動化防護的設定,但大部份用戶都不會使用,原因在於大多系統只做決策,但沒有說明原因,導致該不該擋,為何而擋,MIS也擔心沒來由的阻擋結果最後被盯的滿頭包,要自己花時間去找答案,最後乾脆不用。

另外一個談到的話題就是POC大亂鬥,這在兩方看來都已司空見慣了,但當客戶不清楚自己需要什麼,永遠都在比datasheet、POC,結果花了很多時間,最後只落在價格(主持人講的其實是最漂亮的女業務)。

以上,是這次參與資安大會的心得,期待每年的資安大會都能辦得更好(雖然今天還聽到有客戶拿伺服器來上網,有點不予置評外),希望能真正提高企業的資安意識,別淪為駭客下一個攻擊的目標。

 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.