訊息專區

2019/8/8中華資安國際於108年8月8日受邀參加資通安全管理法採購指引懶人包推廣說明座談會，楊士弘資深顧問於會中與眾多公務機關分享關鍵基礎設施資通安全管理法實施重點，依資通安全責任分級規劃管理面、技術面、認知訓練面進行說明。

中華資安國際Red Team團隊發現，國內知名電子郵件系統具有多項漏洞(CVE-2019-15071、CVE-2019-15072、CVE-2019-15073)，指出國內知名電子郵件系統具有跨網站腳本攻擊(Cross-Site Scripting)與未經驗證的轉址與導向(Open Redirect)等漏洞，影響範圍包含政府、教育與金融等至少約40個機構，簡述如下：CVE-2019-15071：攻擊者可在不經過任何身分認證情況下，進行跨網站腳本攻擊，郵件系統多個版本都存在此漏洞，弱點發生頁面為/cgi-bin/go，此漏洞可歸類於OWASP TOP 10 2017之A7 - Cross-Site Scripting(XSS)類型中。CVE-2019-15072：攻擊者可針對任意參數進行跨網站腳本攻擊，郵件系統多個版本都存在此漏洞，弱點發生頁面為/cgi-bin/portal，此漏洞可歸類於OWASP TOP 10 2017之A7 - Cross-Site Scripting(XSS)類型中。CVE-2019-15073：攻擊者可在不經過任何身分認證情況下，進行未經驗證的轉址與導向，郵件系統多個版本都存在此漏洞，弱點發生頁面為/cgi-bin/go，此漏洞可歸類於CWE-601: URL Redirection to Untrusted Site (Open Redirect)類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用電子郵件系統者，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：聯繫廠商盡速安裝修補更新檔。2.郵件系統開發商：在程式開發過程中應針對輸入參數做檢查。3.郵件系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

資料來源：資安人報導 2019/10/30 當聽到工控系統遭遇到駭客攻擊時，這類資安威脅感覺似乎離我們非常遙遠，但自從工控資安事件在台灣落地之後，大家才驚覺工控資安的威脅已經兵臨城下，可能產生巨大損失、甚至影響人身安全，是企業必須重視的議題。IT與OT結合　帶入資安威脅?! 工業4.0成為製造業追求的方向之後，以往封閉式的工控環境也慢慢開始走向開放式，與網路的連接頻率也提高，這讓工控設備成為駭客覬覦攻擊的目標。中華資安國際副總經理游峯鵬表示，工控環境重視的是生產效率、工安及環安，對資安重視的程度相對比較薄弱，直到台灣發生工控環境遭受勒索病毒威脅的資安事件，導致企業遭受到嚴重金額損失之後，大家才警覺到原來工控資安事件已經在台灣落地，工業控制系統的資訊安全是企業不可忽視的問題。 工業控制系統正面臨數位轉型的過渡階段，從用來分析工業控制系統架構的普渡（Purdue）模型可以看到，其中Level 0屬於機器手臂、自動車等工控設備，Level 1則是由一群PLC、DCS或RTU等控制器組成，也就是控制網路，控制器會接收來自於Level 2中工業用人機介面HMI（Human-Machine Interface）的指令，Level 3則是工廠機房中的核心路由器、防火牆、工程師工作站（EWS）、歷程資料伺服器（Historian）等設備，Level 4-5則是從遠端企業總部連接到工控系統的機器。其中的Level 0-3稱之為OT（Operation Technology），Level 4-5一般則稱之為IT（Information Technology）。 游峯鵬表示，從普渡模型可以看出，當OT與IT相結合之後，Level 4-5的IT環境中的ERP、檔案伺服器等系統若遭受網路攻擊，威脅長驅直入也會連帶影響到Level 0-3的OT環境，並且在行動裝置普及化、物聯網應用進入工控環境之後，讓駭客入侵的管道更加多元，此外，來自操作人員、供應商所帶進來的資安威脅缺口也不容忽視，OT環境想要降低資安風險，必須更重視SOP的落實， 並可參考國際工業控制安全標準（如NIST SP 800-82或ISA/IEC 62443）建立工控環境安全框架，來確保工控系統的安全性。<img width="554" src="/images/archive/1576548088196.jpeg" alt="一張含有 牆, 個人, 男人, 室內 的圖片 自動產生的描述" class="fr-fic fr-dii"> 想要落實工控環境的資安防護，必須先從資產盤點與風險評估著手，游峯鵬誠心的表示建議，現在的工控設備相當多元，加上企業因應工業4.0與數位轉型時工業物聯網裝置的加入，使得工控環境中的資產盤點與評估工作變得更為複雜。企業工控環境要做好資安，應該從管理、技術、訓練三大構面來進行，管理制度是最重要的部分，沒有組織人員、流程、工具是不可能把資安防護做好的，即便有了管理制度，還需檢視能否落實管理？能否有效建立技術防護能力？技術是指組織建立資產設備的可視性，確實掌握資產的所在位 置與連線狀態，確保沒有「幽靈資產」存在，定期對工控環境做資安健檢，並建立偵測監控、緊急應變、鑑識復原的技術框架及能力，找出漏洞以及不正常的網路活動，才能夠做好隔離、管控、告警等資安工作。而訓練則是有鑒於『人』經常是組織資安防護的最大缺口，透過定期訓練可以提高資安認知，強化資安技能，有效提高資安防護能力。豐富的政府專案經驗 奠定專業資安服務角色 中華資安國際提供客戶完整的IT與OT資安解決方案，舉凡事前資安防護與檢測、事中資安監控與管理、事後緊急應變與鑑識，以及資安顧問等服務。 對於OT環境資安服務，中華資安國際除提供風險評估顧問服務，也提供資安健檢與監控服務，因為OT環境非常重視可用性，因此在進行資安導入時，為了不能影響其運作，會先以被動方式用「聽」的來進行，也就是利用收集網路活動資料進行分析，包含建立資產、網路連線、正常行為基準線(baseline)的可視性，以進行隔離性檢測、偏離基準異常檢測、網路惡意活動檢視等，並協助建立OT-SOC（Security Operation Center，資訊安全監控中心），對異常行為提出告警，進行實質的7x24監控工作。中華資安國際除了參與政府油、水、電工程專案的資安健檢與風險評估工作，協助政府從公共設施OT場域環境中找出資安風險，也協助智慧醫療、智慧機械環境資安的健檢與監控機制的部署，這種應用牽涉到隱私權與醫療風險，資安議題顯得更為重要。 最後，游峯鵬副總經理強調，資安設備、軟體只是工具，最重要的還是專業知識與經驗，中華資安國際對於IT與OT都擁有豐富的領域專業知識，獲得許多資安比賽大獎並且協助客戶面對艱難的資安威脅。對於未來看好的5G網路發展，智慧城市、車聯網、智慧工廠等IoT及IIoT的應用即將起飛，中華資安國際也正在積極布局，將在未來更為嚴峻的網路世界，自我期許可以成為更進一步的專業資安服務廠商的角色。

近年伴隨數位科技與網路應用迅速發展，企業面臨與日俱增的資安威脅，也讓資安防護的重要性不斷攀升，成為數位經濟與產業創新的關鍵基石。展望2020年，中華資安國際總經理洪進福預期，包括法規、威脅、新科技、時間演進等四大驅力，將推動資安產業繼續前進。關於法規，隨著資通安全管理法施行、許多國家的個資法規、金融業資安法規等日趨嚴格，導致企業的資安法遵壓力愈來愈大。關於威脅，近幾年資安事件層出不窮，網路入侵、勒索病毒、資料外洩、DDoS、APT等都對政府與企業造成很大的威脅和危害，預期來年企業仍將與這些風險相伴為伍。關於新科技，隨著5G、工業物聯網IIoT、智慧聯網AIoT、車聯網、自駕車、區塊鏈等新技術、新應用的開展，勢必帶來新的資安缺口。關於時間，多數人都清楚，隨著時間演進，幾乎每天都會發現新的系統、應用或技術的缺口、漏洞。當然，如果企業沒能及時防患於未然，就可能給了駭客可乘之機，造成政府或企業的嚴重損失。表面看來，哪怕資安威脅再大，似乎只有從事資安工作的人會戒慎恐懼，一般人並不太關心。但洪進福認為，企業主並非不在意威脅，而是更在乎資安威脅造成的影響，例如，「營運中斷」、「金錢勒索」、「資料外洩」或「智財權遭竊」，所以討論資安威脅，必須回過頭來扣合這些痛點，才有助於喚醒企業主的資安意識，更願意找方法來面對資安威脅，以及解決問題。洪進福認為，企業要做好資安，應該從管理、技術、訓練三大構面來進行。管理制度是最重要的部分，沒有組織人員、流程、工具是不可能把資安防護做好的，即便有了管理制度，還需檢視能否落實管理？能否有效建立技術防護能力？技術是指組織建立關鍵資產盤點、防護架構、偵測監控、緊急應變、鑑識復原的技術架構及能力；訓練則是有鑒於『人』經常是組織資安防護的最大缺口，透過訓練可以提高資安認知，強化資安技能，有效提高資安防護能力。例如，企業可以參照ISO 27001管理制度、NIST IPDRR資安架構，建立企業資安的基線(Baseline)，並持續PDCA管理循環，才能有效精進資安防護能力。藉由紅隊演練，釐清所有曝險介面具體做法上，首先企業應自問有什麼東西最珍貴，釐清需嚴加保護的關鍵資產；接著思考如何把它們擺在安全位置，意即建立防護架構、常態性偵測機制，隨時監看有無不明人士擅動這些資產；緊接著萬一出事，企業亦應設法做到快速應變處理。簡言之，欲做好資安防護，必須兼具事前的防禦、事中的監控與應變、事後的鑑識與重建。中華資安國際副總經理游峯鵬說，駭客決定攻擊標的時，會看對方自保能力夠不夠，能力愈強的企業，遭受駭客入侵機率較低；因此建議企業將資安做得更細緻，先把端點、電子郵件、網站等重要出入口盤點清楚，再據此建立防禦與應變措施。洪進福呼籲，企業進行資安布局，須同時看兩大面向，其一是管理面，需要建構完善的管理制度，否則即便有再強的防護設備，也難產生好的防禦效果，另一是技術面，切記「有網路接口、就有資安缺口」，務必盤查所有出入口，釐清企業對外的曝險介面，再推動相應的防禦、檢測等作為。總之，唯有「制度化管理」，才能將資安帶入常軌、成為企業日常營運的一部分，否則日子一久，隨著人員異動、系統上下架或網路架構改變，都可能導致資安退化。「管理是說法，落實要靠做法，我們透過『稽核』來檢視說法和做法是否一致，但要能看清真相，就得仰賴動手執行『檢測』。」洪進福說，舉凡紅隊演練(Red Teaming)和滲透測試(PT)，皆是『資安檢測』的服務項目，主要是以駭客觀點，探索或挖掘可能的入侵缺口，藉此提醒企業瞭解自身防護架構的不足，並輔導企業該如何補強防護、彌補資安缺口。如果沿用事前、事中、事後的概念，Red Teaming、PT 等檢測服務，算是事前的一環，另外像是事中的 SOC監控應變、事後的鑑識復原，從事前到事後都是中華資安國際的服務範疇。與一般系統整合商最大不同，在於中華資安國際擁有豐沛的網路、系統、資安專家，更能綜觀全局，將資安設備部署在最適當的位置，搭配網段上的分艙隔離、管控機制，同時掌握即時ISP網路資安威脅情資，形成最大防禦功效。值得一提，中華資安國際結合母公司中華電信的HiNet網路服務與行動上網服務，在網路局端提供企業上網資安防護服務，以協助企業搭建縱深防禦架構，從源頭將攻擊行為、異常訊務加以攔阻。展望今後著眼於企業雲端化程度攀升，有必要強化雲端防護能力，中華資安國際規劃於2020年1月開始提供雲端WAF服務，協助企業做好網站資安防護；此外，因應企業上雲的產業趨勢明朗，接下來也將推出落實雲端存取安全代理程式(CASB)服務，用來保護企業存放在雲端的資料與商業活動，盡全力協助企業降低資安風險。

中華資安國際資安檢測團隊，去年在執行金融機構電腦系統資訊安全評估的過程中，找出SWIFT系統具有Log注入的高風險（CVE-2018-16386），SWIFT平台是環球銀行金融電信協會(Society for Worldwide Interbank Financial Transfers)的全球金融銀行機構交易資料交換系統，超過200個國家與地區的11,000多家銀行與證券商使用，也是駭客的重要攻擊目標之一，過去三年間，就有包含台灣在內的多家銀行，因為相關系統遭駭客入侵而損失超過25億元。該弱點不需要登入即可遠端Log注入，CVSS v3.0風險評分為7.5 High，簡述如下：CVE-2018-16386：中華資安國際白帽駭客獨家挖掘出SWIFT Alliance Web Platform 7.1.23存在Log Injection漏洞，攻擊者可利用系統Error log功能,寫入任意字串到任意log檔案中，若搭配其他的任意檔案引入弱點一起使用，就可能達成遠端執行指令碼攻擊例如：攻擊者可以將攻擊指令寫入到log中,再載入該log內容，即可達成cmd injection之攻擊。一旦攻擊成功，攻擊者將可取得受害主機所有控制權。開發廠商接獲通報後已配合儘速釋出相關更新，SWIFT系統敏感性較高，漏洞情資在去年通報後，直到今年才公開發佈，建議仍在使用SWIFT 7.1.23(含)以前版本的金融機關或企業，儘快聯繫廠商進行系統更新。若無法立刻更新，建議採取以下減緩措施與檢查：1.定期檢查Log內容是否有特殊寫入資訊。2.在程式開發過程中應確保每個功能在執行前皆進行權限檢查，若權限不足則不允許存取。3.程式開發人員應運用白名單或正規表示式進行參數檢查，以避免遭到惡意語法注入，建議開發廠商導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

中華資安國際Red Team團隊發現，國內知名數位學習平台具有系統指令注入的重大風險（CVE-2019-11062），由於影響範圍包含政府、教育與金融等至少約50個機構，且不需要登入即可遠端執行指令，CVSS v3.0風險評分為9.8 Critical，簡述如下：CVE-2019-11062：具有系統指令注入漏洞，攻擊者可在不經過任何身分認證情況下，在注入頁面的basePath參數放入任意系統指令，且參數檢查機制可遭到繞過。一旦攻擊成功，攻擊者將可取得受害主機控制權，或上傳網頁木馬（Webshell）取得主機管理者帳密、資料庫帳密等資訊。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用數位學習平台者，建議儘快聯繫廠商進行修補更新。若無法立刻更新，建議採取以下減緩措施與檢查：1.關閉/teach/course/doajaxfileupload.php連線路徑，使其無法進行作業。2.開啟WAF設備檢查basePath欄位，阻擋任何OS指令(包括編碼之後的版本)。3.檢查是否有其他新建立的檔案(未知檔案)已被上傳成功，如發現檔案應立即進行事件處理。4.網路連線設備單一session連線至/teach/course/doajaxfileupload.php頁面而未有認證session id之紀錄，應立即進行封鎖或阻斷連線。5.在程式開發過程中應確保每個功能在執行前皆進行權限檢查，若權限不足則不允許存取。6.程式開發人員應運用白名單或正規表示式進行參數檢查，以避免遭到惡意語法注入，建議開發廠商導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

中華資安國際Red Team團隊發現CVE-2019-11232及CVE-2019-11233，指出國內知名公文編輯系統具有兩個敏感資訊洩漏的重大風險，可歸類在OWASP TOP 10 2017A3-Sensitive Data Exposure類型中，由於波及範圍廣泛，CVSS v3.0風險評分為9.8 Critical及7.5 High，簡述如下：CVE-2019-11232：洩漏用戶在該系統中的密碼，且該密碼使用不安全的儲存方式，攻擊者相對易於破解加密的內容，進而獲取明文。CVE-2019-11233：洩漏如員工編號、員工信箱、部門資訊等內部機敏資訊。攻擊者可在未登入的情況下，串聯以上兩項漏洞以直接取得使用者的帳號密碼，登入系統存取公文等機敏內容，或是在獲取員工的組織資訊後，透過社交工程或APT攻擊來竊取內部更機敏的資料。目前開發廠商已釋出相關更新程式，若機關或企業有使用公文編輯系統者，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：在開發過程中確保每個功能在執行前皆進行權限檢查，若權限不足則不允許存取。密碼的儲存應採取加鹽雜湊，即在欲保存的原始密碼加上長字串(salt)，再透過強度較高的雜湊演算法(例如SHA-256)多次運算後才存入資料庫。近幾年惡意程式數量與變化更是大幅增加，駭客手法也日新月異，企業可以經過系統化的資安檢測與專家經驗的輔助來降低風險指數，建議企業需定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保企業資訊安全的有效性。

3/19~3/21於台灣資安大會的台灣資安館展出：Secure Element身分安全晶片與加密通訊應用、「「SecuTex」網路威脅偵測系統、「資安事件應變夥伴協議」等自主研發產品與服務，並對總統簡介產品功能及應用。應用於「事前防範」的身分確認產品Secure Element：此為本公司與本土晶片廠商合作研發的安全晶片產品，不僅可搭配手機或電腦提供對人的身分識別，也適合整合在IoT裝置中提供對設備的身分識別，並且提供通訊加密的保護。應用於「事中監控」的封包側錄分析產品SecuTex：此為本公司自主開發之產品，可以將網路上流量完整側錄下來，並在發生駭客攻擊時還原事件現場，找出根因。應用於「事後應變」的「資安事件應變夥伴協議」(Incident Response服務)：由本公司資安專家即時救援應變、事件調查與鑑識，提供事件報告與強化措施，企業不需花錢培養鑑識團隊。

台灣企業的資安意識已逐步提升，許多企業已建置基礎的資安防護措施，但駭客技術及手法隨著資訊技術、科技應用的演進也持續精進，同時也將攻擊對象延伸到特定領域如醫療、高科技、關鍵基礎設施等產業的 OT 環境。然而企業為引進智慧化與大資料分析，很多 OT 網路與設備開始進行聯網資料交換，與 IT 網路互聯越來越普遍，雖有採取隔離措施，但仍衍生很多資安風險，因此，企業在面臨資安嚴峻的挑戰，除持續關注 IT 環境的因應之道外，如何因應 OT 環境的資安挑戰，以避免造成營運中斷的風險，更是企業不容忽視的課題。簡報下載

本公司Red team團隊2名成員與資安社群2名成員組隊參加「2018資安滲透測試攻防國際邀請賽」，與來自社群、學術、研究機構等十家隊伍共同參與競賽，榮獲冠軍殊榮。本次攻防邀請賽由廠商提供產品供參賽隊伍進行漏洞挖掘，產品涵蓋電子郵件管理系統、資料管控系統、視訊監控系統、Windows與Ubuntu白名單系統等，當參賽隊伍挖掘出漏洞時，透過主辦單位的漏洞回報平台回報漏洞及截圖佐證方能得分。本賽程為期三天，考驗參賽隊伍對作業系統、網路架構、通訊協定運作、應用程式運行、資料蒐集分析、資安防護機制迴避、程式撰寫以及團隊協同合作的能力，同時也是對體力、耐力及腦力的考驗，本隊伍成功挖掘出數十個漏洞取得297積分，領先第二名50分之多，獲得冠軍。