訊息專區

中華資安團隊榮獲HITCON Defense企業資安攻防大賽冠軍及「情資分享特別獎」雙料獎項中華電信資安團隊於12/14，台灣駭客協會舉辦的「HITCON Defense企業資安攻防大賽」，從6支參賽勁旅中脫穎而出獲得冠軍。並且在參賽過程中，因樂於分享情資榮獲主辦單位頒發的「情資分享特別獎」，肯定中華資安除擁有專業的資安防護能力外，還具有互助精神，協助其他參賽隊伍提升資安防護能力。本次參賽隊伍來自金融、電信、政府、軍方、高科技單位，皆為國內資安專業的一時之選。中華電信團隊打趣以RFC 2324狀態碼「418」為隊名，成員由中華資安國際、中華電信數據分公司所組成，在駭客炮火猛烈的攻擊下，快速盤點企業資產、挖掘內部網路威脅、建構資安防護架構，最終維持企業持續營運，因此奪得本屆大賽冠軍。代表領獎的中華資安國際公司總經理洪進福表示：「本屆HITCON Defense攻防大賽最大特色就是『真』，這些攻擊情境與我們過去協助客戶處理的資安事件頗多雷同；我們擁有豐富的資安專業能力、實戰經驗，樂於協助政府與企業做好資安防護，共同提升國內整體資安防護能力；本次參賽的中華電信資安團隊，都擁有長期服務企業資安的經驗，也是這次團隊脫穎而出的成功關鍵。」「HITCON Defense企業資安攻防大賽」是模擬資安防禦團隊(Blue Team)「空降」接手企業網路與資訊系統，同時由大會組成的駭客團隊(Red Team)，展開各式網路攻擊，從埋設後門程式、遭分散式阻斷攻擊(DDoS)、資料隱碼注入攻擊(SQL Injection)、刪除資料庫、到企業資源整合系統(ERP)漏洞等，最後連企業雲端平臺與虛擬私人網路(SSLVPN)都遭受入侵，手法相當激進，也非常貼近真實世界的目標式攻擊手法；但中華電信418團隊運用傑出的資安防禦、弱點挖掘、網路封包等分析能力，找出攻擊來源及手法，快速建立防護體系，才能在這次大賽中一舉奪冠，更顯示出中華電信在資安實戰經驗的豐富資歷。

發佈日期：107/12/8BSI英國標準協會於12月8日頒贈「資安品質精銳獎」給中華資安國際公司，由中華資安國際洪進福總經理代表領獎，肯定本公司從今年初成立，僅僅六個月就完成ISO 27001與ISO 20000標準實踐與驗證，對團隊之技術能量、服務品質、資安治理獲得國際評鑑機構的肯定，這一路走來，說與做一致，就是承諾全心守護客戶的資訊安全，成為企業可信任的資安夥伴，打造一個安全可信任的網路生活環境！

發佈日期：107/8/24中華資安國際以上網資安防護為主題參展「CLOUDSEC 2018企業資安高峰論壇」，並由資深資安架構規劃師於會場上分享「企業如何與ISP合作建構資安縱深防禦網」，企業將資安防線往前推到ISP骨幹網路端，由結合全球及在地化威脅情資與ISP網路連線管控機制，阻絕威脅於境外，不但可降低企業自行佈建資安防禦的複雜度，更可以避免企業網路頻寬遭駭客塞爆及系統效能超載，更可有效降低營運成本，演講資料請按此下載。中華資安國際與中華電信合作提供上網資安防護安全於會場上展示與中華電信合作網路端多項資安防護服務由資深資安架構規畫師王信富經理主講，座無虛席，詢問不斷

前言 「台灣駭客年會社群場」(HITCON CMT 2018)於7/27-7/28為期兩天於南港展覽館舉行，中華電信及中華資安國際在HITCON CMT攤位活動上，設計一個模擬社交工程真實案例的體驗活動，希望以寓教於樂的方式，提醒企業與個人瞭解各種安全防護上的風險因素。 參加者藉由靜態社交資訊搜集的方式(人肉搜索)，利用使用者洩漏的資訊，逐步抽絲剝繭找出使用者的帳號密碼，達到入侵系統的目的，為期兩天的活動共計約250位會眾通過第一階段關卡、80位最終闖關成功，闖關者普遍反應難易適中、解開很有成就感，為呼應「鏈出世界、解密未來」大會主題，攤位成功過關者可參加射飛鏢遊戲，以獲得更多主辦單位發行的HITCON Token虛擬幣，在大會中換取紀念品及獎勵。圖:熱絡的活動現場攤位活動題目解題流程說明 一開始在攤位上取得一張名片，上面載明了公司和該名員工的公開資訊，也就是一般人際交流中就可取得的使用者資料，攻擊目標則是一個只有登入畫面的網站系統。圖:左圖為名片，右圖為目標系統 針對姓名進行搜索，即可找到該人員的Facebook頁面，以及連接的Google+等社交圈，在這些社交媒體中，大頭照及姓名皆為公開顯示，而貼文權限則可由使用者自行決定，許多無隱私觀念的使用者，常會洩漏更多可用資訊，從中可取得個人的喜好與行蹤等。圖: FB頁面 在尋找的過程中，發現該人員使用了Trello的看板式管理網站，其中在待辦事項中，可找到一個開發中系統的功能要求列表，以及Github連結。有些人為求方便分享給朋友，會無意將Trello的權限設為Public，洩漏更多敏感資訊。圖: Trello畫面 在Github中，發現了目標系統的原始碼，以及程式更新紀錄(Commits)，找到了一組帳號及密碼，密碼為一組md5雜湊值。由於Github免費使用者必須將開發專案設定為公開，因此任何人皆可存取，且git的特性是可以對程式碼進行版本控管，每一次commit後的結果都會保存下來，即使在最新版本刪除內容，並無法消除過去的紀錄。圖:從修改紀錄中找回原始的程式內容 在程式碼中可以發現密碼經過了一次md5，因此只能取得雜湊值，但僅進行一次的md5並不是安全的作法，在本案例中，長度8碼、含大小寫英數字及符號的密碼，不需要暴力運算，只需經過Google或利用線上解即可破解還原，取得原始密碼。圖:在網路上即可搜尋到雜湊值的原始明文 利用原始碼中發現的帳號及還原的密碼，即可成功登入系統，至此即完成了第一階段的模擬入侵。挑戰者可繼續第二階段的挑戰，透過常見的流程和程式設計缺失，以及利用前述搜尋過程中的所發現的使用者個人資訊，將另一個系統攻破。結論與建議 在流程中所使用的社交媒介、看板式管理、程式碼版控等網站，本身並沒有漏洞，而是利用人員使用產生的資訊，以某種關聯相連而成社交網路，再與目標公司相關聯後，無形中拉高了對企業的威脅。 攻擊者若直接嘗試入侵本例中的系統，因程式簡單且帳號及密碼強度足夠，入侵相當困難，所以在傳統的弱點掃描或滲透測試，皆無法找出漏洞，但是透過人員洩漏的資訊，最快在10分鐘即可入侵並成為管理者，由此可見，人性的弱點永遠是安全管理上的最大風險。 因此，無論是系統開發、維護或使用人員，皆應進行安全意識的教育訓練與社交工程演練，避免企業的資訊透過類似的管道洩漏，或遭到釣魚攻擊取得，一旦重要的存取點遭駭客進入，立刻門戶洞開，即使建置再多的安全防護設備都無法發揮作用。另外，也建議定期實施包含APT攻擊的進階滲透測試，亦即時下倡導的紅隊演練(Red Team)，以稽核系統和人員意識的安全強度。 最後，密碼保存部份應遵循正確的作法，無論是明文保存或一次性雜湊，皆為常見且錯誤的方式，正確作法應運用「加鹽雜湊」(Salted-Hash)，即先為密碼加上一段秘密長字串(salt)，再重覆進行多次雜湊運算後，才存入資料庫，理想的實作方式是依每一個不同使用者，配置不同的salt，使用者日後輸入的密碼，一樣經過同樣步驟運算出雜湊值，比對之下即可得知是否輸入正確密碼，達到安全保存的目的。

發佈日期：107/7/21 中華資安國際股份有限公司於今(107)年6月以「零缺失」驗證佳績取得「ISO 20000國際資訊技術服務管理認證」及「ISO 27001國際資安管理認證」雙證書，並於7/20由英國標準協會台灣分公司（BSI）蒲總經理親自授證。 本次驗證範圍為SOC資安監控服務與滲透測試服務，針對公司重要資產進行盤點，對可能之風險提出應對措施，重要服務流程亦定期實施營運持續演練，代表本公司所提供資安監控服務(SOC)及滲透測試服務的服務流程及客戶資料的保護已達國際標準組織（ISO）所制定的資訊安全標準。 而本公司同時也通過ISO 20000驗證，代表本公司為盡力提供優良服務，針對本公司所提供的服務品質及客戶服務流程，透過整合人員、流程、資訊系統，並制定作業程序詳細記錄處理過程，與客戶建立良好溝通管道，進行自我服務能力優化，同時定期實施客戶滿意度調查，以提供高品質的服務為目標，使每一位客戶皆能得到滿意的服務。

有感於全球資安威脅遽增，中華電信資安艦隊搭載更先進的裝備挺身出擊，於今（31）日舉辦「HiNet新世代防火牆」上市記者會，由中華電信、中華資安國際及Palo Alto Networks三強聯手推出的「HiNet新世代防火牆」服務建置於中華電信網路機房端，由中華資安國際負責資安威脅的即時攔阻及系統平台的建置，並由Palo Alto Network提供電信等級的資安防護管理設備及後勤支援，幫助HiNet企業上網客戶於網路端直接阻斷駭客入侵，阻絕威脅於境外，成為亞洲地區率先提供服務的電信業者。 中華電信數據分公司副總經理鄭鳴岡表示「台灣是資安的重災區，單靠企業內部的防護已不足以應付多變且複雜的網路攻擊，需將防線往前推至ISP端，由ISP於網路骨幹端攔截攻擊，阻絕威脅於境外，並與企業內部資安構成縱深防禦，透過多層次的防禦架構才能有效阻擋駭客攻擊，就像濾心一樣，經由多道的淨水措施才能提供乾淨健康的飲水。」資安艦隊助國內中小企業資安防禦從「前端」做起 中華資安國際股份有限公司總經理洪進福指出：「我們發現台灣主要面臨五大類的資安威脅包含：「勒索軟體威脅」、「DDoS攻擊」、「IoT物聯網裝置受駭」、「組織型駭客APT攻擊」、「駭客入侵竊取個資」，這些攻擊的共同特性是他們都透過網路來進行攻擊，這也是我們推出「HiNet新世代防火牆」的主要原因」 「HiNet新世代防火牆」採用Palo Alto次世代資安防護系統(NGFW)與中華資安國際的SDN網路防禦架構結合，協助HiNet客戶在ISP網路端直接阻斷駭客入侵攻擊、阻擋惡意連線，並可依客戶的個別需求設定員工禁止瀏覽「不良內容網站」、「降低生產力」、「影音播放」等不同類別網站，協助上網客戶阻絕複雜的網路攻擊，並與企業內部資安防禦架構結合，構築多層次的資安防禦能力，提升網路頻寬效益，並定期寄送安全防護月報、提供全面的資安威脅預警情報，協助客戶強化資安防禦能力。月租型服務節省維護經費，還有資安專家協助管理 「HiNet新世代防火牆」是中華電信資安艦隊的新成員，讓一般企業客戶以月租方式，就能享有先進的企業防火牆所具備的資安防護功效，同時由中華資安國際的資安專家負責管理，企業不需要自己養資安人力，專注於本業經營。。聯手國際大廠中華電信展現資安領航員決心 中華電信秉持「數位經濟的發動機，創新產業的領航員」，這次三強聯手合作推出上網資安新服務，展現中華電信全力發展資安業務，打造安全可信任的資通訊環境的決心，提供客戶優質且安全的上網環境。

發佈日期: 2018/01/16 中華電信轉投資資安子公司「中華資安國際股份有限公司」正式成立，由前中國科技大學資訊學院院長陳振楠擔任董事長，並於今天舉行揭牌記者會，由行政院吳(政忠)政委、國安會李(德財)諮詢委員、交通部賀陳(旦)部長、國家通訊傳播委員會詹(婷怡)主委、國發會何(全德)主任秘書、行政院資安處簡(宏偉)處長、電信技術中心李(漢銘)董事長、台灣網路資訊中心黃(勝雄)董事暨執行長、台灣駭客協會徐(千洋)理事長、中華資安國際董事暨中華電信數據通信分公司馬(宏燦)總經理以及國內外多家知名資安廠商高層主管等超過百位貴賓共同參與揭牌儀式，共同見證新銳資安公司的誕生。會中吳政委表示：「未來四年台灣資安政策發展的藍圖，以打造安全可信賴的數位國家為願景，並以建構國家資安聯防體系、提升整體資安防護機制、強化資安自主產業發展為目標。」，中華資安國際的正式成立，正好呼應了政府發展國內資安自主研發及鼓勵產業新創的政策，並期許繼中華電信之後，能有更多的國內企業投入資安產業及培育資安專業人才，共同打造一個安全、可信賴的資通訊環境。 中華電信鄭優董事長表示，中華電信秉持「數位經濟的發動機，創新產業的領航員」的願景，於106年2月通過鼓勵內部員工創業獎勵作業要點，鼓勵集團內具備領先技術的優秀人才投入創業，這次轉投資成立資安子公司，就是第一個適用這個獎勵作業要點的新銳子公司，並期許中華資安國際公司，不止要成為政府與企業最值得信賴的資安夥伴，更要成為國內資安領導品牌，並帶動國內資安產業發展，形成國家級資安艦隊，前進國際市場。 中華資安國際陳董事長對於團隊成員的資安專業能力深具信心，並表示公司主要業務範圍包含在機房端對消費者及中小企業提供上網電路安全、協助政府機關做到符合資安管理法及前瞻基礎建設計畫的資安強化要求，並協助企業做好資安檢測、防護、監控、管理以及事件鑑識，同時，將快速地與國內外廠商建立更緊密的合作及經銷關係以形成產業供應鏈；就長遠來看，將擴大資安市場服務規模並朝向國際型的公司發展，與國內外ISP合作提供網路資安服務，同時與國內外業者組成國際型銷售團隊，一起將產品推向國際。陳董事長提到，中華資安國際以成為國內資安第一領導品牌，帶動國內資安產業發展，邁向國際級資安公司為目標，未來希望能為國防資安、政府安全盡一份心力，共同捍衛數位國土安全，達成政府「打造安全可信賴的數位國家」之願景。同時強調中華資安國際可以比以前做的更好，客戶可以對中華資安國際的專業品牌更信賴。

發布日期：107年01月15日 資料來源：總統府蔡英文總統今（15）日上午視察中華電信公司「網路資安監控應變中心」，除肯定中華電信在資安產業扮演領頭羊角色，也期許中華電信做國家基礎建設的守護者，以及資安界重要且屬於「臺灣」的國際品牌。總統抵達後，首先聽取海纜、網路及資安等監視系統展示介紹及中華電信資安業務簡報，之後參觀應變中心，實地瞭解現場即時監控工作。總統致詞時表示，很欣慰看到中華電信在資安工作與產業上扮演領頭羊的角色，不只帶動資安產業及技術自主，更以國外市場為目標，帶領國內資安產品廠商，共同組成伙伴聯盟打國際盃。總統說，這段期間以來，政府一直強調「資安就是國安，也是國家級工作目標」。中華電信本身包括對外的國際海纜、整個國家的骨幹網路以及各項軟硬體，都是臺灣非常重要的關鍵基礎設施。因此，相關的防護演練就務必要定期且徹底地實行。對於中華電信長期以來在資安工作上的投入，總統認為，這代表我們會用最高標準來確保資訊安全及國家安全。她也很高興聽到中華電信要另外設立一個子公司，來專業化推動資安業務。總統強調，「資安產業一定是未來產業轉型的關鍵」。現在政府推動的產業轉型，尤其是「5+2」方案，其中的物聯網就是非常重要的計畫。臺灣未來要發展物聯網、科技化、智慧化的生產模式，來帶動整個國家的產業升級，資安就是最關鍵的基礎。總統進一步強調，沒有完善的資安準備，產業升級及新型產業的發展就無法成功。資安本身更是下一個世代最重要的產業，只要有數位內容和資料庫的地方，就是資安產業的商機所在。最後，總統表示，這條路我們是一定要走的，它不僅是產業的發展，更是國家安全核心所在。她也期許中華電信團隊能做到兩件事情，第一，做國家基礎建設的守護者，對於國家產業的發展及轉型所需資安的技術及能量，能充分發展及配合。第二，不只當國內的第一品牌，也要有企圖心，發展成為資安界重要且屬於「臺灣」的國際品牌。包括國家安全會議諮詢委員李德財、郭臨伍、交通部長賀陳旦、中華電信公司董事長鄭優及總經理謝繼茂等亦出席是項活動。