訊息專區

2019/11/5中華資安國際參與11月5舉行之ATD資安論壇暨資安人才培育成果發表暨就業媒合，其中洪進福總經理於資安論壇暢談「數位轉型之資安防護之道」，有以下重點：資安技術不只是保護價值(Protect Value)，更重要的是擴增價值(Expand Value)威脅是不可控的，企業應該將重心方在企業弱點管理(Vulnerability Management)，降低資安風險資安要做好須從管理面、技術面、教育面三方下手，建立企業資安防護體系經營者不一定要懂資安，但一定要要求企業主管知彼知己，知道威脅在哪裡?漏洞怎麼管?務實的面對風險企業主管應該掌握企業的IT資產、網路設備的可視性、監控足以動搖企業根本的惡意活動，搭配管理制度，就能有效控制資安風險此外中華資安國際檢測團隊並於會中分享「那些年，我們在滲透測試發現的奇葩案例」，引起熱烈的迴響。

2019/9/9中華資安國際游峯鵬副總受邀於108年9月19日於南港展覽館1館舉行之國際半導體展(Semicon)之資安論壇，分享「系統整合x資安- 從系統整合觀點看資安新銳」，暢談近期觀察到高科技產業/半導體產業最新的資安市場需求方向，觀察國內近期新興企業產品，從自身經驗分享產品方案合作策略建議。

資料來源：關鍵評論網 2019/10/21 數位轉型議題正熱，搭配上緊接而來的5G時代、AI應用，全球企業都想在這波轉型中抓住機會、過彎超車。尤其是最先實現轉型的商業場景，如工業物聯網、自駕車、虛擬娛樂應用等，更是大家摩拳擦掌等候應戰的新舞台。但是，在網路更加快速、新科技更加智慧、虛擬化更加普遍的趨勢下，仍存在著一個不可忽視的隱憂──那就是「資訊安全」。想像一下，當一間企業的業務有80%以上需要仰賴通網設備，或是如同純網銀這樣全面倚賴網路的商業模式，只要一受到惡意的網路攻擊，就可能產生巨大的損失，甚至影響到整體社會安全。 根據知名產業公司Frost Sullivan在2018年5月公布的研究報告，光是2017年，台灣因為資安威脅造成的損失即高達新台幣8100億元，幾乎等同全國5% GDP。甚至就連台灣科技龍頭台積電，也曾在2018年時發生產線中毒大當機，短短兩天就蒸發了52億，引發了大家對資安的關注。擁有多年資訊安全防禦經驗的中華資安國際，是台灣目前唯一可以提供一站式整合服務方案，並從網路機房端為企業進行資安防護的企業；總經理洪進福表示，在這波數位轉型下，無論是政府或企業都是希望藉由新科技帶來更智慧、自動化與效率的產出。「在新科技的出現下，伴隨而來的就是駭客與網軍的威脅，只要有需求、就會有缺口。」也因為如此，他強調，資安將是未來企業競爭力的一環，唯有安全的資安管理，才能迎戰數位轉型新時代。不只金錢損失，資安也影響人身安全在多數情形下，資安所造成的損失都與金錢相關，或是營運中斷、導致企業競爭力下降等。例如常見的「阻斷服務攻擊（DDoS）」，可能讓電商網站癱瘓、無法順利運作；或是2017年令人聞風喪膽的勒索病毒「WannaCry」，也可能對工廠產線惡意加密、直接讓生產停擺，進而要求企業支付贖金；又或者是駭客竊取企業智慧財產或營業秘密，導致企業競爭力下降，除此之外，資安的漏洞也可能影響到社會的安全。中華資安國際副總游峯鵬「萬一國家的重要基礎建設，像是通網的醫療設備、無人機、無人車等遭受到惡意攻擊，危害的就不只是金錢或競爭力，而是直接衝擊我們的生命安全。」洪進福說。不可不慎！最常見的5種資安漏洞在我們迎接數位轉型的同時，為了要避免資安漏洞造成企業損失，首先必須了解最容易發生問題的地方在哪裡，才能夠加以防範。根據洪進福的經驗指出，企業最常出現資安漏洞的地方有5處：1.網路缺口：「有接口，就有缺口。」只要連上網路，就讓威脅有機會入侵公司內部。2.系統漏洞：公司使用的系統可能具有漏洞。可以透過紅隊（Red team）的檢測，對系統進行模擬入侵攻擊、找出需要填補的漏洞。3.網站、應用端漏洞：凡是有對外公開的資訊、或是提供上載服務，甚至是Email，都讓駭客有機會直入家門。4.人員漏洞：有人的地方就會有安全缺口，因此要加強員工的資安思維，不要隨意點開惡意信件或隨意使用隨身碟等。5.供應鏈漏洞：這是許多企業忽略的關鍵。如果公司的上下游沒有做好資安，而讓惡意病毒透過交貨或交流時進入公司內部，就會造成巨大損失。Photo Credit：TNL Brand Studio建立紅藍紫隊思維，守護企業命脈既然知道常見的資安漏洞，那麼作為企業，究竟應該如何建立起完善的防備、守護企業資產，並且順利迎接數位轉型？洪進福表示，資安可分為「紅、藍、紫」三隊，紅隊是站在「不知攻、焉知防」的角度，以道德駭客的方式找出企業自身漏洞；藍隊是以守備概念，在企業管理制度、技術框架與人員訓練上進行強化；而紫隊則是站在監控的角度，全面改善公司內部的資安管理進程。因此，企業應建立三色檢測思維，以守護企業命脈。不過，中華資安國際副總游峯鵬也提出：目前企業面臨的困境在於企業資源，由於台灣多半是中小型企業，很難在有限資源下建立完整的資安團隊。然而，企業仍可以透過整合外部資安服務與內部人員管理，建立強固的防禦邊界、守護企業珍貴的資產與商業命脈。

2019/8/8中華資安國際於108年8月8日受邀參加資通安全管理法採購指引懶人包推廣說明座談會，楊士弘資深顧問於會中與眾多公務機關分享關鍵基礎設施資通安全管理法實施重點，依資通安全責任分級規劃管理面、技術面、認知訓練面進行說明。

中華資安國際Red Team團隊發現，國內知名電子郵件系統具有多項漏洞(CVE-2019-15071、CVE-2019-15072、CVE-2019-15073)，指出國內知名電子郵件系統具有跨網站腳本攻擊(Cross-Site Scripting)與未經驗證的轉址與導向(Open Redirect)等漏洞，影響範圍包含政府、教育與金融等至少約40個機構，簡述如下：CVE-2019-15071：攻擊者可在不經過任何身分認證情況下，進行跨網站腳本攻擊，郵件系統多個版本都存在此漏洞，弱點發生頁面為/cgi-bin/go，此漏洞可歸類於OWASP TOP 10 2017之A7 - Cross-Site Scripting(XSS)類型中。CVE-2019-15072：攻擊者可針對任意參數進行跨網站腳本攻擊，郵件系統多個版本都存在此漏洞，弱點發生頁面為/cgi-bin/portal，此漏洞可歸類於OWASP TOP 10 2017之A7 - Cross-Site Scripting(XSS)類型中。CVE-2019-15073：攻擊者可在不經過任何身分認證情況下，進行未經驗證的轉址與導向，郵件系統多個版本都存在此漏洞，弱點發生頁面為/cgi-bin/go，此漏洞可歸類於CWE-601: URL Redirection to Untrusted Site (Open Redirect)類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用電子郵件系統者，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：聯繫廠商盡速安裝修補更新檔。2.郵件系統開發商：在程式開發過程中應針對輸入參數做檢查。3.郵件系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

資料來源：資安人報導 2019/10/30 當聽到工控系統遭遇到駭客攻擊時，這類資安威脅感覺似乎離我們非常遙遠，但自從工控資安事件在台灣落地之後，大家才驚覺工控資安的威脅已經兵臨城下，可能產生巨大損失、甚至影響人身安全，是企業必須重視的議題。IT與OT結合　帶入資安威脅?! 工業4.0成為製造業追求的方向之後，以往封閉式的工控環境也慢慢開始走向開放式，與網路的連接頻率也提高，這讓工控設備成為駭客覬覦攻擊的目標。中華資安國際副總經理游峯鵬表示，工控環境重視的是生產效率、工安及環安，對資安重視的程度相對比較薄弱，直到台灣發生工控環境遭受勒索病毒威脅的資安事件，導致企業遭受到嚴重金額損失之後，大家才警覺到原來工控資安事件已經在台灣落地，工業控制系統的資訊安全是企業不可忽視的問題。 工業控制系統正面臨數位轉型的過渡階段，從用來分析工業控制系統架構的普渡（Purdue）模型可以看到，其中Level 0屬於機器手臂、自動車等工控設備，Level 1則是由一群PLC、DCS或RTU等控制器組成，也就是控制網路，控制器會接收來自於Level 2中工業用人機介面HMI（Human-Machine Interface）的指令，Level 3則是工廠機房中的核心路由器、防火牆、工程師工作站（EWS）、歷程資料伺服器（Historian）等設備，Level 4-5則是從遠端企業總部連接到工控系統的機器。其中的Level 0-3稱之為OT（Operation Technology），Level 4-5一般則稱之為IT（Information Technology）。 游峯鵬表示，從普渡模型可以看出，當OT與IT相結合之後，Level 4-5的IT環境中的ERP、檔案伺服器等系統若遭受網路攻擊，威脅長驅直入也會連帶影響到Level 0-3的OT環境，並且在行動裝置普及化、物聯網應用進入工控環境之後，讓駭客入侵的管道更加多元，此外，來自操作人員、供應商所帶進來的資安威脅缺口也不容忽視，OT環境想要降低資安風險，必須更重視SOP的落實， 並可參考國際工業控制安全標準（如NIST SP 800-82或ISA/IEC 62443）建立工控環境安全框架，來確保工控系統的安全性。<img width="554" src="/images/archive/1576548088196.jpeg" alt="一張含有 牆, 個人, 男人, 室內 的圖片 自動產生的描述" class="fr-fic fr-dii"> 想要落實工控環境的資安防護，必須先從資產盤點與風險評估著手，游峯鵬誠心的表示建議，現在的工控設備相當多元，加上企業因應工業4.0與數位轉型時工業物聯網裝置的加入，使得工控環境中的資產盤點與評估工作變得更為複雜。企業工控環境要做好資安，應該從管理、技術、訓練三大構面來進行，管理制度是最重要的部分，沒有組織人員、流程、工具是不可能把資安防護做好的，即便有了管理制度，還需檢視能否落實管理？能否有效建立技術防護能力？技術是指組織建立資產設備的可視性，確實掌握資產的所在位 置與連線狀態，確保沒有「幽靈資產」存在，定期對工控環境做資安健檢，並建立偵測監控、緊急應變、鑑識復原的技術框架及能力，找出漏洞以及不正常的網路活動，才能夠做好隔離、管控、告警等資安工作。而訓練則是有鑒於『人』經常是組織資安防護的最大缺口，透過定期訓練可以提高資安認知，強化資安技能，有效提高資安防護能力。豐富的政府專案經驗 奠定專業資安服務角色 中華資安國際提供客戶完整的IT與OT資安解決方案，舉凡事前資安防護與檢測、事中資安監控與管理、事後緊急應變與鑑識，以及資安顧問等服務。 對於OT環境資安服務，中華資安國際除提供風險評估顧問服務，也提供資安健檢與監控服務，因為OT環境非常重視可用性，因此在進行資安導入時，為了不能影響其運作，會先以被動方式用「聽」的來進行，也就是利用收集網路活動資料進行分析，包含建立資產、網路連線、正常行為基準線(baseline)的可視性，以進行隔離性檢測、偏離基準異常檢測、網路惡意活動檢視等，並協助建立OT-SOC（Security Operation Center，資訊安全監控中心），對異常行為提出告警，進行實質的7x24監控工作。中華資安國際除了參與政府油、水、電工程專案的資安健檢與風險評估工作，協助政府從公共設施OT場域環境中找出資安風險，也協助智慧醫療、智慧機械環境資安的健檢與監控機制的部署，這種應用牽涉到隱私權與醫療風險，資安議題顯得更為重要。 最後，游峯鵬副總經理強調，資安設備、軟體只是工具，最重要的還是專業知識與經驗，中華資安國際對於IT與OT都擁有豐富的領域專業知識，獲得許多資安比賽大獎並且協助客戶面對艱難的資安威脅。對於未來看好的5G網路發展，智慧城市、車聯網、智慧工廠等IoT及IIoT的應用即將起飛，中華資安國際也正在積極布局，將在未來更為嚴峻的網路世界，自我期許可以成為更進一步的專業資安服務廠商的角色。

近年伴隨數位科技與網路應用迅速發展，企業面臨與日俱增的資安威脅，也讓資安防護的重要性不斷攀升，成為數位經濟與產業創新的關鍵基石。展望2020年，中華資安國際總經理洪進福預期，包括法規、威脅、新科技、時間演進等四大驅力，將推動資安產業繼續前進。關於法規，隨著資通安全管理法施行、許多國家的個資法規、金融業資安法規等日趨嚴格，導致企業的資安法遵壓力愈來愈大。關於威脅，近幾年資安事件層出不窮，網路入侵、勒索病毒、資料外洩、DDoS、APT等都對政府與企業造成很大的威脅和危害，預期來年企業仍將與這些風險相伴為伍。關於新科技，隨著5G、工業物聯網IIoT、智慧聯網AIoT、車聯網、自駕車、區塊鏈等新技術、新應用的開展，勢必帶來新的資安缺口。關於時間，多數人都清楚，隨著時間演進，幾乎每天都會發現新的系統、應用或技術的缺口、漏洞。當然，如果企業沒能及時防患於未然，就可能給了駭客可乘之機，造成政府或企業的嚴重損失。表面看來，哪怕資安威脅再大，似乎只有從事資安工作的人會戒慎恐懼，一般人並不太關心。但洪進福認為，企業主並非不在意威脅，而是更在乎資安威脅造成的影響，例如，「營運中斷」、「金錢勒索」、「資料外洩」或「智財權遭竊」，所以討論資安威脅，必須回過頭來扣合這些痛點，才有助於喚醒企業主的資安意識，更願意找方法來面對資安威脅，以及解決問題。洪進福認為，企業要做好資安，應該從管理、技術、訓練三大構面來進行。管理制度是最重要的部分，沒有組織人員、流程、工具是不可能把資安防護做好的，即便有了管理制度，還需檢視能否落實管理？能否有效建立技術防護能力？技術是指組織建立關鍵資產盤點、防護架構、偵測監控、緊急應變、鑑識復原的技術架構及能力；訓練則是有鑒於『人』經常是組織資安防護的最大缺口，透過訓練可以提高資安認知，強化資安技能，有效提高資安防護能力。例如，企業可以參照ISO 27001管理制度、NIST IPDRR資安架構，建立企業資安的基線(Baseline)，並持續PDCA管理循環，才能有效精進資安防護能力。藉由紅隊演練，釐清所有曝險介面具體做法上，首先企業應自問有什麼東西最珍貴，釐清需嚴加保護的關鍵資產；接著思考如何把它們擺在安全位置，意即建立防護架構、常態性偵測機制，隨時監看有無不明人士擅動這些資產；緊接著萬一出事，企業亦應設法做到快速應變處理。簡言之，欲做好資安防護，必須兼具事前的防禦、事中的監控與應變、事後的鑑識與重建。中華資安國際副總經理游峯鵬說，駭客決定攻擊標的時，會看對方自保能力夠不夠，能力愈強的企業，遭受駭客入侵機率較低；因此建議企業將資安做得更細緻，先把端點、電子郵件、網站等重要出入口盤點清楚，再據此建立防禦與應變措施。洪進福呼籲，企業進行資安布局，須同時看兩大面向，其一是管理面，需要建構完善的管理制度，否則即便有再強的防護設備，也難產生好的防禦效果，另一是技術面，切記「有網路接口、就有資安缺口」，務必盤查所有出入口，釐清企業對外的曝險介面，再推動相應的防禦、檢測等作為。總之，唯有「制度化管理」，才能將資安帶入常軌、成為企業日常營運的一部分，否則日子一久，隨著人員異動、系統上下架或網路架構改變，都可能導致資安退化。「管理是說法，落實要靠做法，我們透過『稽核』來檢視說法和做法是否一致，但要能看清真相，就得仰賴動手執行『檢測』。」洪進福說，舉凡紅隊演練(Red Teaming)和滲透測試(PT)，皆是『資安檢測』的服務項目，主要是以駭客觀點，探索或挖掘可能的入侵缺口，藉此提醒企業瞭解自身防護架構的不足，並輔導企業該如何補強防護、彌補資安缺口。如果沿用事前、事中、事後的概念，Red Teaming、PT 等檢測服務，算是事前的一環，另外像是事中的 SOC監控應變、事後的鑑識復原，從事前到事後都是中華資安國際的服務範疇。與一般系統整合商最大不同，在於中華資安國際擁有豐沛的網路、系統、資安專家，更能綜觀全局，將資安設備部署在最適當的位置，搭配網段上的分艙隔離、管控機制，同時掌握即時ISP網路資安威脅情資，形成最大防禦功效。值得一提，中華資安國際結合母公司中華電信的HiNet網路服務與行動上網服務，在網路局端提供企業上網資安防護服務，以協助企業搭建縱深防禦架構，從源頭將攻擊行為、異常訊務加以攔阻。展望今後著眼於企業雲端化程度攀升，有必要強化雲端防護能力，中華資安國際規劃於2020年1月開始提供雲端WAF服務，協助企業做好網站資安防護；此外，因應企業上雲的產業趨勢明朗，接下來也將推出落實雲端存取安全代理程式(CASB)服務，用來保護企業存放在雲端的資料與商業活動，盡全力協助企業降低資安風險。

中華資安國際資安檢測團隊，去年在執行金融機構電腦系統資訊安全評估的過程中，找出SWIFT系統具有Log注入的高風險（CVE-2018-16386），SWIFT平台是環球銀行金融電信協會(Society for Worldwide Interbank Financial Transfers)的全球金融銀行機構交易資料交換系統，超過200個國家與地區的11,000多家銀行與證券商使用，也是駭客的重要攻擊目標之一，過去三年間，就有包含台灣在內的多家銀行，因為相關系統遭駭客入侵而損失超過25億元。該弱點不需要登入即可遠端Log注入，CVSS v3.0風險評分為7.5 High，簡述如下：CVE-2018-16386：中華資安國際白帽駭客獨家挖掘出SWIFT Alliance Web Platform 7.1.23存在Log Injection漏洞，攻擊者可利用系統Error log功能,寫入任意字串到任意log檔案中，若搭配其他的任意檔案引入弱點一起使用，就可能達成遠端執行指令碼攻擊例如：攻擊者可以將攻擊指令寫入到log中,再載入該log內容，即可達成cmd injection之攻擊。一旦攻擊成功，攻擊者將可取得受害主機所有控制權。開發廠商接獲通報後已配合儘速釋出相關更新，SWIFT系統敏感性較高，漏洞情資在去年通報後，直到今年才公開發佈，建議仍在使用SWIFT 7.1.23(含)以前版本的金融機關或企業，儘快聯繫廠商進行系統更新。若無法立刻更新，建議採取以下減緩措施與檢查：1.定期檢查Log內容是否有特殊寫入資訊。2.在程式開發過程中應確保每個功能在執行前皆進行權限檢查，若權限不足則不允許存取。3.程式開發人員應運用白名單或正規表示式進行參數檢查，以避免遭到惡意語法注入，建議開發廠商導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

中華資安國際Red Team團隊發現，國內知名數位學習平台具有系統指令注入的重大風險（CVE-2019-11062），由於影響範圍包含政府、教育與金融等至少約50個機構，且不需要登入即可遠端執行指令，CVSS v3.0風險評分為9.8 Critical，簡述如下：CVE-2019-11062：具有系統指令注入漏洞，攻擊者可在不經過任何身分認證情況下，在注入頁面的basePath參數放入任意系統指令，且參數檢查機制可遭到繞過。一旦攻擊成功，攻擊者將可取得受害主機控制權，或上傳網頁木馬（Webshell）取得主機管理者帳密、資料庫帳密等資訊。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用數位學習平台者，建議儘快聯繫廠商進行修補更新。若無法立刻更新，建議採取以下減緩措施與檢查：1.關閉/teach/course/doajaxfileupload.php連線路徑，使其無法進行作業。2.開啟WAF設備檢查basePath欄位，阻擋任何OS指令(包括編碼之後的版本)。3.檢查是否有其他新建立的檔案(未知檔案)已被上傳成功，如發現檔案應立即進行事件處理。4.網路連線設備單一session連線至/teach/course/doajaxfileupload.php頁面而未有認證session id之紀錄，應立即進行封鎖或阻斷連線。5.在程式開發過程中應確保每個功能在執行前皆進行權限檢查，若權限不足則不允許存取。6.程式開發人員應運用白名單或正規表示式進行參數檢查，以避免遭到惡意語法注入，建議開發廠商導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

中華資安國際Red Team團隊發現CVE-2019-11232及CVE-2019-11233，指出國內知名公文編輯系統具有兩個敏感資訊洩漏的重大風險，可歸類在OWASP TOP 10 2017A3-Sensitive Data Exposure類型中，由於波及範圍廣泛，CVSS v3.0風險評分為9.8 Critical及7.5 High，簡述如下：CVE-2019-11232：洩漏用戶在該系統中的密碼，且該密碼使用不安全的儲存方式，攻擊者相對易於破解加密的內容，進而獲取明文。CVE-2019-11233：洩漏如員工編號、員工信箱、部門資訊等內部機敏資訊。攻擊者可在未登入的情況下，串聯以上兩項漏洞以直接取得使用者的帳號密碼，登入系統存取公文等機敏內容，或是在獲取員工的組織資訊後，透過社交工程或APT攻擊來竊取內部更機敏的資料。目前開發廠商已釋出相關更新程式，若機關或企業有使用公文編輯系統者，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：在開發過程中確保每個功能在執行前皆進行權限檢查，若權限不足則不允許存取。密碼的儲存應採取加鹽雜湊，即在欲保存的原始密碼加上長字串(salt)，再透過強度較高的雜湊演算法(例如SHA-256)多次運算後才存入資料庫。近幾年惡意程式數量與變化更是大幅增加，駭客手法也日新月異，企業可以經過系統化的資安檢測與專家經驗的輔助來降低風險指數，建議企業需定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保企業資訊安全的有效性。