CyberDefenseExersise 介紹

Agenda

2

• 關於資安學習 • 攻防平台介紹 • 攻防平台操作

• 弱點掃描實作 (Base on CDX)

國網中心資安研發現況

3

• 團隊成員具備資訊安全、系統、網路、程式設計、資料庫與管理系統等相關專業證照逾50餘張(CISSP、CEH、CHFI、CCNA、CCAI、ACAI、NCPA、OCP、ISO 27001 LAC、ISO 20000 LAC、BS 10012 LAC、CSA STAR、CCSK、ITIL等)

– 自主研發能量可接軌國際資訊安全組織 • FIRST.org、Shadowserver.org、The Honeynet Project、Cloud Security Alliance

• 成立TWCSIRT(台灣電腦安全事件應變中心)，處理國內外重大資安全事件

• 資訊安全事件調查與數位鑑識 – 平均每月處理超過15,000筆各類資訊安全事件，長期追蹤殭屍網路在國

內的活動軌跡，並與國際資安組織共同打擊網路安全威脅 – 特定類型與APT攻擊事件鑑識與分析

• 誘捕技術與惡意程式分析 – 被動式、主動式以及虛擬化誘捕系統之建置經驗 – 自主研發實體系統之惡意程式分析環境(TWMAN)

• 巨量資料視覺化技術 – 巨量資料快速呈現於視覺化平台，提供資訊安全事件分析與追蹤 – 研發巨量資料探勘與分析技術

學習與瞭解

4

• 國際組織 • The Honeynet Project、Cloud Security Alliance、FIRST、

Shadowserver Foundation… • 國際會議

• The Honeynet Project Annual Workshop、Cloud Security Alliance Congress、RSA、Blackhat、DEFCon、AVAR

• 國內社群 • RAT、SHIELD

• 參加國內會議 • HITCON、資安研討會

• 主辦國內會議 • HoneyCon、CSA Taiwan、IRCON

HoneyCon 2015

5

資安營隊(CSI:Cyber、Hack for Kids)

6

每天不斷的處理與研究資安事件

• 每天收集來自學研網路的攻擊日誌、網路流量

• 每天分析來自6000個IP位址的誘捕日誌 • 每天掌握台灣超過3,000筆的資安事件

• 每天看著CVE編號的成長

• 每天尋著Exploit-Code的實現

• 每天聽著社群網路上的「夢見」與「解夢」

• 每天吸收著來自國際組織的「情資」

• 每天找著Zone-h、烏雲、vulreport上有沒有資安營運範圍內的對象

• … • 要做的事好多，但是資安事件還是不斷發生…

資訊安全問題

8

• 從事件調查看資安問題

• 新型態的攻擊層出不窮

• 傳統安全防禦機制失靈

• 複雜且難以管理的安全政策

• 惡意程式大量出現，自動化攻擊模式影響範圍廣

• 須同時兼顧系統、網路、應用程式與架構上的安全設計

• 身份認證機制

• 無線通訊的安全問題

Security Taxonomy

Mobile Device Security

Encryption

Security Management

Internal Security

Identity & Access Management

Perimeter Security

Storage Security

Physical Security

News

9

http://www.ithome.com.tw/news/103878

10

http://www.ithome.com.tw/news/95020

近期資安事件回顧…

11

勒索軟體(Ransomware)

12

勒索軟體(Ransomware)

13

成為APT的目標？

• APT(Advanced Persistent Threat)-進階持續威脅攻擊

• 通常涉及一個精心製作的漏洞入侵文件，

• 藉由某種形式的社交工程

• 傳送給目標組織或產業中的使用者

• 希望建立取得進入目標組織的管道

國網中心雲端網路攻防平台

15

• 建立完整之平台架構，涵蓋系統管理、網路攻防、網站知識庫

• 同時可應用於「資安人才培訓」與「網路攻防競賽」模式

• 網路攻防

– 資料蒐集：收集最新的主機或應用服務弱點

– 弱點掃瞄：測試目標主機已知弱點

– 滲透測試：驗證目標主機風險的等級

– 入侵偵測：依據現有之知識進行已知攻擊偵測

• 網戰知識庫

– 攻防教材

– 弱點資料庫

– 資安快訊

Honeynet

FIRST CERT/CC

CDX核心架構

16

採用國網中心 Ezilla 平台核心技術 建置於國網中心南部機房

秉持著打造"Carry on Cloud"的概念，不需要重新再花費時間、精力為使用者重新製作其所需要的系統，可以自動根據使用者的需求產生客製的虛擬化節點之映像檔，大大降低使用者在使用雲端資源的門檻，讓每位使用者可以有自己的獨立操作空間，快速輕易地存取雲端的應用程式。

基於雲端服務架構進行網路攻防平台規劃與研發，提供使用者快速取得資安培訓課程所需之環境與工具，並應用於攻防競賽與企業擬真網路，融入弱點檢測、法透測試、資安領域之資料科學分析所需之環境。

配合平台進行資訊安全人才培訓

17

• 網路攻防演練平台培訓 – 課程：運用平台所使用之弱點主機與資安工具進行課程講授，學生利用此本平台可進行學習成果驗證

– 競賽：運用此本台進行不同型式之競賽方式 • 資安實習

– 提供弱點主機研發實習，掌握攻防雙方所使用的之手法，進而設計出新釋出的弱點主機

– 安排進行資安資料分析

提供對象

18

• 提供對象 • 大專院校資訊安全相關課程 • 校園資安社群申請使用

• 平台身份

• Virtual Private Cloud管理者(老師或申請人) • 主機使用者(學生或社群)

CDX入口網站

19

資安軟體市集

20

• 提供軟體市集服務架構 – 收錄常用於資安培訓課程之資安工具(以OpenSource為主) – 可協助快速建立課程所需之環境

資安軟體市集

21

• 使用配發的Vpn帳號密碼登入後 • 輸入ftp://192.168.66.66

競賽平台規劃與建置

22

提供校園資安社群一個實驗平臺 可做攻防實驗及任意用途的私有雲平台 封閉網路環境的雲端主機透過VPN進來 支援競賽類型

Jeopardy Capture The Flag King of The Hill (封閉的虛擬企業網路)

開放的計分平臺 送答案得分 輪詢服務存在與否 取得各隊分數 Restful API

你可以用CDX進行

23

• 資安教學 • 老師可以自行上傳設計的教學範本或是由系統提供的範本（例如：Kali Linux)

• 情境(網路掃描) – 老師介紹網路掃描技術的時候,可以使用Kali Linux 的範本對特定目標主機進行網路掃描

Port :80 ,21 ,22,3306 Scanning

資安相關技術研究

24

• 使用情境 – Ddos 研究 – Pentest – 惡意程式測試 – 資安工具測試

25

• 資安競賽 • Jeopardy • Capture The Flag • King of Hill （封閉的虛擬企業網路）

攻防平台操作

26

• 平台基本功能操作 • 建置你的第一台主機 • 弱點掃描操作實務

VPN 連線

27

• 使用FortiClient • http://www.fortinet.com.tw/resource_center/produ

ct_downloads.html • 根據你的作業系統選擇適當的版本

• IP Address : 140.110.112.1：10443 • 帳號/密碼 : 系統配發

28

帳號密碼管理

29

• https://cdx.nchc.org.tw

虛擬機基本操作

30

• 建置 • 基本操作 • 重新啟動 • 關機

192.168.66.160:9869

31

32

建置虛擬機器

33

填寫虛擬機名字

填寫密碼

選擇老師提供的範本

34

基本操作

35

guest os 操作

36

• guest os 操作除了可以使用 vnc之外 如果是Linux 可以使用ssh 連線（假設有開ssh 服務）, windows 的話可以使用rdp （假設有開rdp 服務)

關機

37

重新開機

38

刪除機器

39

弱點掃描實作（Base on CDX)

40

• 使用範本並且各開一台機器 • OpenVAS 8.0 • Metasploitable2_0429

弱點掃描的定義

41

• 用來檢查網路或作業系統的安全性 • 模擬攻擊者所發出的攻擊動作 • 可提供網路管理人員做為弱點修補之依據，以提昇安全性 • 與防毒軟體的做法相似，依據所謂的「弱點特徵資料庫」來

• 測試是否存在已知的漏洞

42

• 弱點掃描器透過預先載入的系統漏洞資訊對目標資訊設備進行模擬攻擊。

• 弱點掃描的4個階段： - 主機探索 - 連接埠掃描 - 系統服務確認 - 漏洞探測 - 安全評估結果產出

43

• 針對系統服務的弱點評估 - Nessus(http://www.tenable.com/products/nessus ) - Openvas ( http://www.openvas.org/ )

• 針對Web 應用程式的弱點評估

- O-scan ( http://www.freewebscan.com/index.html ) - Vega ( https://subgraph.com/vega/ )

OpenVAS 介紹

44

• OpenVAS 為一套全面且強大的漏洞掃描及管理解決方案的一個框架

• OpenVas 是使用 Nessus 2 為基礎發展的開放原始碼弱點掃描軟體。

• 目前提供了35,000 的弱點掃描資料庫。

45

46

47

• 請將指定的範本啟動 • 確認IP 資訊是否正確 • 進行弱點掃描

檢測到什麼樣的弱點呢？

48

Q & A

49

cdx_support@narlabs.org.tw