雲端資訊安全實務

蔡⼀郎研究員

GoogleMe.

2

• 蔡⼀郎 Steven• 學歷：國⽴成功⼤學電腦與通訊⼯程研究所博⼠候選⼈• 現任：財團法⼈國家實驗研究院 國家⾼速網路與計算中⼼ 研究員• 重要經歷：

– 國⽴成功⼤學研究發展基⾦會 助理研究員– 中華民國資料保護協會 1st監事– 中華民國南部科學園區產學協會 5th理事、6th監事– 台灣科技化服務協會 3rd理事– 台灣雲端安全聯盟 1st理事長– 台灣資訊安全聯合發展協會 1st 監事– TheHoneynetProjectTaiwanChapter,Leader– CloudSecurityAllianceTaiwanChapter,FounderandDirectorofResearch– TaiwanComputerSecurityIncidentResponseTeam,ManagerandResearchFellow– 部落客：http://blog.yilang.org– Facebook:Yi-LangTsai– ⾃由作家

• 電腦圖書著作34本• InformationSecurity(資安⼈)、LinuxGuide、NetAdmin、網路資訊等⽂章，計80餘篇

• 專業證照：– RHCE、CCNA、CCAI、CEH、CHFI、ACIA、ITILFoundation、ISO27001LAC、ISO20000LAC、BS10012LAC、

CSASTARAuditing

⼤綱

• 從資安事件談起• 創新的雲端服務時代• 成長中的資安領域• 資料、資訊與情資• 從事件調查看資料• 資安是⼀場永無⽌盡的競賽

©CloudSecurityAlliance,2015.

經典資安事件回顧…

4

• 公眾的服務• 機敏資料的保護• 系統、軟體、程式開發

©CloudSecurityAlliance,2015.

經典資安事件回顧…

5

因真實世界的衝突，造成虛擬世界攻擊接⼆連三...

©CloudSecurityAlliance,2015.

經典資安事件回顧…

6

• 網路上的即時服務• 線上遊戲• ⾦融交易• 物聯網(IOT)

• 涵蓋⼈類⽣活所需

7

Apple Store Google

8

•

• TheHoneynetProject CloudSecurityAlliance FIRSTShadowserverFoundation…

•

• TheHoneynetProjectAnnualWorkshop CloudSecurityAllianceCongress RSA Blackhat DEFCon AVAR

•

• RAT SHIELD

•

• HITCON

•

• HoneyCon CSATaiwan IRCON

HoneyCon2015

9

(CSI:Cyber HackforKids)

10

每天不斷的處理與研究資安事件• 每天收集來⾃學研網路的攻擊⽇誌、網路流量

• 6000 IP

• 每天掌握台灣超過3,000筆的資安事件

• 每天看著CVE編號的成長

• 每天尋著Exploit-Code的實現

• 每天聽著社群網路上的「夢⾒」與「解夢」

• 每天吸收著來⾃國際組織的「情資」

• 每天找著Zone-h、烏雲、vulreport上有沒有資安營運範圍內的對象

• …• 要做的事好多，但是資安事件還是不斷發⽣…

雲端時代的⾰命

• 當我們身處⼀個快速變化與資訊洪流的時代，企業如何凝聚營運智慧，以適應這個時代︖

• 當企業發展需要跨出國界時，如何因應資訊服務架構上的調整，以符合企業永續發展的需求︖

• 資訊安全對於企業的影響，遠⾼出我們現有的認知，⾯對新型態的資訊安全威脅，企業該如何因應︖

請思考以上的問題︖

資訊的增長速度以秒計算

• IDC預計全球資料量將急速攀升– 從2013年至2020年將成長10倍的資料量，資料總量將從4.4ZB增加至44ZB

– 其中有三分之⼆的資料量是由個⼈所產⽣，約為2.9ZB– 2013年，全球有60％的資料來⾃於成熟市場，也就是已開發國家，包含美、加、紐、澳、⽇、西歐，僅約30％的資料來⾃於新興市場，包含中國、巴西、印度、俄國和墨西哥

– 2020年，情況則相反，60％的資料來⾃於新興市場，⽽成熟市場的資料量則降至40％。

資料來源：IDC說明：1 Zettabyte (ZB) = 1,024 EB = 1,048,576 PB = 1,073,741,824 TB

當網路無國界時

• 跨國企業需要⾯對與解決的問題–私有企業網路(私有雲)的建置

–內部機敏資料的傳輸與保護

–資訊安全防禦架構與應變機制

–企業營運資料存續與應⽤

–雲端架構下的應⽤軟體

物聯網(IOT)的興起

• 物聯網(IOT, Internet of Things)

– Internet：網路提供資訊傳遞的平台

– Things：⼈、物、通訊、資料…等

• 資通訊的環境以⾏動通訊為主 – ⾏動裝置的時代、無線通訊為主

• 資訊交換時間的縮短

• ⾼速運算能⼒的需求

• 巨量資料的加值與應⽤

• 下⼀代的網路(NGN)

– 資訊交換的⽅式改變

– 資訊交換的對象多樣化

穿戴與可攜裝置

雲端架構下的資安問題

• 虛擬化衍⽣的安全問題– 網站應⽤服務主機

– 網路交換器

– 資料儲存

• 端點裝置的安全– ⾏動裝置的使⽤(BYOD)與安全政策

– 雲端內部主機的風險管理

• 傳統資訊安全防禦架構的失能– 防⽕牆、入侵偵測系統

– APT攻擊

創新的雲端服務

• 傳統網路應⽤服務的轉型– 雲端化– 虛擬化– ⾏動化

• 雲端服務的多樣化– 電⼦郵件– 協同作業– 社群網路– 物聯網路– 通訊網路

⾏動裝置的發展

19

雲端能源管理時代

20

Internet

山寨版的熱⾨軟體

• ⽬前在GooglePlay市集中有相當多款不同發⾏者的angrybird、神魔之塔等熱⾨的軟體

21

⾏動裝置的資安威脅

• 資料遺失(Dataloss)– 設備遺失、退休的設備等

• 惡意程式(MobileMalware)的資訊竊取• 應⽤程式的資安威脅

– 寫的不好，造成資訊處理風險• 設備的弱點

– 作業系統、應⽤程式、裝置設計• 通訊的資安威脅

– 不安全的WiFi通訊、暱名(不合法)的AP存取點• Insecureorroguemarketplaces• 管理功能不⾜

– 身份管理、功能限制• NFC與近場通訊的安全

– NFC通訊的風險、駭客就在你身邊

NFC成為資料竊取的管道…

23NFC只有在螢幕開啟時才有作⽤，所以…

資訊安全問題

24

• 從事件調查看資安問題

• 新型態的攻擊層出不窮

• 傳統安全防禦機制失靈

• 複雜且難以管理的安全政策

• 惡意程式⼤量出現，⾃動化攻擊模式影響範圍廣

• 須同時兼顧系統、網路、應⽤程式與架構上的安全設計

• 身份認證機制

• 無線通訊的安全問題

SecurityTaxonomy

MobileDeviceSecurity

Encryption

SecurityManagement

InternalSecurity

Identity&AccessManagement

PerimeterSecurity

StorageSecurity

PhysicalSecurity

資安事件回顧…

25

(Ransomware)

26

(Ransomware)

27

成為APT的⽬標︖

• APT(AdvancedPersistentThreat)-進階持續威脅攻擊

• 通常涉及⼀個精⼼製作的漏洞入侵⽂件，

• 藉由某種形式的社交⼯程

• 傳送給⽬標組織或產業中的使⽤者

• 希望建⽴取得進入⽬標組織的管道

討論APT攻擊的第⼀件事

• ⼀定要有⽬標• ⽬標要有價值• 價值要夠吸引⼈

⼈才是發動APT攻擊或被APT攻擊的對象

駭客的中繼站後台…

30

• 攻擊發起基地

• 提供資訊集散

– 攻擊⼯具

– 資訊回收

• 友善的使⽤者界⾯

• 具備快速攻擊指令集

• 遠端遙控受駭主機

• 解碼/解密服務

• 整合網路搜尋資源

真實世界與虛擬世界的戰爭

31

每天不斷上演…

32

來⾃網路上的資訊…

33

34

惡意程式資料庫

建置TWMAN分析架構，提供網路威脅與惡意程式行為分析 ● 建置誘捕平台偵測惡意攻擊

• 6,000+誘捕系統 • 搜集平均60GB/天巨量資料

● 國內唯一惡意程式知識庫 • 收集超過1,300萬種惡意程式樣本

● 建立台灣電腦安全事件應變中心TWCSIRT ● 接軌國際資安組織，掌握全球網路安全威脅情資

• 資訊整合監控– 以N-Tier監控架構，進⾏設備資訊收集與狀態監測– ⾃⾏開發web-based資訊安全監控平台，以整合設備監控、網路流量分析、資訊安全事件、流程管理系統與報表系統

– 採⽤opensource為基礎架構，降低維運成本• 視覺化分析平台

– 建置網路流量、系統⽇誌紀錄視覺化分析平台– 以動態⽅式呈現數據資料– 結合地理資訊呈現

資安資訊整合監控平臺

國網中⼼SOC防護機制特⾊

36

• 建置於國家⾼速網路與計算中⼼• 涵蓋範圍

– TANet出⼜、雲嘉區網、⾼澎屏區網– 花蓮區網、台中區網(101年7⽉)– 台南區網、台東區網(101年12⽉)

• 全天候資訊安全監控中⼼– 具備全天候資訊安全事件偵測、分析與應變能⼒

– 主動發佈資訊安全事件– 結合國際資訊安全情資進⾏偵蒐

• 擁有被動與主動偵測系統– 區網中⼼建置入侵偵測系統與誘捕網路– 收集惡意程式樣本與進⾏威脅分析– 具備快速分析與分享惡意網站能⼒，提供各級網管單位進⾏防護

資訊分析架構

Collection Analysis Detection Tracking Reaction

佈建Honeynet/偵測系統

•收集惡意程式 •收集Bot 樣本 •偵測Attack Connect •偵測Malicious Web Server •收集校園網路行為資訊

產出

•惡意程式樣本 •系統日誌

建置Traffic Flow平台

•收集邊界路由器Netflow •收集攻擊流量 •收集惡意程式流量

產出

•Netflow流量資料

分析技術

•Cloud Computing •Hiding Channel •Behavior •Correlation •Fast-Flux Domain

產出

•惡意程式特性行為報告

檢測技術

•數位鑑識 •Sandbox測試 •TWMAN測試 •IP位址判定 •反組譯與逆向工程 •Testbed •Fast-Flux Domain測試

產出

•惡意網站黑名單(Blacklist) •Botnet Master

分析技術

•通訊協定分析 •統計分析 •關聯性分析(演算法)

產出

•Netflow協定分析平台

追蹤技術

•將Blacklist整合至Netflow平台 •整合過濾規則以實現自動預警機制 •由點、線擴展成全面的追蹤

產出

•Botnet Community •Botnet關聯圖

應變機制

•SOC資訊安全事件標準作業流程 •事件分類與分級 •服務水準協議(SLA)

產出

•資訊安全事件通報平台 •通報並提供參考方案 •通報ISP，提供防禦方案或步驟 •ISAC資訊交換 •攻擊事件圖

事件通報

37

惡意程式的追蹤

38

• 趨勢– 單⼀樣本– 惡意程式家族分析– 全球趨勢

• 影響範圍• ⽬標

– 攻擊端、受攻擊端

資安事件攻擊軌跡追蹤

• 由惡意程式來源進⾏追蹤– 取得惡意程式來源位址

– 確定惡意程式攻擊⽬的

– 進⾏來源追蹤

• 結合網路流量分析影響範圍– 由已知攻擊來源

– 分析骨幹網路流量

– 確定受害主機39

40

Bug?

41

Zone-h上的資料

43http://www.wooyun.org/index.php

Google:DigitalAttackMap

http://www.digitalattackmap.com/

DDoS⼯具

46

當DDoS風暴來臨時

47

什麼是DDoS︖

48

• 有⽬標、有理想的攻擊

• 來源分散、不容易阻擋

• 當成為⽬標時最有感覺

• 對企業影響範圍⼤

• 網路的連結，讓攻擊者無所不在

DDoS的結果

49

看看殭屍網路的活動

50

無線網路安全

51

寵物是我們的好幫⼿

52

• ⼈類的好朋友，也是收集資訊的好管道– 寵物的視野

• GoPro等運動攝影機

– 資訊技術的應⽤

53

如何收集資訊︖

54

• 環境中的資料– WiFi等無線訊號

– 影像

• ⽅法– ⾶⾏器

– 偽裝

駭客的中控台

55

⼤眾運輸系統的安全︖

56

• 雲端服務平台與開放資料的安全問題• ⼤眾運輸系統安全將造成社會安全的隱憂

⾏⾞安全的隱憂

57

• 科技來⾃於⼈性• ⾏⾞資訊的數位化• 下⼀波的資安問題

實體SQLInjection

58

簡訊詐騙

59

當Google成為資安⼯具︖

60

filetype:xls site:.tw

-IOT

61

62

•

•

•

• ...

63