2017年1月4日 星期三

105 年 11月份 TWCERT/CC資安情資月報

在資安政策方面,各國皆制定相關政策,國內推出智慧型手機資安檢測,而美日英大學合作組成研究小組以共同研究網路攻擊,另泰國陸軍設立資安中心,此外美國防部發表數位漏洞揭露政策,擴大抓漏獎勵計畫。
在駭客攻擊事件方面,於金融領域部分,俄資安公司統計今年歐洲12國發生ATM遭駭的盜領事件,另英國Tesco銀行驚傳數千名個人帳戶金額不翼而飛 銀行緊急暫停線上交易功能;在資料外洩部分,多起網路攝影機使用預設值,恐遭有心人士監控;在攻擊手法部分,駭客團體Strontium使用微軟零時差漏洞進行攻擊;另英國國民健康署醫療體系疑似遭勒索軟體感染。
在軟硬體漏洞部分,Adobe、Google、Microsoft、Mozilla、Moxa、Cisco、CA、ISC、VMware、Symantec、OpenSSL及NTP皆存在漏洞,並需進行安全更新。
在本月專題彙整分析部分主題為亞太區電腦緊急事件回應小組(APCERT),並分別介紹APCERT簡介、2016年APCERT AGM年會簡介、2016年APCERT AGM年會開放會議議程及亞太區資安發展趨勢,供讀者能對區域大型資安組織能有進一步了解。 

國內外重要資安新聞

國內外資安政策、威脅與趨勢

1、美日英大學合作組成研究小組以共同研究網路攻擊

由於國與國間的合作益發重要,日本應慶大學及東京大學、美國史丹佛大學(Stanford University)與英國牛津大學(University of Oxford)為首等13間大學共同組成研究小組,以研究未知的網路攻擊及其應處方法,並研究各企業及各國政府間遭受攻擊態勢,結果將提供給社會大眾應用。
發起人之一的應慶大學手塚悟教授指出,對現代人來說,網路已經如同水及空氣般重要,因此目標是以跨國方式研究出能讓大眾安全及安心的網路環境。

(資料來源:日本NHK NEWS WEB)


2、智慧型手機資安檢測,最快明年六月上路

國家通訊傳播委員會(NCC)第721次委員會議2日通過「智慧型手機系統內建軟體資通安全檢測機制相關規範草案」,並將在近日進行法案預告,徵詢各界意見,預計最快明年六月開始實施。
 NCC發言人翁柏宗指出,針對智慧型手機作業系統與內建軟體進行資安檢測,目前只有中國大陸,因此會先以鼓勵方式,函請行動通信業者,並請行政院協調公共工程委員會修改契約規範,希望綁約手機和公務手機,盡量通過資通安全檢測認證。
 基礎設施事務處副處長徐國根也說,這次檢測是以智慧型手機作業系統及內建軟體為檢測對象,目前規劃安全檢測等級將分初、中、高三級,其中初級是針對基本隱 私保障,包括手機安全性功能與個人資料相關保護;中級則包括使用中、儲存和傳輸中的進階資料保護機制;至於高級,則要求確保機密資料不會被竄改或被不正當 獲取。
 徐國根表示,通過資通安全檢測認證,並不代表智慧手機就是絕對安全,一旦發現新的漏洞,NCC會要求業者限期改善,然後會視改善狀況決定是否撤銷資通安全認證。
 (資料來源:臺灣ETtoday)


3、泰國陸軍設立資安中心,以監控社群媒體

泰國陸軍於11/1宣佈設立資安中心,該中心聽令於陸軍少將Ritthee Intrawuth,除了監控社群媒體是否出現叛國內容,也保護自身免於駭客攻擊。陸軍總司令Chalermchai Sitthisart指出,此中心有助於防禦網路攻擊、促進陸軍現代化,並幫助訊息傳播。同時他也表示,現在有許多遭曲解的訊息在網路及社群媒體上散播,但民眾不見得有能力分便資訊真實性,陸軍有義務建立機制並訓練人民分辨真假資訊,以免人民被欺騙或遭煽動。
 (資料來源:香港蘋果日報)


4、國內手機系統軟體安全檢測規範出爐,明年中可望上路

智慧型手機的普及,逐漸成為駭客攻擊、竊取資料的目標,手機內系統軟體存在後門或漏洞,讓有心人士得以蒐集使用者個資,例如最近一家中國Android韌 體業者被發現擅自透過後門蒐集使用者手機內的裝置及通訊內容,另一家同樣來自中國的韌體業者遭爆有漏洞,讓駭客得以取得根權限執行任意程式。
 為推動手機資安防護,NCC於11月初通過「智慧型手機系統內建軟體資通安全檢測技術規範」等草案,明確訂立手機系統軟體安全檢測規範,未來草案經過預告 蒐集各方意見,明年6月可能就會施行。新通過的檢測規範以手機系統、硬體、預載軟體(不包含使用者自行下載安裝App)等層面,明定手機的安全防護及隱私 保護檢測要求,NCC未來將委託第三方單位測試,由手機業者自主送測。
 檢測規範將智慧型手機系統內建軟體的安全性分為三級,初級、中級、高級。初級以保護使用者的基本隱私為主,例如手機的安全性功能及個資保護,而中級則是進 階的資料保護為主,必需提供完整的保護,涵蓋資料的使用、儲存及傳輸,高級則需確保手機的核心底層不被竄改或非法存取資訊。NCC要求送測的手機至少需達 到初級。
 NCC基礎設施事務處副處長徐國根表示,目前世界各國或組織對手機的安全規範並沒有強制手機業者執行測試,國內草案也採取業者自律的精神,由業者自行送測 取得安全分級,站在鼓勵及資訊充份揭露的立場,NCC將公告通過檢測取得安全認證分級的業者送測產品,以供國內消費者採購時的參考。有別於手機業者自行送 測,NCC希望行動電信商積極送測旗下銷售的綁約手機,而手機安全檢測規範未來也會供政府機關公務手機的採購規範。
 有鑑於部份不肖App未經使用者同意即蒐集個資,Google在Android 6.0以上提供App存取資訊的權限控制功能,App存取麥克風、相機、聯絡人、定位等資訊必需獲得使用者同意,NCC呼籲注重隱私的民眾儘量使用Android 6.0以上版本手機。
(資料來源:臺灣IThome)


5、美國防部發表數位漏洞揭露政策,擴大抓漏獎勵計畫

為了強化網路安全,美國國防部(Department of Defense,DoD)於11/1展開兩項行動,一是發表國防部漏洞揭露政策(DoD Vulnerability Disclosure Policy),其次是延續「入侵國防部」(Hack the Pentagon)計畫,推出新的「入侵軍隊」(Hack the Army)計畫。
 該政策針對美國國防部旗下的所有網站提供安全研究人員一個回報漏洞資訊的準則,美國國防部部長Ash Carter表示,他們希望能夠鼓勵電腦安全研究人員協助DoD改善防禦能力,並透過正式管道來促進DoD的網路安全及美國國家安全。
 此外,有鑑於DoD今年4月開跑的「入侵國防部」抓漏計畫成效良好,該部門再接再勵推出「入侵軍隊」計畫。這兩個計畫都是採用邀請制,其中,「入侵國防 部」抓漏計畫總計邀請了逾1400名駭客參與,至少有250名駭客提報1個以上的漏洞,其中有138個漏洞獲得獎勵,共發出15萬美元的獎金。「入侵軍 隊」抓漏獎勵則是著重於與營運有關的網站,特別是負責軍隊招募任務的網站,以確保暢通的從軍管道。DoD目前已邀請500名駭客參與。  
 (資料來源:臺灣IThome)


6、中國允許外國科技公司參與建立網路安全標準

中國首次允許外國科技公司參與中國國家互聯網信息辦公室下屬委員會,並建立資安標準,該委員會稱做全國信息安全標準化技術委員會(Technical Committee 260,TC260),TC260參與資料儲存及加密等快速發展中技術的討論。據報導指出,這些公司包含 Microsoft、Cisco、Intel及IBM,他們是以工作成員的身分積極參與,而非只是觀察員。目前Microsoft及Cisco已證實此項消息,Intel及IBM則尚未有回應。
EastWest Institute副總裁Bruce McConnell指出,這些美國公司所參與的討論仍處於初期階段,有逐漸積極的趨勢,但未來會不會對於中國政策有主要的影響還很難說,而這些公司的參與在某些方面則證明了兩國間所簽署的網路協議是有作用的。
(資料來源:美國SC Magazine)

駭客攻擊事件及手法

1、駭客團體Strontium使用微軟零時差漏洞進行攻擊,建議用戶更新

10月31日Google在微軟還未發布修補程式情況下,公佈了一個Windows重大零時攻擊漏洞(CVE-2016-7855),理由是已經看到有攻擊發生,微軟指出發動攻擊行動的是名為Strontium的俄羅斯駭客團體。這個Windows零時攻擊需要結合Windows核心及Flash漏洞,經由瀏覽器入侵使用者電腦。由於Adobe Flash已經修補好漏洞,因此升級Flash已可以降低部份被駭風險,Windows核心的漏洞修補程式已在測試中,計畫於11月8日的每月周二(台灣時間為周三)安全修補(Update Tuesday)發佈給所有客戶。
該駭客團體Strontium又名Fancy Bear或APT 28,在今年美國民主黨和世界反禁藥組織都曾遭到這個組織入侵竊取美國總統候選人選務及奧運選手醫療資料。也對希拉蕊陣營競選團隊主任發出釣魚信件騙走Gmail郵箱密碼。由於Strontium被認為與俄國情治單位和俄羅斯政府有關,美國政府也因而點名俄國企圖藉此影響美國選情。

2、英國國民健康署醫療體系疑似遭勒索軟體感染,緊急公告僅能提供部分醫療服務

英國國民健康署(National Health Service)在10月30日遭惡意程式感染,導致系統全面停擺,北林肯郡暨Goole NHS基金會(The Northern Lincolnshire and Goole NHS Foundation Trust)透過Twitter表示,決定關閉並且隔絕開受感染系統,但不願透漏更多資訊,而資安專家表示醫療院所使用電腦多數未安裝修補程式,恐怕面臨網路攻擊,例如勒索軟體(請參閱參考連結1)。
趨勢科技表示醫院有不能停機的關鍵系統,因此成為勒索軟體眼中的肥羊,建議醫療院所務必教育員工如何辨識可疑的網路釣魚(Phishing)魚電子郵件。這類攻擊絕大多數都是利用針對員工設計的社交工程(social engineering )電子郵件。郵件中會挾帶惡意附件與惡意連結,並藉由誘人的內容來誘騙使用者開啟附件或點選連結。

編註:TWCERT/CC提醒用戶,若疑似發現遭感染勒索軟體,務必採取:立即行動、處理病毒及復原電腦等三階段的處理作業,詳情請參考國家資通安全會報彙整之緊急處理及預防方式:
https://drive.google.com/open?id=0B8oCQC6r_SnsN0VZYTE4a21Ra0U

3、多起網路攝影機使用預設值,恐遭有心人士監控,建議用戶修改預設帳戶及密碼

本中心接獲通報某網站暴露多款無身份驗證機制或使用預設密碼之網路攝錄影機畫面,允許任意使用者觀看即時影像畫面,進而造成機敏資訊洩漏。
目前已知某網站所收錄網路攝影機品牌列舉如下: 
  1. 安訊士(Axis) 
  2. 松下(Panasonic) 
  3. 索尼(Sony) 
  4. 福斯康姆(Foscam) 
  5. TPLink 
  6. Linksys 
  7. NetCam 
  8. Defeway  
編註:TWCERT/CC建議,定期檢查郵件伺服器是否有異常紀錄或網路行為,並確保裝有最新版本的防護軟體,以免遭駭客利用TWCERT/CC提醒用戶留意與自行設定管理事宜,網路攝錄影機使用者應確認網路攝錄影機是否無身份驗證機制或使用預設密碼,並持續注意相關訊息,以及可參考下列建議措施降低網路攝錄影機風險: 
  1. 啟用身份驗證機制,並修改網路攝錄影機預設密碼,變更為符合複雜度要求之密碼。 
  2. 設定防火牆限制IP與埠(Port)的連線位址。

4、英國Tesco銀行驚傳數千名個人帳戶金額不翼而飛 銀行緊急暫停線上交易功能

英國Tesco銀行11月7日驚傳有數千名個人用戶資金不翼而飛,銀行對外表示目前暫停所有線上交易的服務。據一位英國民眾投訴表示上周末在未使用該帳戶情況下損失£700(約2萬6千元台幣)。根據dailymail新聞指出,疑似遭有心人士側錄銀行用戶的磁條式的卡片資訊,包含卡號及開始和截止使用日期。目前Tesco不願透漏更多資訊,TWCERT/CC將持續追蹤。

編註:WCERT/CC提醒用戶竊取個人帳戶資訊層出不窮,這類的「黑色產業鏈」正在興起。
犯罪手法可能包含
  1. 讓你主動送出資訊:不法之徒冒充親友、銀行、通訊運營商撥打你的電話或發送簡訊,讓你主動告知你的銀行卡資訊。
  2. 免費給你提供wifi,散播病毒圖片或軟體,攻擊你常用的網路平台,或在你刷卡付費時複製銀行卡磁條訊息。
  3. 勾結掌握你個人用戶訊息的內部工作人員來取得。
而用戶也應注意以下資訊以防盜刷:
  1. 使用POS機刷卡消費時,應仔細核對。改裝過的POS機通常是通過偽造證件申請的,因此刷卡紀錄上顯示的「商家資訊」跟實際消費情況不符。
  2. 避免綁定存有大量資金的金融卡,同時應設置交易限額,一旦發生盜刷,可以將損失控制在一定額度。
  3. 建議儘快將手中的「磁條卡」換成「晶片卡」,避免卡片被複製盜刷。特別是對於改裝POS機的新型犯罪方式,使用晶片卡是目前最安全的交易方法。
  4. 如果真的發生了卡在手裡,錢卻被盜刷走了的情況,首先應立即給發卡銀行或支付機構打電話凍結或掛失銀行卡帳戶,避免損失擴大並及時報案。


軟硬體漏洞資訊

1、Adobe發佈Flash Player和Connect安全更新

本次安全更新修補了Adobe Flash Player及Connect漏洞,這些漏洞是由於輸入驗證不足,可能導致跨網站指令碼攻擊、資料洩漏及遠端執行程式碼等問題,請用戶儘速更新,駭客可以利用這種漏洞攻擊方式,輸入惡意之指令至受影響產品,進而達成特殊目的。


2、Google發佈Chrome之安全更新

本次安全更新修補了Google Chrome高風險漏洞,惡意人士可透過讓使用者瀏覽事先建立之惡意網頁後,便可觸發漏洞、規避部份安全限制,導致瀏覽器無預警關閉等。


3、Cisco發佈多項產品安全更新

本次安全更新修補了多項產品之安全漏洞,部分漏洞是由於受影響設備輸入驗證不完全,導致緩衝區溢位,駭客可能利用這種漏洞攻擊方式,透過特殊的惡意請求,發送給受影響系統TL1端口即可觸發此漏洞,導致設備無預警重啟。

4、ISC發佈BIND安全更新

BIND(Berkeley Internet Name Daemon)是現今網際網路上最常使用DNS伺服器軟體,使用BIND作為伺服器軟體的DNS伺服器約占所有DNS伺服器的九成。BIND現在由網際網路系統協會(Internet Systems Consortium)負責開發與維護。
本次安全更新修補了BIND存在阻斷服務攻擊漏洞,該漏洞是由於在resolver.c程式處理時內容只要包含DNAME紀錄,可能觸發"REQUIRE assertion",進而導致阻斷服務,駭客可能利用這種漏洞攻擊方式,在服務器中傳遞特製惡意內容,可能導致服務器發生"REQUIRE assertion",並且停止服務。


5、Microsoft發佈11月份安全性公告

本次安全更新修補了Microsoft漏洞,例行性更新釋出了14項安全公告,其中有6項屬於可遠端執行程式的重大(Critical)等級,部分漏洞是由於當Windows輸入法編輯器不恰當的處理DLL的載入時,存在權限提高弱點。沒有輸入法編輯器並沒有任何影響,如果本機驗證的攻擊者開啟蓄意製作的應用程式,則這些弱點中最嚴重者可能會允許允許遠端執行程式碼。

6、Moxa發佈OnCell版本安全漏洞

本次安全更新修補了OnCell版本的安全漏洞,該漏洞是由於設計缺陷,導致駭客可以透過特定URL來下載文件、執行任意命令等。於產品含有跨網站偽造請求弱點,駭客可能利用這種漏洞攻擊方式,未經授權的用戶可以通過訪問特定的URL來下載文件。未認證的用戶能夠通過Web控制台執行任意命令。

7、Mozilla發佈Firefox、Firefox ESR安全更新

本次安全更新修補了Firefox、Firefox ESR之安全漏洞,部分漏洞是由於瀏覽器在處理SVG文件時未正確過濾,導致緩衝區溢位,駭客可能利用這種漏洞攻擊方式,透過上傳惡意SVG文件,觸發該漏洞,進而導致瀏覽器崩潰。


8、OpenSSL發佈安全更新

OpenSSL是OpenSSL團隊開發的一個開源的能夠實現安全連結層(SSL v2/v3)和安全傳輸層(TLS v1)協議的通用加密庫,它支持多種加密算法,包括對稱式密碼、Hash算法、安全散列算法等。
本次安全更新修補了OpenSSL之安全漏洞,修補了3個安全漏洞,其中一個屬於高風險的阻斷服務(DoS)漏洞,存在於採用CHACHA20-POLY1305密碼套件的TLS傳輸,屬於堆積緩衝區溢位漏洞,駭客可能利用這種漏洞攻擊方式,可採用CHACHA20-POLY1305密碼套件,利用該漏洞造成拒絕服務(暫存損毀)。 


9、NTP發佈NTPD多個漏洞更新 

本次安全更新修補了10個安全漏洞,其中有一個屬於高度嚴重漏洞,可能導致分散式阻斷服務攻擊。除了解決了10個安全漏洞之外,ntp-4.2.8p9亦修補了28個非安全性更新及改善其他效能,駭客可能利用這種漏洞攻擊方式,未經身份驗證的遠程攻擊者,發送特製之封包導致阻斷服務攻擊。

10、VMware發佈多項安全更新

本次安全更新修補了Horizon View之安全漏洞,該漏洞是由於設計不當所導致,如果web設計者設計的web內容沒有恰當的訪問控制,允許http遍歷,攻擊者就可以訪問受限的目錄,並可以在web根目錄以外執行命令,駭客可能利用這種漏洞攻擊方式,通過訪問根目錄,發送一系列”../”字符來遍歷高層目錄,獲取系統文件及服務器的配置文件等等,並且可以執行系統命令,甚至使系統崩潰。
此外也修補了Workstation and Fusion的安全漏洞,該漏洞是由於drag-and-drop(DnD)函式存在內存訪問漏洞,導致駭客可以在工作站或作業系統上執行任意程式碼,駭客可能利用這種漏洞攻擊方式,傳遞惡意參數至drag-and-drop(DnD)函式,觸發此漏洞,進而執行任意程式碼。


11、Symantec發佈產品安全更新 

Symantec發佈更新,解決Symantec IT Management Suite(ITMS),Symantec Ghost解決方案套件(GSS)和Symantec Endpoint Virtualization(SEV)中的DLL加載問題,駭客可能利用這種漏洞攻擊方式,特製惡意DLL替代授權的DLL,可能導致駭客使用較高權限執行任意程式。
此外也修補了Norton及Symantec的安全漏洞,該漏洞是由於DLL檔案預載的問題,當lib被載入時,不當的限制將觸發此漏洞,導致駭客可以執行任意程式碼,駭客可能利用這種漏洞攻擊方式,透過惡意DLL檔,觸發此漏洞,進而執行任意程式碼。

12、Schneider發佈安全更新 

安全研究專家在對施耐德ConneXium工業級乙太網防火牆進行安全檢測時,在該系列防火牆產品的Web管理接口中發現了一個緩衝區溢出漏洞。如果能夠成功利用該漏洞的話,那麼攻擊者將可以在目標設備中遠程執行任意代碼,攻擊者可以利用這個漏洞來修改目標設備的防火牆規則、竊聽網絡數據、注入惡意流量。除此之外,攻擊者還可以乾擾正常的網絡通信。需要注意的是,安全研究專家還專門強調稱:即使攻擊者不具備非常高的黑客技術,他們仍然可以利用這個漏洞來對防火牆系統實施攻擊。
另外一個安全更新修補了IONXXXX Series Power Mete安全漏洞,該漏洞是由於產品含有跨網站偽造請求弱點,駭客可能利用這種漏洞攻擊方式,透過某些方式偽造網站合法使用者的身份進行非法的存取動作,而在使用者瀏覽網站其他頁面時即會將此認證資訊回傳伺服器以便進行其他操作,但如此時使用者在不自覺的情況下瀏覽了駭客置入攻擊代碼的網頁,駭客即可使用相同一份身分驗證資訊發送操作動作回該認證網站進行攻擊。


13、CA發佈Unified Infrastructure Management安全更新

本次安全更新修補了Unified Infrastructure Management之安全漏洞,該漏洞是由於駭客可透過外部輸入來構造一個路徑名,導致駭客可以遍歷檔案系統訪問的檔案或受限的目錄之外的目錄,駭客可能利用這種漏洞攻擊方式,創建或覆蓋檔案或執行任意代碼,如程式或資料庫的關鍵檔案。


 專題彙整分析 – 亞太區電腦緊急事件回應小組


國際上區域型的資安組織不在少數,其中亞太區電腦緊急事件回應小組(Asia Pacific Computer Emergency Response Team,APCERT)是由位於亞太地區的電腦緊急回應小組(Computer Emergency Response Team,以下簡稱CERT)及資安事件處理小組(Computer Security Incident Response Teams,以下簡稱CSIRT)所組成之聯盟,目標為以資訊共享、互信及合作,來達到亞太區的網路安全。本章節將會依序介紹APCERT簡介、2016年APCERT AGM年會簡介、2016年APCERT AGM年會開放會議議程及亞太區資安發展趨勢。
圖1、APCERT Logo

1、APCERT簡介

目前APCERT包含來自亞太區20經濟體的28個會員及3個企業支援會員,其中台灣有3個組織皆為會員,包含了擔任國際合作溝通及協調的TWCERT/CC、負責政府單位的TWNCERT及負責電子商務領域的EC-CERT等三個CERT。APCERT之主席、副主席及委員會於每年年會時進行改選,經2016年改選後,目前主席為CERT Australia,副主席為MyCERT,秘書為JPCERT/CC,委員則為CERT Australia、CNCERT/CC、JPCERT/CC、KrCERT/CC、MOCERT、MyCERT及TWNCERT。APCERT每年都會舉辦年會、網路攻防演練及線上教育訓練等活動,讓亞太區的各個國家都能掌握最新資安態勢,以有效防範網路攻擊。
APCERT使命如下:
  • 強化亞太地區及國際間的資訊安全合作
  • 協同發展大規模或區域性網路安全事件的處置作為
  • 促進成員間資訊共享及技術交流,其中包含了資訊安全、電腦病毒及惡意程式代碼
  • 促進成員間協同合作研究及發展主題
  • 協助在此區域的CERT和CSIRT進行有效且高效率地處理電腦危機
  • 提供跨區域資訊安全及危機處理,相關法律問題的建議
為了達成以上目標,APCERT建有6個工作小組(WG),並各自針對不同的目標努力,以達成維護亞太區網路安全的目的,6個小組及其介紹分別如下:
  • Cyber Green WG:負責討論如何促進安全的各項指標,讓各會員能夠利用公式、技術及工具,以評估所屬組織內網路健康程度,是否存在風險,並可提升風險緩解的能力。在提升自身能力的同時,也找尋分享資訊的最佳方式,除可以達到維護網路環境乾淨的目的,也能將成功經驗分享至更多單位。
  • Information Sharing WG:目前由CNCERT/CC所主導,負責識別來源資訊對APCERT會員的可用性,並分享給其他會員,目前正在開發會員間的資訊交換系統,以利情資快速交換。
  • Membership WG:目前由KrCERT/CC所主導,負責審視目前會員能力及適當協調工作,同時也持續拓展多方合作關係,挖掘潛在會員,並協調新組織加入APCERT。
  • Policy, Procedures and Governance WG:目前由CERT Australia主導,負責訂定方針及協助APCERT營運時所需要的組織與章程,並調查各會員的能力發展狀況。
  • Training WG:目前由TWNCERT所主導,負責透過整體化的教學及訓練過程,提升會員在事件應變時的發展、作業及管理能力,平時也安排舉辦資安教育訓練供會員參加。
  • TSUBAME WG:目前由JPCERT/CC所主導,負責透過封包監測流量系統TSUBAME來監測亞太地區可疑的掃描活動,並將所觀察到之攻擊態勢分享給相關組織。

2、2016年APCERT AGM年會簡介

2016年APCERT AGM (APCERT Annual General Meeting & Conference 2016)年會於105年10月24日至105年10月27日在日本東京Royal Park Hotel舉行,此次年會主辦單位為JPCERT/CC,主題則訂為「Borderless Cooperation, Seamless Action -Towards a Cleaner, Greener Cyber Space-」,旨在以無邊界合作為目標,打造乾淨的網路空間,使網際網路系統生態環境能更加乾淨及健全。此次會議共有22個會員組織、2個企業支援會員組織及7個觀察員組織出席。
圖2、APCERT AGM 2016參與會員
 會議議程分為閉門會議及開放會議,內容包含各國或組織近期技術發展成果、政府政策或資安態勢等。閉門會議僅提供會員及受邀者參加,會分享較機敏的資訊,而開放會議則只要事先報名即可參加。


3、2016年APCERT AGM年會開放會議議程

由於閉門議程涉及機敏及內部資訊,因此僅擷取部分開放會議議程進行介紹。

3.1、IoT Threat and IoT Botnet

本議題由TWNCERT主講,主講者分享目前台灣物聯網裝置中毒現況,包含實際掌握在台灣DVR淪陷狀況達4599台,Web Camera達895台,Router 達629台。多數是使用出廠預設ID/Password,有些廠牌設備預設ID/Password甚至印在使用者手冊中,在日本也有類似狀況,這些設備原設計是在封閉網路環境,一旦被放到連接Internet環境中,缺乏防護的弱點就暴露無遺。
圖3、TWNCERT主講台灣物聯網裝置中毒現況

3.2、Sponsor speech: CSIRT as a part of Risk Management

本議題由Deloitte Tohmatsu Risk Services Co., Ltd的北野晴人(Haruhito Kitano)先生主講,其中強調企業應該結合人才、技術與流程(People, Technology, Process)來建立有效的 CSIRT組織,CSIRT組織必須與其他部門如:IT運作、IT管理、人資、法務、公關有效溝通及合作,並整合包含SOC、IT、Business等相關流程,包含建立事故應變總部(Incident Response Headquarter),處理偵測、分類、初步應變、細部應變等流程。
在SOC運作基礎上建構CSIRT,CSIRT組織工作包含技術(IT)面及業務(Business)面,重要的是建立「事故應變總部」(Incident Response Headquarters),綜理事前研判到事故發生後的應處與溝通,是個很值得參考的運作架構。


3.3、Collaborative Research for Development of CSIRTs in Vietnam

此主題由VNCERT主講,VNCERT屬於政府管轄,由於越南為共產國家,因此政府有權力直接對人民網路進行處置,例如若有民眾電腦中毒成為殭屍並發送攻擊,VNCERT有權力可以直接將民眾IP封鎖,以解決資安事件。越南由於民眾普遍資安意識不高,往往公司決策者也無資安意識,執行資安規定時也極為鬆散,導致資安事件層出不窮。因此,VNCERT開始一項計畫,藉由協助企業內政策制定、提供教育訓練及製作工具包,讓國內各企業提高資安意識,並建立企業內CSIRT,雖此計畫仍有極大進步空間,但對國內資安意識提升已逐漸產生成效。


3.4、Engaging the ISPs in Effective National Network Abuse Handling

此主題由SYNOPSIS主講,主講者提到一般的網路使用者可能並不知道自己的裝置遭遇何種資安風險,其ISP業者也不會主動告知,或協助使用者解決資安問題,而各國CSIRT在過去數年來,資安技術皆已大幅進步,若是CSIRT能與當地ISP業者建立良好合作及互信關係,即可有效解決許多資安問題,並能快速協助資安事件應處。冰島、芬蘭、愛沙尼亞等國已整合ISP業者力量,降低國家網路的濫用,而芬蘭CERT與ISP合作有15年了,而愛沙尼亞訂定了五個階段的合作進程,很值得借鏡。


4、亞太區資安發展趨勢

資安發展趨勢日新月異,目前各國皆開始重視物聯網(IoT)及工業控制系統(ICS)的資安威脅,例如在TSUBAME Workshop中,JPCERT/CC透過在Honeypot中所佈建的62個感應器中,掌握到前五大常被掃描及攻擊的Port,例如Port23/TCP(Telnet),此類Port 常用在連網攝影機、NVR等嵌入式設備,攻擊者成功取得這些設備權限後,則可利用受控制設備組成殭屍網路大軍,對目標發動DDoS攻擊,前陣子美國所爆發的Mirai病毒即是一例。另外日本也有工業控制用的PLC設備由於使用預設密碼,造成暴露在網路上的真實案例,各種設備的預設密碼都十分容易取得,一旦未經妥善設定導致不明人士取得控制權,即可能釀成巨禍。台灣目前也有極大量連網設備有相同情形,往往在安裝設備後僅使用預設設定,導致有心人士可未經授權直接存取該設備,因此TWCERT/CC應極力宣導相關資安知識,以免美國網路遭癱瘓事件在我國發生。
另由各國資安成熟發展程度可得知,政府態度及願意投資多寡為極重要因素,例如韓國KISA及新加坡CSA等,皆為政府投注大量資金及資源,以能有效建立國內資安防護能量,而資安相關政策的制訂也能幫助資安事件應處,例如若要求ISP業者與CERT組織密切配合,即能加快資安事件處理速度。
有許多國家為了掌握最新駭侵樣態及惡意樣本,紛紛在國內外佈建誘捕網,並尋求跨國合作,例如JPCERT/CC希望建立跨國資安預警平臺,CNCERT/CC也建立APCERT資料交換平台,但國際中資安情資資料交換目前遭遇最大問題即是各家資料格式標準不一,且往往只能透過E-mail進行事件通報或分享情資,造成各國組織在收到資訊後需要花費大量人力及時間,才能將情資轉換內化為內部使用。而國際組織在開發各項系統時,應採取STIX及TAXII等國際標準資料格式,除可避免人力浪費,也能加快與國際情資分享或通報平台介接。

沒有留言:

張貼留言