駭客是怎麼思考的?|從 Devcore Conf 學駭客思維
媽阿,原來電影裡演的都是真的
Hello 大家好,我是 Luka,一名喜歡追新技術並喜歡做些有趣嘗試的工程師。這次來的是分享參加 DEVCORE CONF 2019 的心得與收獲。
這篇以 Web 前端、後端工程師的角度來分享參加 DEVCORE CONF 2019 的心得。適合「 Web 工程師」或是「想要多了解一點資安觀念的人」閱讀。如果你本身已經是從事資安行業了,那麼這篇文章對你來說可能太淺,請到 DEVCORE 官網 觀看專業的技術文章。
簡單介紹一下 DEVCORE 戴夫寇爾這家資安公司,在我參加 DEVCORE CONF 之前已耳聞 DEVCORE 的大名,但我一直搞不清楚資安公司的不同之處。
參加完 DEVCORE CONF 之後,我才知道原來 DEVCORE 這麼厲害,回報了非常多的 CVE 漏洞,在國際的駭客比賽中也常獲得獎項。和他們平常到底做些什麼事情。話不多說,趕快來進入正題。
全部講者都是駭客的年會
必須說這個體驗真的超狂的,一家公司獨自舉辦一個研討會,並且所有講者都是「駭客」。議程裡大概有一半是分享「如何攻陷別人的公司」的過程與方法,而且當講到攻陷時的那一刻時,你會感受到講者眼睛裡閃耀著光芒,展現出了純粹的喜悅(抖~~。
( 因為主辦單位提到勿公開與會者,因此用海苔條保護與會者隱私。)
這是 DEVCORE CONFERENCE 2019 的主設計,在牆上貼著有著很大 Attack 字樣的海報,傳遞了一個訊息:
攻擊!攻擊!再攻擊!純攻擊導向的資安研討會
這實在是太有趣了,一般資安大會大部分以防禦者的角度,為了防止某種攻擊方式,所以「要用怎麼樣的方式防守」或是「要安裝怎麼樣的硬體設備來防守」。
聽完之後往往會覺得疑惑 : 「這真的是攻擊者會採用的策略?」或是「這樣防禦真的就防的著了嘛?」,這些問題就是 DEVCORE CONF 2019 整個研討會的主軸 「從攻擊者的角度制定防禦策略」要解決的問題。
了解駭客思維,你才能了解從哪邊下手會是有效的防禦策略。
進入駭客的思考領域
第一個思考點 — 我們如何防禦駭客入侵?
常見防守方式是「縱深防禦」,意思是用不同的資安設備、安全規範、服務,降低駭客入侵的可能性。
萬一不幸某個點被駭客入侵了,例如:檔案伺服器被攻陷了,讓損害局限於某處,控制損害範圍。
縱深防禦常見的被突破點:
防禦邊界超出想像。眼前的防禦邊界不是駭客眼中防禦邊界,通常忽略的地方因為你沒有想到這裡會被打,所以更容易視為被攻擊的點。
真的了解資安設備嘛?資安設備的效果是不是如預期?有沒有正確操作,讓資安設備發揮效用?
管理不夠落實,例如:帳號、密碼用不安全的方式傳送,讓駭客可以輕易竊取,取得服務的存取權。
重兵防守了重要資產,但跟「重要資產的相關資產」卻沒有做好防禦,導致駭客可以選擇防禦較薄弱的相關資產作為中繼點作為入侵點,進而入侵重要資產。
第二個思考點— 駭客想要的是什麼?
駭客在攻擊時想要取得的是「重要資產」,透過每一層的漏洞逐步的接近重要資產,進而拿下。
這邊介紹一個名詞叫做瑞士乳酪模型(Swiss Cheese Model),這個模型是在描述的是當威脅透過層層防護層的失誤(乳酪的層數),最終造成危害。
而應用在資安領域上,指的是駭客透過層層防禦的漏洞或是疏私,鑽過了瑞士起司模型的空隙,最終拿下重要資產。
下圖名詞解釋:FW(Firewall 防火牆),IPS( Intrusion Prevention System)入侵預防系統,WAF(Web Application Firewall),Antivirus 防毒軟體。
雖然每一個漏洞個別來看風險價值都不高,但以駭客的戰略思維來說,目標是要取得重要資產。也就是說這些「弱點拆開來看價值不高,但結合起來卻可以讓駭客拿下極高價值的重要資產」。
也就是說,如果我們以駭客的思維來檢視我們的企業防禦機制,我們會更主動的去思考哪些點是重要的、是我們原本沒有注意到的。
第三個思考點 — 駭客如何決定攻擊的手法
駭客的攻擊的已經越來越具有系統化的趨勢,美國非營利資安組織 MITRE 提出 ATT&CK,讓攻擊的流程變成簡單易懂模型,讓資安業者在討論網路攻擊手法時有統一的標準去依循,有共通的名詞來討論攻擊的手法。
上方紅色框框是可以採用的攻擊策略,直的藍色框框標示的是可以使用的攻擊技巧。
從這邊我們可以發現,攻擊的策略已經變得非常模組化,並且有很多種攻擊手法可以使用。如果我們想要防禦的話,我們必須知道更貼近駭客的思考方式,哪一種攻擊手法是最有可能被某種駭客組織採用。哪些攻擊手法耗費的時間成本較低,所以需要優先防禦。
第四個思考點 — 到底駭客會怎麼打?
我們知道了駭客有一個大型的資料庫,可以決定策略與攻擊技巧,但是駭客到底會用哪一種方式來攻擊?
「紅隊演練」就是解決這個問題的方法,資安人員模擬駭客全面性的攻擊,在不影響企業營運下,無所不用其極的模仿駭客攻擊企業,協助企業發掘弱點,讓企業面對攻擊時可以更好的應對。
而 Devcore 就是這一方面的好手,這也是為什麼我說「一個講者都是駭客的研討會」,每位講者都具有頂級駭客的身手,因為他們有頂級的身手,所以他們可以在真實世界的駭客找到你的漏洞之前就先發掘到你的企業的漏洞。讓你更完善的做好防禦。
後記
這次的參加體驗我覺得非常的棒,活動本身是免費的,業配的成份卻很低,議程的資安技術的分享和實戰攻防經驗的分享都是非常珍貴的,從來沒遇到一個研討會有如此系統化的規劃整個議程與帶給與會者完整的概念。
整個研討會環繞著同一主軸,從攻擊者的角度出發,來思考我們應該如何防禦,如何讓攻擊者覺得很難打,進而放棄。擺脫以往單點式防禦,防禦了一個點,駭客卻選擇其他容易攻陷的地方著手。
另外值得一提的是, DEVCORE 成員不僅實力非常高強,表現出來的感覺也都非常的有活力,讓我見識到「頂尖的人才如何兼顧技術能力與熱情」。感覺是真的覺得很好玩,所以非常快樂的研究如何攻破人家的防禦系統。
延伸閱讀
這篇文章大部分資料出自「以攻擊者的角度制定防禦策略」的學習心得。這些是官方釋出的文章,內容更加全面。
本篇文章因為想要用簡單通俗的語句讓更多人了解資安,所以省略了滿多細節,如果你是資安人員、想精進資安能力或是企業使用者想要了解更深入的話,請看 DEVCORE 的專業文章: