觀點

「不知攻、焉知防」,目標導向的紅隊演練提升台灣資安能量

2022 / 01 / 13
編輯部
「不知攻、焉知防」,目標導向的紅隊演練提升台灣資安能量
「紅、藍、紫」可以說是資安的代表色,三種顏色的團隊代表不同意義。紅隊以「不知攻、焉知防」的角度,用道德駭客的方式找出企業自身漏洞;藍隊是以防守概念,在企業管理制度、技術框架與人員訓練上進行強化;紫隊則是站在監控的角度,改善公司內部資安管理。
 
DEVCORE共同創辦人暨執行長翁浩正表示,資安產業的發展是隨著企業平均安全水平而改變,台灣企業普遍安全意識有升,但對入侵事件的抵抗力還須加強。主要的原因在於,「許多的企業組織用非駭客的思維在做資安防禦。」
 
而紅隊演練(Red Team Assessment)就是提供在不影響企業營運的前提下,進行模擬入侵攻擊,在有限的時間內以無所不用其極的方式,從各種進入點執行攻擊,嘗試達成企業指定的測試任務。

DEVCORE紅隊總監許復凱說,「紅隊演練的精隨不是在告訴你有多脆弱,而是讓你知道真正壞人闖入時,你可以獨當一面擋下他。」
 
許復凱將紅隊演練比喻成COVID-19疫苗,「要做到疫苗的效果:改善體質、增強抵抗力、沒有副作用。找出有風險的伺服器、架構、陋習,讓企業有機會修正。模擬內部攻擊練,讓企業可以識別攻擊,做最佳阻斷的決策。並且不會造成營運中斷、資料損失。」
DEVCORE 經營團隊(左起:DEVCORE 共同創辦人暨紅隊總監許復凱、DEVCORE 共同創辦人暨執行長翁浩正、DEVCORE 共同創辦人暨支援組組長賴韋廷、DEVCORE 共同創辦人暨資深專案經理徐念恩)
DEVCORE近四年來執行了多場的中大型紅隊演練,場域包含金融、政府以及半導體製造業。從這些演練,DEVCORE發現9 成以上的企業外部系統可以被控制或是取得機敏資料,甚至進一步控制內部核心系統;且7 成以上企業與營運相關的核心系統,如網域控制器,可以直接被控制,造成服務中斷。
 
反向思維,許復凱鼓勵企業「擁抱漏洞」 時常盤點風險、模擬演練才能持續強化防禦體質。

從2012年成立至今十年,DEVCORE揭露超過 30 種產品、110 個以上的世界級漏洞,包含企業常使⽤的 Microsoft Exchange、Exim、Pulse Secure、Fortinet、Palo Alto、Jenkins、Mail2000、HiNet GPON 數據機等。並且在有「資安界奧斯卡」之稱的Pwnie Awards獲得最佳伺服器漏洞獎之後,DEVCORE認為應該更重視實地演練與模擬滲透結果,尤其現今已經開始有國家意圖將系統漏洞作為數位化武器,同時也有更多單位公開或私下收購資安漏洞,背後影響不可小覷。

DEVCORE共同創辦人徐念恩認為漏洞揭露的意義不只將風險檯面化,「對台灣來說,它帶動了研究人員挖掘CVE的意願,作為全球供應鏈的一環,漏洞揭露促使台製軟體更加安全。並且為台灣的資安人才提供適才適所的機會,因為有更多單位了解到許多亟待補休的漏洞以及資安風險。」