資安趨勢與案例宣導download.nccst.nat.gov.tw/attachfilehandout/議題二:資安趨勢與案例宣導v2.1... ·...
TRANSCRIPT
3
世界經濟論壇2017全球風險調查報告
科技(Technological)
社會(Societal)
地緣政治(Geopolitical)
環境(Environmental)
經濟(Economic)
關鍵資訊基礎設施崩潰
資料欺詐或盜竊
網路攻擊
10大可能風險 1.極端氣侯
2.大規模難民移民
3.自然災害
4.恐怖攻擊
5.資料欺詐或盜竊
6.網路攻擊
7.非法貿易
8.人為環境災害
9.國家衝突
10.國家治理失靈
4
歷年APCERT演練主題
演練日期 演練主題
第1屆 2005/12/21 Botnet
第2屆 2006/12/19 Handling compromised web sites hosting malicious code designed for use in DDoS attacks
第3屆 2007/11/22 Beijing 2008 Olympic Games
第4屆 2008/12/4 Nailed Down Online Underground Economy
第5屆 2010/1/28 Fighting Cyber Crimes with Financial Incentives
第6屆 2011/2/22 Critical Infrastructure Protection
第7屆 2012/2/14 Advance Persistent Threats and Global Coordination
第8屆 2013/1/29 Countering Large Scale Denial of Service Attack
第9屆 2014/2/19 Countering Cyber-ops with Regional Coordination (DoS)
第10屆 2015/3/18 Cyber Attacks beyond Traditional Sources
第11屆 2016/3/16 An Evolving Cyber Threat and Financial Fraud
第12屆 2017/3/22 Emergence of a New DDoS Threat
● 2005年起,APCERT(亞太地區電腦網路危機處理組織)每年
依資安趨勢定期挑選重要議題,對亞太地區各國間電腦網路
危機處理組織進行演練,強化資安組織應變能力與協同合作
● 近年主題多圍繞分散式阻斷(DDoS)攻擊
Ransomware
APT
DoS
DDoS
DDoS
5
DDoS攻擊趨勢
● 分散式阻斷服務攻擊(Distributed Denial of Service,
DDoS)主要利用殭屍網路與系統弱點,發出大量合法或
偽造的請求,占用大量網路及設備資源,癱瘓攻擊目標
網路及系統
● 近期較大型DDoS攻擊案例大多為混合式攻擊,發動來源
皆以物聯網(IoT)設備為主,所占比例與日俱增
–易於感染,IoT設備普遍不具資安防護能力
–成本便宜,不需再透過釣魚等方式取得控制權
–可控制數量穩定,設備用途單純,長期不關機
● Gartner預測2016年有64億個IoT設備連網,2020年更達
到208億個設備連網
CCTV
6
DDoS攻擊來源探討
● 隨著Mirai攻擊程式釋出,IoT設備將發起更複雜的DDoS
攻擊,包含應用層與加密類型的攻擊
● Mirai殭屍網路數量與能量消長
–作者宣稱掌握30萬殭屍網路大軍
–Mirai殭屍網路活耀於2016年9月至10月,數量於10月達高峰
– 2016/9/21法國網際網路供應商OVH遭攻擊,尖峰流量達1Tbps
● Imperva Incapsula雲端安全服務公司根據其緩解之攻擊
事件追查IP,發現遭感染Mirai之設備遍布164個國家,
其中台灣位居攻擊來源國大宗第7名
Rank Country % of Mirai botnet IPs Rank Country % of Mirai botnet
IPs
1 Vietnam 12.8 6 South Korea 6.2
2 Brazil 11.8 7 Taiwan 4.9
3 United States 10.9 8 Russia 4
4 China 8.8 9 Romania 2.3
5 Mexico 8.4 10 Colombia 1.5
7
DDoS攻擊時間有增長趨勢
● 卡巴斯基2016年第四季釋出的報告指出,有80個國家的
殭屍網路參與DDoS攻擊,其中發起攻擊的多為IoT設備
組成的殭屍網路
– 2016年Q4發現DDoS攻擊時間長度仍以4小時以內為主,但長時間
攻擊事件亦有增長趨勢
8
網通設備遭駭客入侵利用
● 檢視資安防護措施,資訊人員常僅檢測內部系統與網站
主機。對於網通設備僅注重可用性,而忽略資安防護議
題,可能造成根本性的資安風險
使用預設帳密登入 多數設備提供Web介面
● 暴力破解密碼
–弱密碼
–預設帳密
● 利用韌體弱點
–設備老舊或韌體未
即時更新
● Web管理介面弱點
–針對HTTP/HTTPS
等服務
–利用Web攻擊方式
(如:SQL Injection)
9
網通設備造成潛在安全議題
IDS/IPS…
DB/Web/E-Mail
FW
使用者電腦 Anti-spam
機關 A FW/WAF
駭客
● 骨幹封包竊錄
–竊取機敏資訊
● C&C中繼站
–隱匿攻擊意圖
–利用內建功能控制
IDS/IPS…
DB/Web/E-Mail
FW
使用者電腦 Anti-spam
機關 B FW/WAF
● 阻斷網路服務
– 影響服務正常運作
11
我國面臨的資安威脅(2/2)
● IoT與網通設備普及化,但使用者尚未具備足夠資安意識,
且未了解危害程度,致使屢次成為攻擊加害者
–設備較無完整安全管控機制,駭客可輕易取得管理權限,控制設備
對外進行攻擊
–Mirai感染目標以IoT設備為主,因其只能將攻擊程式存在於記憶體
中,可透過設備重啟方式,刪除Mirai程式,並透過更換預設密碼
避免再次感染
–網通設備可能遭駭客控制,做為中繼跳板,對目標進行APT攻擊
● 企業組織對於資訊安全意識仍待加強
–企業/組織管理階層仍未能投入大量資源強化內部資訊安全
● 資訊安全人才不足,多由相關管理人員兼任
–企業/組織資訊安全人才不足,多由網管人員或採購人員兼任,資
訊設備設置與管理未能考量資安議題
14
資料外洩案例-案例1(1/2)
• 機關A對外服務網站以「身分證字號」作為系統登入帳號 • 民眾至服務櫃臺申請加入網站會員時,採單一預設登入密碼
(12345678),民眾後續未再登入網站變更預設密碼 • 有心人土以預設密碼登入存取超過3萬筆民眾帳號,導致民眾姓名、身分證字號、地址、連絡電話及電子郵件等個人資料遭盜取
案情提要
應變與改善作為
● 事件發生後,機關A即變更遭異常登入會員帳號密碼,並協助
修改尚未變更預設密碼之會員帳號密碼
● 強化網站會員認證機制:除現有登入所需帳號與密碼,將新增
使用者代碼
● 機關A配合於警調單位調查完畢後,依個人資料保護法規
範,通知相關受影響民眾
15
資料外洩案例-案例1(2/2)
● 國民身分證字號屬個人資料範圍,機關應避免以身份證
字號作為服務系統預設帳號或密碼
–行政院資通安全處於105年11月30日發布院臺護字第1050185463
號,要求各機關避免使用身份證字號作為服務系統預設帳號或密碼
● 存放個人資料或敏感公務資訊之資訊系統應規範具複雜
性的密碼設置原則,並制定密碼變更頻率
16
資料外洩案例-案例2(1/2)
● 機關B接獲外部通知後,即要求廠商進行郵件伺服器檢測,並
檢視相關登入紀錄,釐清受影響範圍
● 為避免災情擴大,機關B除變更相關郵件帳號密碼外,亦調整
資料傳遞方式,要求機關人員以多重驗證方式登入系統查詢
● 依個人資料保護法規範,通知相關受影響民眾
• 機關B於官方網站提供便民服務系統,供民眾填寫緊急聯繫資料包含中英文姓名、身分證字號及緊急聯絡人等個人相關資料
• 透過後端電子郵件系統,轉發民眾登錄資料至服務站特定電子郵件帳號
• 因電子郵件帳號密碼具規則性,遭有心人士破解,進而利用登入電子郵件系統,導致民眾個人資料與資訊外洩
案情提要
應變與改善作為
18
資料外洩案例-案例3(1/2)
● 機關C清查搜尋引擎可取得報表清單,釐清受影響對象與範圍,
除透過存取紀錄,掌握資料流向,亦依個人資料保護法規範,
通知相關受影響員工
● 協請廠商移除已產生報表檔,同時以白名單方式限制報表檔案
存取權限
● 新系統於規劃設計階段已納入資安考量,將導入安全系統發展
生命週期(SSDLC)
• 機關C內部系統提供所屬機關人員列印包含個資資訊功能,系統會自行產出列印報表檔案連結存放於伺服器
• 內部系統未提供公開連結下載報表,但檔案未限制存取權限,有心人士可透過搜尋引擎查找取得,造成機關C員工個人資料資訊外洩
案情提要
應變與改善作為
19
資料外洩案例-案例3(2/2)
●機關應依資訊系統服務對象設置存取來源,內部
使用資訊系統建議以白名單設置存取來源
●除定期檢視資訊系統帳號權限設置外,亦應檢視
檔案/資料夾內容,確認存取權限設置適切性
●存取機敏資料的資訊設備,應避免安裝非必要之
應用軟體
20
應用程式漏洞入侵-案例1(1/2)
● 機關D還原受害資訊系統,同時更新Struts2版本,並全面檢視
內部服務系統更新狀況
● 除於WAF設置阻擋偵測規則,亦檢視阻擋紀錄,確認無其他
資訊設備遭入侵情事
• Apache於106年3月6日官網公告Struts2具安全性漏洞,技服中心於106年3月7日發布資安訊息警訊要求各機關儘速更新
• 機關D內部防禦設備於106年3月8日偵測外部異常連線行為,進一步檢視網頁應用程式防火牆(WAF),發現對外服務網站遭駭客利用Struts2漏洞植入惡意程式
案情提要
應變與改善作為
21
應用程式漏洞入侵-案例1(2/2)
●機關應掌握內部資訊系統服務狀態(包含應用程式
與版本),並定期檢視相關應用程式釋出更新情況,
儘速依服務狀態進行系統測試與更新
●定期檢視相關防禦設備紀錄,以儘早發現異常存
取與連線行為,降低受害的影響範圍
22
應用程式漏洞入侵-案例2(1/2)
● 機關E除重新建置受害資訊設備,並更新作業系統與相關應用
程式,亦透過紙本檔案還原遭加密之業務資料內容
● 全面檢視內部資訊設備系統與應用程式更新情況
• 機關E通報表示其內部資訊系統檔案遭勒索軟體加密,並申請技服中心協助調查受害原因
• 經調查發現,因個人電腦未定期更新Flash,導致瀏覽網頁時,感染勒索軟體
• 由於勒索軟體會透過SMB協定(網路芳鄰)找尋共享資料夾,因此造成內部其他資訊設備資料遭加密
案情提要
應變與改善作為
23
應用程式漏洞入侵-案例2(2/2)
● 勒索軟體(Ransomware)從過去被動式攻擊轉為主動式感
染,機關應定期檢視作業系統與應用程式更新情況,關閉
不必要通訊協定(SMB),並定期備份重要系統與文件資訊
–社交工程
透過電子郵件/檔案下載方式
散布
–作業系統/應用程式漏洞
利用作業系統(如windows)
或應用程式(Flash)漏洞植入
24
環控系統入侵案例(1/2)
● 調整環境控制系統/物聯網設備網路環境,並設置設備存
取權限
● 邀請內部資訊人員協助全面檢視相關環境控制系統權限
設置狀態
• 機關F利用環境控制系統(工控系統),進行電力、汙水及消防設備管控,以維持機關內部環境運作
• 機關F因未限制存取權限,對外開放查詢服務,導致駭客入侵,並嘗試利用工控系統對外散播惡意程式
案情提要
應變與改善作為
25
環控系統入侵案例(2/2)
●環境控制系統/物聯網設備管理人員應具基本資
安意識,避免不當設置導致遭駭客利用
●環境控制系統/物聯網設備應作好權限管控與存
取限制,同時避免使用預設帳號密碼
●確實掌握部
屬設備資訊
26
印表機不當存取案例(1/2)
• 教育部所屬學術單位/組織陸續接獲駭客利用印表機發出勒索訊息 • 駭客要求學術單位/組織支付特定金額比特幣(Bitcoin),否則將進行網路攻擊,癱瘓網路服務
案情提要
應變與改善作為
● 教育部除介入掌握所屬學術單
位/組織受影響情況外,亦發布
資安訊息通知,提醒學術單位/
組織儘速調整網路印表機設定,
並變更預設帳號密碼
28
分散式阻斷服務攻擊案例(1/3)
● 受害金控機關主動與網路服務提供者
(ISP)聯繫,請其協助阻擋攻擊來源,並
清洗攻擊流量,以恢復網站正常運作
● 金融監督管理委員會亦成立緊急應變專
案小組,協調各金控機關與ISP業者進行
聯防
• 金融監督管理委員會接獲金控機構通報,疑似遭受分散式阻斷服務(Distributed Denial of Service, DDoS)攻擊事件,導致客戶無法正常透過網頁下單
• 多個金控機構於2月1日陸續接獲駭客發出勒索訊息,要求支付特定金額比特幣(Bitcoin),並發動試探性攻擊行動癱瘓網站服務
案情提要
應變與改善作為
30
分散式阻斷服務攻擊案例(3/3)
●機關資訊設備應定期更新,並作好安全防護設置,
以避免遭利用作為駭客攻擊工具
–NTP伺服器服務設定/調校
NTP軟體版本升級至4.2.7之後的版本
在ntp.conf配置文件中新增Disable Monitor選項,關閉monlist
–DNS伺服器服務設定/調校
停用DNS遞迴功能
停用DNS對外服務功能
設定DNS Response Rate Limiting
註:詳細設備調整說明可參考通報應變網站「政府機關分散式阻斷服務防禦與應變作業程序v2.0」
32
無線鍵盤/滑鼠弱點(1/3)
● 多款使用非藍牙傳輸之2.4 GHz頻段無線滑鼠/鍵盤,因
未採用合適加密方式,存在滑鼠動作與鍵盤按鍵可被竊
聽(Eavesdrop)與偽冒插入(Injection)輸入資訊的弱點,
稱為Mousejack弱點
● 滑鼠與鍵盤因硬體無法更新,USB dongle所用晶片可能
無法更新韌體,導致修補不易
● 多家廠商受到影響
33
無線鍵盤/滑鼠弱點(2/3)
滑鼠移動/鍵盤敲擊
USB dongle PC
傳送滑鼠/鍵盤封包內容(移動、輸入)
透過監聽方式,竊取傳輸資料,(包含使用中的RF address)
1
利用此RF address送出配對請求給dongle,由於dongle對此address處於listening 狀態,因此會接受該配對請求,完成配對
2
偽冒合法滑鼠/鍵盤操作受害電腦
3
資料來源:http://www.mousejack.com/
34
無線鍵盤/滑鼠弱點(3/3)
● 技服中心已透過相關聯繫管道,通知廠商進行弱點修補,
仍有部分產品具有安全疑慮
● 建議採用無線藍芽裝置,或已完成弱點修補無線裝置產
品,抑或改以有線鍵盤滑鼠設備替代
35
結論
● 物聯網之布建與應用快速成長,利用IoT設備發動攻擊已
成為未來攻擊趨勢
● 近期資安趨勢與案例顯示,進階持續性威脅、勒索軟體、
分散式阻斷服務攻擊(DDoS)及密碼猜測取得控制權等情
形層出不窮,建議機關持續強化人員資安防護意識與資
訊系統防護能量
● DDoS攻擊防禦與應變須透過事前完善的準備作業,始能
快速、有效的減少攻擊事件造成的影響
● 機關應強化內部管控機制,加強IoT與網通設備管理,避
免遭利用參與網路攻擊;對於軟體系統開發,亦應注意
安全系統發展生命週期(SSDLC)