Professional Documents
Culture Documents
資安威脅情資分享與防護
資安威脅情資分享與防護
台灣網路資訊中心(TWNIC)
組長 林志鴻博士
2021.09.17
大綱
資安威脅態勢
IPv6 威脅案例與影響
資安情資類型與應用
跨域情資分享與漏洞協處
2
Cyber Security Trend
3
資安為當前的挑戰
Network Security 27%
[Source: Mcafee]
5
駭客思維
Think outside the box
6
各種開鎖的方式
7
主要資安攻擊面向
8
IPv6 資安威脅案例
IPv6 botnet (2016)
Aidra IoT botnet
DDoS capabilities
IPv4 & IPv6
巴西金融新聞網站遭注入惡
意IPv6連結 (2018)
<script src=
hxxp ://[::ffff:12dc:a722]></
script>
[::ffff:12dc:a722] 為
18.220.167.34 (Amazon EC2)
9
IPv6 已無所不在
OS/裝置已預設支援IPv6
IPv6/IPv4 Dual Stack
Windows 7, Mac OS X 10.2, Free BSD 4.0, Red
Hat 6.2, Debian 2.2, …
Android 4.4, iOS 4.1, Windows Phone 8.1
行動網路普遍使用 IPv6
IPv6/IPv4 漏洞
同時存在
原始資料來源: APNIC
協助整理: TWNIC 10
IPv6 對資安情資的影響
難以紀錄 2128 個 IP 的評價
難以用傳統方式進行IP探查
Prefix (64 bits)+Interface(64bit)
264=18,446,744,073,709,551,616 個Interface
~ 491,351 年 @ Gigabit Ethernet
攻擊者有大量的來源IP可供運用
Privacy Addresses [RFC 4941]
以暫時的IP提供用戶連線使用
該暫時IP會隨時間而不同
難以追蹤、難以阻擋
不易進行垃圾郵件的SMTP評估 (RDNSBL)
SPF/DKIM/DMARC
影響資安情資分析與數位鑑識 11
資安監控防護 vs. 威脅事件應處
12
資安情資類型
基於行為
基於特徵
14
Hash Values 議題
Hash Collision
m1≠ m2, hash(m1)
= hash(m2)
多組Hash值
File Obfuscations
packing, polymorphism,
code obfuscations,
encryption...
Behavior-based features
15
惡意 IP/ DN阻擋
多為內部電腦或IoT設備遭駭,連線至駭客設
置的惡意中繼站
通常於防火牆或DNS上作阻擋
議題
時效性
Fast flux
難以限制知名論壇網站
難以限制知名部落格
DGA (Domain Generation Algorithm)
16
TTP概念
描述攻擊者的工具/技術與策略
Source: McAfee
MITRE ATT&CK 概念
Tactics
• 描述/發展威脅模型的共通格式
Source: MITRE
Enterprise ATT&CK演進
Enterprise ATT&CK 2020
2 new tactics
+ Reconnaissance
+ Resource Development
20
ATT&CK 應用
21
ATT&CK 應用議題
ATT&CK 工具的侷限
模型本身的偏差
新興攻擊樣態
資料來源的侷限
偵測工具涵蓋範圍受限
新興攻擊樣態
認知ATT&CK侷限,避免偏執
22
運用情資強化威脅應處
23
資安跨域聯防與情資分享
24
資安情資處理概況
2020年累計處理超過150萬筆資安情資
對境外分享百餘國,近20國作雙向情資分享
* 中國/香港/澳門/俄羅斯分享至特定組織
對境外分享 雙向分享 限制分享區域
資安情資分享案例
26
產品漏洞通報協處
TWCERT/CC 為MITRE授權之CNA,
可針對我國ICT產品漏洞,進行審核並
發布CVE編號,以協助企業修復產品
漏洞提升我國產品安全
2019年已發布 27個CVE漏洞編號,
2020年已審核並發布58個CVE 漏洞編
號,涵蓋30餘家企業產品,包括:半
導體、PC、軟體、電信、保全、金融
等領域
當新的CVE漏洞發布時,TWCERT/CC
同步公告漏洞預警資訊並通知ISAC、
聯盟等,以預先進行相關防範
產品漏洞遭利用發動資安攻擊 (1)
DVR ─
• 避免使用弱密碼或預設密碼
• 即時更新產品韌體版本
28
產品漏洞遭利用發動資安攻擊 (2)
NAS ─
• 避免使用弱密碼或預設密碼
• 即時更新產品韌體版本
29
CVE漏洞評核品質
TWCERT/CC於CVSS與CWE均獲評核為Provider
• 163 CNA (23 countries)
• Provider Level
CWE: 12
CVSS v3.1: 5
• Contributor Level
CWE: 15
CVSS v3.1: 11
官網/電子郵件/電子報多元服務管道
官 網 : www.twcert.org.tw
電子信箱: twcert@cert.org.tw
電子報訂閱:
Thank You
32