資安威脅情資分享與防護

台灣網路資訊中心(TWNIC)
組長 林志鴻博士
2021.09.17
 大綱
 資安威脅態勢
 IPv6 威脅案例與影響
 資安情資類型與應用
 跨域情資分享與漏洞協處

2
Cyber Security Trend

3
 資安為當前的挑戰
Network Security 27%

• Cost of data breaches due • Security is the biggest

to the Cybercrime challenge for internet
• $5 Trillion globally in 2024 service provider
• average annual growth of 11% [APNIC, 2018]
[Juniper research, 2019] 4
Characters of Emerging Threats

[Source: Mcafee]

5
 駭客思維
 Think outside the box

6
各種開鎖的方式

7
主要資安攻擊面向

8
 IPv6 資安威脅案例
 IPv6 botnet (2016)
 Aidra IoT botnet
 DDoS capabilities
 IPv4 & IPv6
 巴西金融新聞網站遭注入惡
意IPv6連結 (2018)
 <script src=
hxxp ://[::ffff:12dc:a722]></
script>
 [::ffff:12dc:a722] 為
18.220.167.34 (Amazon EC2)

9
 IPv6 已無所不在
 OS/裝置已預設支援IPv6
 IPv6/IPv4 Dual Stack
 Windows 7, Mac OS X 10.2, Free BSD 4.0, Red
Hat 6.2, Debian 2.2, …
 Android 4.4, iOS 4.1, Windows Phone 8.1

 行動網路普遍使用 IPv6
 IPv6/IPv4 漏洞
同時存在

原始資料來源: APNIC
協助整理: TWNIC 10
 IPv6 對資安情資的影響
 難以紀錄 2128 個 IP 的評價
 難以用傳統方式進行IP探查
 Prefix (64 bits)+Interface(64bit)
 264=18,446,744,073,709,551,616 個Interface
 ~ 491,351 年 @ Gigabit Ethernet
 攻擊者有大量的來源IP可供運用
 Privacy Addresses [RFC 4941]
 以暫時的IP提供用戶連線使用
 該暫時IP會隨時間而不同
 難以追蹤、難以阻擋
 不易進行垃圾郵件的SMTP評估 (RDNSBL)
 SPF/DKIM/DMARC
 影響資安情資分析與數位鑑識 11
資安監控防護 vs. 威脅事件應處

12
 資安情資類型

基於行為

基於特徵

TTP: Tactics, Techniques and Procedures Source: David J Bianco

 Hash Values
 用以驗證檔案的完整性
 MD5 (128bit, 32字元)
 423d3ade2f14572c5bd5f546973eb493
 SHA1 (160 bit, 40字元)
 a1f446d0c29913d3f863ba164efe86b6e9e5e7ff
 SHA256 (256bit, 64字元)
 a1dfbac053d9f93dc80792388d210a13b2f9fb69c15dacbf59e9043ea4
e8afaf
 工具
 certutil [options] -hashfile infile [hashalgorithm]
 certutil -hashfile notepad.exe md5

14
 Hash Values 議題
 Hash Collision
 m1≠ m2, hash(m1)
= hash(m2)
 多組Hash值

 File Obfuscations
 packing, polymorphism,
code obfuscations,
encryption...
 Behavior-based features
15
 惡意 IP/ DN阻擋
 多為內部電腦或IoT設備遭駭，連線至駭客設
置的惡意中繼站
 通常於防火牆或DNS上作阻擋
 議題
 時效性
 Fast flux
 難以限制知名論壇網站
 難以限制知名部落格
 DGA (Domain Generation Algorithm)
16
 TTP概念
 描述攻擊者的工具/技術與策略

Source: McAfee
MITRE ATT&CK 概念

Source: Jose Luis Rodriguez 18

 ATT&CK Matrix
Cyber Kill Chain

Adversary’s Technical Goal

Techniques How Goal is achieved

Tactics

• 描述/發展威脅模型的共通格式

Source: MITRE
 Enterprise ATT&CK演進
Enterprise ATT&CK 2020

2 new tactics
+ Reconnaissance
+ Resource Development

Enterprise ATT&CK 2021

20
ATT&CK 應用

21
 ATT&CK 應用議題
 ATT&CK 工具的侷限
 模型本身的偏差
 新興攻擊樣態
 資料來源的侷限
 偵測工具涵蓋範圍受限
 新興攻擊樣態
 認知ATT&CK侷限，避免偏執

22
運用情資強化威脅應處

23
資安跨域聯防與情資分享

24
 資安情資處理概況
 2020年累計處理超過150萬筆資安情資
 對境外分享百餘國，近20國作雙向情資分享

* 中國/香港/澳門/俄羅斯分享至特定組織
對境外分享 雙向分享 限制分享區域
資安情資分享案例

26
 產品漏洞通報協處
 TWCERT/CC 為MITRE授權之CNA，
可針對我國ICT產品漏洞，進行審核並
發布CVE編號，以協助企業修復產品
漏洞提升我國產品安全
 2019年已發布 27個CVE漏洞編號，
2020年已審核並發布58個CVE 漏洞編
號，涵蓋30餘家企業產品，包括：半
導體、PC、軟體、電信、保全、金融
等領域
 當新的CVE漏洞發布時，TWCERT/CC
同步公告漏洞預警資訊並通知ISAC、
聯盟等，以預先進行相關防範
產品漏洞遭利用發動資安攻擊 (1)

DVR ─
• 避免使用弱密碼或預設密碼
• 即時更新產品韌體版本

28
產品漏洞遭利用發動資安攻擊 (2)

NAS ─
• 避免使用弱密碼或預設密碼
• 即時更新產品韌體版本

29
 CVE漏洞評核品質
 TWCERT/CC於CVSS與CWE均獲評核為Provider
• 163 CNA (23 countries)
• Provider Level
 CWE: 12
 CVSS v3.1: 5
• Contributor Level
 CWE: 15
 CVSS v3.1: 11
官網/電子郵件/電子報多元服務管道
官 網 ： www.twcert.org.tw
電子信箱： twcert@cert.org.tw

電子報訂閱：
Thank You

32