企业网络安全
10.Mar.2023
从渗透测试到红队演练 扩大诊断潜藏的信息安全威胁
有鉴于国内外信息安全事件层出不穷,对企业造成的伤害日益扩大,许多企业开始转换思维,认为除了持续强化防御机制外,应假设企业本身的网络环境与对外系统仍然存在可能被黑客所入侵的漏洞,需要通过特定的测试方法,藉由黑客的观点,帮助企业挖掘隐而未现的信息安全盲点。因此,企业对于渗透测试、红队演练等专业服务的导入需求持续攀升。
依现状来看,较多企业倾向采用渗透测试服务,预期通过每年执行一次的渗透测试,深度洞察关键系统是否存有潜在安全漏洞,从而加以修补,以确保整体网络环境安全无虞。但事实上,渗透测试通常优先针对特定的范围与关键的目标,而其他与核心业务无直接相关的次要系统,大多成为有限的信息安全预算下,首要被牺牲对象。然后,这些次要系统虽然重要性不如核心系统,但仍然是黑客可能攻击的对象,而这些未曾接受测试的次要系统,却往往埋下黑客侵入的危险伏笔。随着近年来越来越多国际知名企业遭受到黑客攻击,也使得企业开始有所警觉,必须借助红队演练来检测整个企业网络环境的安全。
简而言之,红队演练并非针对个体的安全强度进行测试,而是基于宏观角度,检验整间公司对外或对内的信息安全防御能量,旨在找出防护上较为薄弱的环节。红队演练的执行团队,会通过大范围的尝试、不断想方设法找到存在安全漏洞的系统作为进入内网络的突破点,过程中可能随时变换攻击手法或伪冒来源IP地址进行攻击作业,以检视客户的信息安全运维团队或防御设备,是否能够察觉这些攻击行为。因为红队演练不止是攻击团队的单方面演出,亦是一场针对「蓝队」(防守方)的考验,是否能通过现有的防御设备与应变机制,针对所发现的攻击迹象作出适当的处理,并及时阻挡这些攻击行径,保护企业资产安全。
着眼于红队演练对企业信息安全的重要性,仲至信息亦拥有一支精锐的服务团队,阵中皆是深具专业能力的好手,不仅擅于执行高复杂度的网站、物联网产品及行动应用程序的渗透测试案件,也十分擅长执行红队演练作业,有效探查企业环境当中的弱点。
简而言之,红队演练并非针对个体的安全强度进行测试,而是基于宏观角度,检验整间公司对外或对内的信息安全防御能量,旨在找出防护上较为薄弱的环节。红队演练的执行团队,会通过大范围的尝试、不断想方设法找到存在安全漏洞的系统作为进入内网络的突破点,过程中可能随时变换攻击手法或伪冒来源IP地址进行攻击作业,以检视客户的信息安全运维团队或防御设备,是否能够察觉这些攻击行为。因为红队演练不止是攻击团队的单方面演出,亦是一场针对「蓝队」(防守方)的考验,是否能通过现有的防御设备与应变机制,针对所发现的攻击迹象作出适当的处理,并及时阻挡这些攻击行径,保护企业资产安全。
着眼于红队演练对企业信息安全的重要性,仲至信息亦拥有一支精锐的服务团队,阵中皆是深具专业能力的好手,不仅擅于执行高复杂度的网站、物联网产品及行动应用程序的渗透测试案件,也十分擅长执行红队演练作业,有效探查企业环境当中的弱点。
依据客户的期望目标,弹性调整演练脚本
持平而论,放眼市场,能提供红队演练服务的业者不在少数,惟仲至信息团队相较于友商,拥有诸多较为独特的竞争优势。首先仲至信息针对渗透测试服务流程部份,已取得国际CREST认证,此一能力亦适用于红队演练,足以确保团队能够展现优异的项目执行质量,譬如对于客户资料的保护与远程执行过程中的程序完整性,皆依循既定的严谨流程,出现瑕疵疏漏可能性比较低。
其次,若企业无意把整间公司都当做红队演练团队的攻击情境,仲至信息也能依照客户期望,弹性调整演练脚本。比方说,有些客户期望模拟来自于网际网络的攻击者,通过外部系统漏洞进入至内部网络;部分客户则期望从内部网络出发,模拟单一员工计算机被植入后门程序,以此为起点展开横向扩散和提权等必要手段,终至完成攻击目标、获得预设的机密资料内容。不论攻击的发动点为何,仲至信息都能配合客户需求,进行弹性调整,而非坚持只能按照固定模式进行。
再者,仲至信息的红队演练服务范围,不仅理所当然涵盖常见的IT或OT网络,团队基于对工业控制协定与控制系统网络的娴熟,亦能将服务触角延伸至工厂,且将攻击对象从一般的数据库、服务器等等,转换成为PLC、传感器或控制组件,针对整个厂务系统进行安全测试。考量OT环境相对缺乏信息安全运维人员或防御设备,因此当测试完成后,仲至信息团队也会全力协助客户增强OT网络强度。
其次,若企业无意把整间公司都当做红队演练团队的攻击情境,仲至信息也能依照客户期望,弹性调整演练脚本。比方说,有些客户期望模拟来自于网际网络的攻击者,通过外部系统漏洞进入至内部网络;部分客户则期望从内部网络出发,模拟单一员工计算机被植入后门程序,以此为起点展开横向扩散和提权等必要手段,终至完成攻击目标、获得预设的机密资料内容。不论攻击的发动点为何,仲至信息都能配合客户需求,进行弹性调整,而非坚持只能按照固定模式进行。
再者,仲至信息的红队演练服务范围,不仅理所当然涵盖常见的IT或OT网络,团队基于对工业控制协定与控制系统网络的娴熟,亦能将服务触角延伸至工厂,且将攻击对象从一般的数据库、服务器等等,转换成为PLC、传感器或控制组件,针对整个厂务系统进行安全测试。考量OT环境相对缺乏信息安全运维人员或防御设备,因此当测试完成后,仲至信息团队也会全力协助客户增强OT网络强度。
藉由缜密规划与设计,执行攻击演练活动
仲至信息的红队演练服务攻击流程可以简单分为:(1)从公开网络或暗网搜集可以利用的资料;(2)找出突破点;(3)占领这些突破点;(4)逐步向内部主机移动;(5)取得主机控制权限;(6)朝向目标前进。此处所谓的目标,通常都是在仲至信息与客户的共识下设定完成,可以取得网域服务器的控制权限或数据库的客户资料等,端看客户的期望而定。
在每个红队演练项目结束后,仲至信息会提供一份完整报告、依经验动辄70~80页起步,里面会详列攻击演练过程所使用过的测试工具与手法,进一步清楚交待在整个演练过程所有曾异动过的程序、系统设定及账号等相关信息,亦把整个攻击路径的样貌做清楚陈述,以利客户的信息安全运维团队能根据这些备注,执行必要的删除或系统还原动作。
不仅如此,仲至信息会继续与客户讨论补强对策,针对该次攻击演练中所发现的脆弱环节,评估是要通过政策规则的修正、抑或增设什么样的防御设备,进行对应的调整或修补。待客户完成这些补强措施后,再由仲至信息针对所发现的安全漏洞进行复测,检查是否已修正完毕。藉由从头到尾的完整规划、设计及执行,仲至信息近期提供了电子制造业与金控集团红队演练服务,协助企业确认所建置的信息安全侦测、处理及应变机制是否到位。
在每个红队演练项目结束后,仲至信息会提供一份完整报告、依经验动辄70~80页起步,里面会详列攻击演练过程所使用过的测试工具与手法,进一步清楚交待在整个演练过程所有曾异动过的程序、系统设定及账号等相关信息,亦把整个攻击路径的样貌做清楚陈述,以利客户的信息安全运维团队能根据这些备注,执行必要的删除或系统还原动作。
不仅如此,仲至信息会继续与客户讨论补强对策,针对该次攻击演练中所发现的脆弱环节,评估是要通过政策规则的修正、抑或增设什么样的防御设备,进行对应的调整或修补。待客户完成这些补强措施后,再由仲至信息针对所发现的安全漏洞进行复测,检查是否已修正完毕。藉由从头到尾的完整规划、设计及执行,仲至信息近期提供了电子制造业与金控集团红队演练服务,协助企业确认所建置的信息安全侦测、处理及应变机制是否到位。
