Aggregator

Why credential stuffing attacks persists, how they work, and how to prevent them.

Why credential stuffing attacks persists, how they work, and how to prevent them.

前言

這一篇是跟 Allen 在 iThome 2020 資安大會一起分享的主題。在國內，大家比較少討論資安策略這個議題。主要原因除了這個題目太過艱澀、無聊外，從商業的角度也不容易成為獲利的服務。而我們會想分享這個主題的原因與我們主要的服務「紅隊演練」有關。

執行紅隊演練三年多來，雖然協助企業找出威脅營運的重要入侵路徑，甚至發現防禦機制的不足之處，許多積極的客戶更想知道除了當次紅隊演練發現的問題外，是不是有更周延的方式來盤點防禦現況的不足。因此，我們開始尋找一個結構化且完整的方式來探究這個議題，開始思考國際標準、框架與紅隊演練之間的關係。希望除了從攻擊者的思維跟技巧找到企業的問題外，也能從防守方的角度思考企業長期而全面的防禦規劃。

複雜的問題，更要從策略面思考

資安是非常複雜而且分工細膩的工作，不確定問題的核心就無法釐清權責、安排資源，遑論降低再發的機率。因此要解決這個複雜問題需要有資安策略來支撐，而不是頭痛醫頭、腳痛醫腳。首先，我們把資安的防護分為三種階段：

• 恢復原狀型：企業將主要的資安資源投放在日常的維運及問題查找上，包括確認當下發生的問題、進行緊急處理、災害控制、查明及分析發生原因、修復問題、研究對策避免再發生等等。
• 防微杜漸型：將資源投入在對企業造成重大衝擊的問題上，並持續進行預防及回應的評估與演練、嘗試提前找出原因，加以預防或思考演練發生時應該執行的對策。
• 追求理想/卓越型：盤點及分析問題的優、缺點，設定企業持續精進的目標，藉由行動計畫來達成目標。

根據我們的觀察，幾乎多數的企業都是落在「恢復原狀型」，但企業多半認知其為「防微杜漸型」。造成這個認知上的落差，主因來自於對自身安全狀況的不了解，導致對於風險的掌握程度產生誤判。因此，透過一個宏觀的策略思考，有助於盤點各種控制措施不足之處，才有機會將防禦縱深的機制拴緊螺絲，打造期望的防禦體系。

分層負責，各司其職

我們建議將縱深防禦以一個更全面的方式來檢視，分為 Executive Layer、Process Layer、Procedure Layer 以及 Technology Layer 四層，一個好的防禦策略，除了要做到 R & R (Role & Responsibility) 外，更重要的是在上而下制定策略之後，經由下而上的方式確保策略的有效性，因此不同階層的資安從業人員都有其需要關注的重點。

• Executive Layer：資安長 (CISO) 的視角，關注足以影響組織營運的風險及緩解這些風險的資源是否充足。可以參考的標準包括 NIST 800-39、NIST 800-30、ISO 27005 以及 CIS RAM。
• Process Layer：高階主管的視角，關注持續維持組織安全運作的管理程序是否足夠及落實、規劃未來組織資安的成熟度等。參考的標準包括 NIST Cybersecurity Framework、ISO 27001 等。
• Procedure Layer：中階主管的視角，包括決定哪些安全控制措施要執行、執行的細緻程度，這些項目就是一般所謂的安全控制措施 (security control)，例如組態設定、密碼管理、日誌紀錄的類型等，可以參考 NIST 800-53 或是 CIS Critical Security Controls 等規範。
• Technology Layer：初階主管與技術人員的角度，包含針對攻擊者的技巧所應對的資安設備、自動化安全控制措施的工具、監控分析工具等等。目前這部份也是組織資安防禦的重點，可以參考資安設備支援 MITRE ATT&CK 的攻擊技巧來盤點現有的防禦缺口或透過 OWASP Cyber Defense Matrix (CDM) 定位產品。

框架與標準的定位

在說明完不同階層關注的重點後，這裡特別說明幾個重要 (或使用率較高) 的標準及框架。除了要知道哪些框架跟標準與資安有關外，同時也需要了解適用的情境、目的及彼此間的差異

• ISO 27001：屬於 Process Layer，其提供建立資訊安全管理系統的標準，幫助組織管理和保護資訊資產，確保達到客戶或利害關係人其安全的期待；可以取得驗證。但要提醒的是，27001 作為一個實踐資訊安全管理 (Information Security System) 的標準，雖然具有文件化 (Documented) 要求的優點，但其要求項目多數在預防 (Prevent) 及避免 (Avoid) 上，較少著重在因應網路安全的偵測 (Detect) 及回應 (React) 上。
• NIST Cybersecurity Framework (CSF)：屬於 Process View，由美國主導的網路安全框架，提供關鍵基礎設施或一般企業幫助組織管理和保護資訊資產，確保其安全無慮；可以驗證並有成熟度模式，可以讓企業先描繪自己的資安狀態 (profile) 並藉由訂定目標逐年強化企業的安全。同時，明確的將安全要求結構化的分成識別 (Identify)、防禦 (Protect)、偵測 (Detect)、回應 (Respond) 及復原 (Recover)，並支援其他安全標準與框架的對應，如 CIS CSC、COBIT、27001、NIST 800-53 等。

• CIS Cybersecurity Control：資訊安全控制指引屬於 Procedure View，針對網路攻擊所應採取的控制項目提出優先執行順序，組織可依照自身的規模 (IG1-IG3) 執行對應的措施， 分為基礎型、基本型及組織型，共 20 個控制群組、178 個子控制項。

不良的資安防護狀態

實務上來說，企業的防禦策略有兩種不良的狀態

1. 縱深防護不足：防禦機制不夠全面 (紅色缺口)、設備效果不如宣稱 (藍色缺口)、設備本身的限制 (橘色缺口)；上述的問題，綜合而言，就會使得設備間的綜效無法阻斷攻擊鏈，形成技術層的破口。
2. 配套措施的不完整：也就是「程序」及「流程」上的不足，假設某資安設備可以偵測到異常行為，資安人員如何分辨這是攻擊行為還是員工內部正常行為？多久內要及時回應進行處理、多久要發動鑑識？一旦上述的「程序」及「流程」沒有定義清楚，縱使設備本身是有效的，組織仍然會因為回應時間過慢，導致攻擊者入侵成功。

盤點各層次的守備範圍

那麼要如何改善這兩種不佳的防禦狀態？我們可以單獨使用 CDM 來評估技術層的守備範圍是否足夠，也可以使用它來作為程序、流程及技術層的跨階層的盤點；

CDM (Cyber Defense Matrix) 是 OWASP 的一個專案，由一個 5x5 的矩陣所構成。橫軸是 NIST CSF 的五大類別，而縱軸則是資產盤點常見的分類；組織可以利用這個矩陣來盤點企業 Technology View 建構的防禦設備，更精準的確認需要保護的資產是否在 NIST CSF 的每個類別都有對應的措施。

以 ISO 27001 作為例子，將其本文的要求及附錄 A 的控制措施，對應到 CDM 上，進而盤點 ISO 27001 在組織的程序面所能涵蓋的範圍。要注意的是，不同組織在盤點時，會產生不同的對應結果，這正是透過 CDM 來檢視的意義所在；例如在盤點「A.7.2.2 資訊安全認知、教育及訓練」時，企業要思考對於人員的教育訓練是否涵蓋到 NIST CSF 的五大類別，還是只包含人員意識的訓練；另外以「A.6.2.2 遠距工作」的防護機制，除了針對網路層及應用程式保護外，管理程序是否也包含遠距工作的資料及設備要求？

接著，往下一層 (Procedure Layer)，也將企業現有的控制措施，對應到 CDM 中。這邊以 CIS CSC 為例，淺藍色的部份屬於基本型的控制群組、灰色部分為基礎型控制群組，組織型的控制群組因為比較偏向程序面，因此比較難單獨歸屬在特定的 CDM 區塊中。

透過真實的威脅，補足資安策略的不足

在透過 CDM 盤點完 Procedure Layer 及 Process Layer 後，企業接著可以透過資安事故、威脅情資、紅隊演練或模擬入侵攻擊工具 (BAS) 等貼近真實威脅的服務或工具，來思考資安策略的不足之處。這邊我們以一個紅隊演練的部分成果作為案例，來貫穿本篇文章的應用。

在這個案例中，我們約略可以發現幾個問題：

1. 程式撰寫不夠安全：以致存在任意檔案上傳的漏洞。
2. 不同系統間使用共用帳號密碼：導致撞庫攻擊可以成功，而監控機制或組態管理顯然未發揮作用。
3. 未依照資料機敏性進行網段區隔：對外服務網段可以透過 RDP 連線至 core zone。
4. 特權帳號與存取控制未進行關聯分析：致可以使用 backup 帳號登入 AD 網域控制器。

上述的 4 個項目，是直覺在盤點時可能想到的疏漏項目。但要怎麼確認還有其他根因 (root cause) 是企業沒思考到的呢？這時候就可以利用已知的標準及框架，搭配先前盤點好的控制項目，來更為周延的思考目前還可以強化的控制措施；如果企業的資源有限，甚至可以參考 CIS CSC 對於優先權的建議順序，先確認組織實作群組 (Implementation Group) ，再依基本型、基礎型及組織型，訂定短、中、長期計畫及投放資源，有目標的改善防禦能耐。

最後，可以將上圖找出 Procedure Layer 的控制項目，對應到 Process Layer 的盤點結果，檢視流程上對應的作法。以 「14.1、依據敏感性網路進行區隔」為例，去評估 ISO 27001 中「A.6.2.2 遠距工作」的要求上，在設備、應用程式、網路、資料及使用者，是否都有做好網路區隔；或是「6.3 開啟更詳盡的日誌」，評估在 ISO 27001 中「A.16.1.5」對於資訊安全事故的回應上，在偵測、回應跟復原上，是否都有對應的程序可以支持，監控到發出的告警。

透過本篇的方法論可以從技術、程序、流程到風險，讓不同階層的資安從業人員有一致性的溝通方式。我們希望資安策略對於企業是一個真正可被實作、建立出短、中、長期目標的務實作為，而非只是一個組織治理中的一個高深名詞。

攻击路径的发现方式：情报驱动型，漏洞研究型，攻击模拟型。识别出共性问题之后，这个共性问题就是接下来要进行防御体系改进的一种输入。

攻击路径的发现方式：情报驱动型，漏洞研究型，攻击模拟型。识别出共性问题之后，这个共性问题就是接下来要进行防御体系改进的一种输入。

攻击路径的发现方式：情报驱动型，漏洞研究型，攻击模拟型。识别出共性问题之后，这个共性问题就是接下来要进行防御体系改进的一种输入。

The internet has become one of the most important access points in our daily lives. Unexpected surges in demand can slow web pages and create service outages for unprepared websites. A poor user experience leads to dissatisfied customers, making it more critical than ever to visualize and control online performance.

Google recently announced a proposed update to its search ranking algorithm: the Page Experience Update. This change, which launches in 2021, includes more performance signals in the ranking algorithm. A subtle but important feature of the update is that AMP will no longer be a requirement for promotion to Top Stories -- fast pages are all you need!

Welcome to day two of the Akamai Platform Update! Today, we're focusing on Akamai's edge delivery products as well as other complimentary products that help drive great digital experiences. The last several months have been nothing short of unprecedented as lockdowns, quarantines, and other protective measures enacted by governments and organizations drove a sudden and dramatic shift in user behavior, which in turn has driven enormous traffic levels. Akamai's importance has never been more evident as companies continue to rely on the intelligent edge platform to maintain business continuity and support the unprecedented traffic demand from online audiences. Regardless of the type of content, be it websites, apps, APIs, video, software, or smaller objects, Akamai's comprehensive set of content delivery products -- including Ion, Adaptive Media Delivery, and Download Delivery -- are designed to deliver great digital experiences for every user, regardless of location, device, or network.

The October 2020 release marks the culmination of a large number of updates to mPulse, Akamai's real user monitoring (RUM) solution:

According to a 2020 State of the Cloud Report, 61% of organizations plan to focus on cloud migration this year and 93% have a multi-cloud strategy. This means that on average your organization is using 2.2 public clouds, multiplying your complexity and costs.

Next year is shaping up to be a big one for live streaming. Typically characteristic of even years, when many major international sporting events take place, 2021 looks like it could defy the trend. Akamai is predicting an unprecedented surge in live streaming that will start in late 2020 and continue throughout 2021. During this stretch, we could realistically see 50 million people concurrently streaming a single live event. That's roughly double the largest number of viewers we've seen during a single event in the past. With this in mind, Akamai has used much of 2020 to prepare new capabilities included in the Akamai Platform Update that will help customers prepare for this surge in live streaming.

第一次打final 被打的头都炸了，555555。过去三周了，还是水一下这道签到题。

题目情况

作者搞到了一个ruby的

博客长草严重，上半年摸鱼太久。最近趁着有空开始复现之前的一些题目，这次做了2020RCTF的几道pwn题，本来还想着把MIPS那道题做出来再发，结果发现MIPS的调试还有很多问题，所以就先发常规一点的题。

As campaigns and digital experiences become more individualized, they can create a challenge for delivering content to consumers at the highest velocity. Having each paid search, social media, and email marketing campaign add unique query string parameters to requests is critical for tracking the ROI of a company's marketing spend. This pursuit of granular user data can place a stubborn limit on the ability of B2C companies to maximize the benefits of cached content -- particularly in terms of maximizing offload of content delivery.

受到摸鱼和各种项目压力之后，终于发出来了，这次是强网杯中强网先锋的4道pwn题，剩下的pwn题还在陆续复现ing，在做了在做了ing

Welcome to the Akamai October 2020 Update - a week of product updates, new features, and innovations. We'll be highlighting a different area of our portfolio each day this week. In today's post, we look at our enhanced edge computing capabilities and how they help developers more effectively and rapidly improve customer experiences on the Akamai platform.

This post is part of a series about machine learning and artificial intelligence. Click on the blog tag “huskyai” to see related posts.

• Overview: How Husky AI was built, threat modeled and operationalized
• Attacks: The attacks I want to investigate, learn about, and try out

We talked about creating adversarial examples and “backdoor images” for Husky AI before. One thing that we noticed was that an adversary with model access can very efficiently come up with adversarial examples.

前几周用到的溯源技巧。