資安健檢利用完善資安工具加速找出潛在威脅，但後續重點是正確運用工具、搭配實務可行的配套措施，以組織降低弱點風險

1. 1
資安健檢及因應配套
網路安全、特權帳號、網站安全
陳惠群博士
2015/02/05
CISM, CISSP, CSSLP
CEH, ECSA, LPT

2. 2
13:30 ~ 13:35 開場 叡揚資訊
13:35 ~ 14:15
金融、保險業如何運用檢測強化資安
•常見安全漏洞案例分享
•安全檢測規劃案例分享
中華電信 | 資安檢測組組長 施汎勳
14:15 ~ 14:55
資安健檢因應配套 - 10 年 Pro 級經驗大公開
•網路安全測試及源碼檢測
•帳密管理強度檢視
叡揚資訊 | 資深專業顧問 陳惠群博
士
14:55 ~ 15:10 Break
15:10 ~ 16:10
Mobile 威脅 - Apps Reverse Engineering
•從 Website 到 Mobile APP
•Apps 攻擊思維風險、Apps 自我保護
Arxan | 亞太區副總經理 Rich Lord
叡揚資訊 | 資安顧問 趙若雲
16:10 ~ 16:45
Mobile 資料安全再強化
•行動化身分認證 token、資料安全最後防線
SafeNet | 亞太區資訊安全高級經理
伍尚池

3. 簡報大綱
3
資訊安全評估
網路活動檢視
特權帳號檢視
特權密碼管理
特權存取管理
網站安全檢測
源碼檢查

4. 資訊安全評估方法
4
NIST SP 800-115
檢視(review)
檢視文件
檢視安全設定、安全規則
檢視紀錄檔、監聽網路
檢視源碼
檢視檔案一致性
識別(identify)
有線及無線網路探索
弱點掃描
驗證(validate)
密碼破解、滲透測試
社交工程
NIST SP 800-53A
檢查(examine)
檢視(review)
調查(inspect)
觀察(observe)
研究(study)
分析(analyze)
訪談(interview)
測試(test)
評估對象
規
格
機
制
活
動
個
人
政策、程序、規範、
基準、安全需求、
功能需求、安全設
計、安全架構

5. 控制措施
5
NIST SP 800-53 Security and Privacy Controls for
Federal Information Systems and Organizations
NIST SP 800-53A Federal Information Systems and Organizations:
Building Effective Assessment Plans
技術面

6. 金融機構辦理電腦系統資訊安全評估辦法
6
為確保金融機構提供電腦系統具有一致
性基本系統安全防護能力並遵循中華民
國銀行商業同業公會全國聯合會制訂之
「金融機構資訊系統安全基準」及「金
融機構辦理電子銀行業務安全控管作業
基準」，擬透過各項資訊安全評估作業，
發現資安威脅與弱點，藉以實施技術面
與管理面相關控制措施，以改善並提升
網路與資訊系統安全防護能力，訂定本
辦法

7. 評估範圍
7
金融機構應就整體電腦系統(含自建與委
外維運)依據本辦法建構一套評估計畫 ，
基於持續營運及保障客戶權益， 依資訊
資產之重要性及影響程度進行分類，定
期或分階段辦理資訊安全評估作業，並
提交「電腦系統資訊安全評估報告」，
辦理矯正預防措施，並定期追蹤檢討。
評估計畫應報董(理)事會或經其授權之
經理部門核定，但外國銀行在臺分行，
得由總行授權之人員為之。評估計畫至
少每三年重新審視一次

8. 資訊安全評估作業項目
8
檢視
資訊架構檢視
安全設定檢視
網路活動檢視
合規檢視
檢測
設備檢測(網路設備、伺服器及終端機)
網站安全檢測
郵件社交工程演練
•資訊系統安全基準(技1~51)
•提升系統可靠性
•提升硬體設備可靠性
•提升軟體系統可靠性
•提升營運可靠性之對策
•故障之早期發現，早期復原
•災變對策
•安全性侵害之對策
•資料保護
•防止非法使用
•防止非法程式
•電子銀行業務安控作業基準
•交易面、管理面、環境面及支付工具面等四大構面
之安全需求及安全設計

9. NIST Cybersecurity Framework
9
• 重視系統、資產、資料、能力(資源)的風控
Identify
• 建立適當的防護控制，確保關鍵服務正常
Protect
• 建立適當的資安事件偵察措施
Detect
• 建立適當的資安事件回應措施
Respond
• 建立並維持持續營運計劃與復原計劃
Recover
評估對象
規
格
機
制
活
動
個
人

10. 產出:電腦系統資訊安全評估報告
10
「電腦系統資訊安全評估報告」內容應至少包含
評估人員資格、評估範圍
評估時所發現之缺失項目
缺失嚴重程度
缺失類別
風險說明
具體改善建議
社交演練結果
缺失項目
資訊資產分類
•威脅來源及途徑
•外部
•內部

11. 簡報大綱
11
資訊安全評估
網路活動檢視
特權帳號檢視
特權密碼管理
特權存取管理
網站安全檢測
源碼檢查

12. 資訊安全評估作業－網路活動檢視
12
檢視網路設備、伺服器之存取紀錄及帳
號權限，識別異常紀錄與確認警示機制
檢視資安設備(如：防火牆、入侵偵測系
統、防毒軟體、資料外洩防護等)之監控
紀錄，識別異常紀錄與確認警示機制
檢視網路封包是否存在異常連線或異常
網域名稱解析伺服器(DNS Server)查
詢，並比對是否為已知惡意IP、中繼站
或有符合網路惡意行為的特徵

13. 網路活動檢視-異常紀錄與警示機制
13
紀錄集中收集機制(log management)
網路設備、防火牆、IDS/IPS、防毒軟體、DLP、其他資安
設備(權限管控、金鑰管理、加解密、…)、主機、重要系統之
存取紀錄，識別異常紀錄集中收集
何謂異常紀錄?
紀錄內容完整度?
自動警示及通報機制?
事件追蹤管理機制?
NIST SP 800-92 Log Aggregation Guidelines
Events

14. 網路活動檢視-網路惡意行為
14
判讀異常連線、異常流量、可疑IP、惡意網路行為
何謂異常連線、異常流量、可疑IP、惡意網路行為?
如何在大量封包中，找出線索?
Network Forensics

15. 網路安全監控架構
A T T A C K C O N T I N U U M
BEFORE DURING AFTER
See it,
Control it
Intelligent &
Context Aware
Retrospective
Security
Network | Endpoint | Mobile | Virtual
Point-in-Time Continuous
15
參考來源: SourceFire
偵察 掃描 傳送 植入 控制 破壞
沒有完美的防禦機制
駭客攻擊階段

16. 白名單(主動)防禦
識別應用程式
識別用戶身份
檢查傳輸內容
16
參考來源: PaloAlto Networks

17. 惡意程式偵測(設備檢測)
3 產出惡意程式鑑識報告
2 送至雲端深入分析1 辦示傳輸中的可疑檔案
17
參考來源: Damballa

18. 惡意連線偵測(網路活動檢視)
18
Dynamic
Generation
Algorithm (DGA)
Victim
DNS
Recursive
DNS
Authoritative
Firewall
Egress
C&C
Criminal Server
Proxy
Filtering
TCP/IP Session
Configuration
File
C&C Location
Behaviors Seen & Benefits
•Malicious DNS queries
•Domain fast-fluxing detection
•New domain queries
•Unique victim enumeration
•Detection prior to egress
•DNS query termination
Behaviors Seen & Benefits
•C&C connection behaviors/success
•URI identification (incl. HTTPS)
•Malicious file identification (Malware)
•Unique victim enumeration
•Bytes-in & bytes-out monitoring
•Full packet capture
•Session termination
Behaviors Seen & Benefits
•C&C connection behaviors/success
•URI identification (incl. HTTPS)
•Malicious file identification (Malware)
•Unique victim enumeration
•Full packet capture
•Detection prior to egress
•Session termination
參考來源: Damballa

19. 惡意活動分析(網路活動檢視)
參考來源: SourceFire
19

20. 簡報大綱
20
資訊安全評估
網路安全檢視
特權帳號檢視
特權密碼管理
特權存取管理
網站安全檢測
源碼檢查

21. 安全設定檢視-特權帳號是主要威脅
21
最難管控
但破壞力最強的帳號

22. 特權帳號應集中控管
22
22
帳號密碼管理系統(web介面)
系統管理者 審核主管 帳密使用者
所有管理功能：
主機管理、帳密管
理、密碼歷史紀錄
查詢…
密碼取用審核功能
帳號申請及取用

23. 代理特權帳號登入系統
23
Database
Network
Appliance
Virtual
Server
Windows/
UNIX/Linux
Application
Multiple Device Types
CA
ControlMinder
Secure
Password
Storage
管理人員 共用帳號
自動登入系統
手動登入系統
Session Recording行為監控
密碼取出

24. 密碼原則及變更密碼時效設定
24
密碼原則設定：
 密碼長度、複雜度…
密碼時效設定：
 自動變更密碼的時間(每天、每周…)
 重設密碼的時點(check-out 、 check-in)

25. 特權帳號稽核報表
25
WHO WHENWHERE WHAT

26. 系統資源存取控管
26
Contractor /
Partner
Password
Admin
Auditor
Systems Admin
外部廠商
內部人員
系統資源
Applications
Folders
Data
最小權限存取後端資源

27. 重要系統資源存取稽核報表
27
WHOWHEN WHEREWHAT

28. 簡報大綱
28
資訊安全評估
網路活動檢視
特權帳號檢視
特權密碼管理
特權存取管理
網站安全檢測
源碼檢查

29. 資訊安全評估作業－網站安全檢測
29
針對網站進行滲透測試
針對網站及客戶端軟體進行弱點掃描、
程式原始碼掃描或黑箱測試
檢視網站目錄及網頁之存取權限
檢視系統是否有授權連線遭挾持、大量
未驗證連線耗用資源、資料庫死結
(deadlock)、CPU異常耗用、不安全例
外處理及不安全資料庫查詢命令(包括無
限制條件及無限制筆數)等情況

30. 案例:看似微不足道的錯誤，造成Apple SSL Bug
30
只不過多一行 ，就造成
Apple 的 SSL 嚴重漏洞
而且很容易被忽略

31. 案例:原始設計已不符合個資政策
31
A1315xxxxx…
0920123xxx
拜訪南部某企業；前一日
接到電話，訪客需提供手
機號碼及身份證字號，以
便大門警衛核對
當日至高鐵站，輸入訂
票號碼及身份證字號末
四碼，完成取票
出示證件，警衛核對
訪客系統內的登記資料
刪除不需要的資料
修改訪客系統，訪客
僅需提供末四碼核對；
資料應定期清理
DESIGN
REVIEW

32. 網站安全檢測-滲透測試
32
OWASP Top 10
SANS Top 25
利用漏洞，進行入侵測試
設法取得未經授權之存取權
測試內部資訊是否有遭受不當
揭露、竄改或竊取之可能
交戰守則

33. 網站安全檢測-弱點掃描與滲透測試工具
33
交戰守則、可
否進行滲透測
試
測試品質
（涵蓋率）

34. 快速修補網站弱點(治標)
34
使用應用程式防火
牆或類似機制
修改關鍵程式

35. 安全軟體發展生命週期(治本)
35
Cigital Touchpoint Model

36. 與源碼版本管理整合的源碼審查機制
36
交付源碼
專家檢視
及規則調整
提供源碼檢查報告
統計分析
檢查版本差異
完整的管理功能
版本管理
問題確認

37. 源碼審查結果摘要
37
1. 檢查掃描行數及掃描文件是否
符合預期
2. 確認預置掃描方式
3. 注意掃描時間是否符合經驗值

38. (高風險的)疑似弱點，要如何處理?
38
問題要經過專業判讀。但多數報表
結果顯示，都是把工具檢測結果直
接輸出
報表輸出時，可以選擇
只輸出特定類別，並且
是經過確認的問題

39. 與需求管理系統整合的源碼審查機制
39
程式入庫申請
程式差異比對
原始碼檢測
程式入庫覆核、簽核
上版結果通知
程式差異比對
程式入庫覆核、
簽核
程式建構上版佈署
整合AD帳號
功能權限設定 整合原始碼檢測 整合需求管理系統整合版控系統
開發單位 控管單位
版控系統
統計分析
版控系統
自動源
碼檢測
程式入
庫管制
整合需
求管理自動源
碼檢測

40. 重視品質與安全的軟體開發生命週期
40
https://www.checkmarx.com/glossary/software-code-analysis-securing-applications/
強大的整合能力是
Checkmarx廣獲好評
的因素之一

41. 軟體安全成熟度模型-源碼審查
41
OpenSAMM www.opensamm.org
Level 1:基本審查
高風險源碼檢測
已知安全需求檢核表
Level 2:自動審查
統計分析及趨勢
軟體生命週期
自動源碼檢測工具
Level 3:全面審查
應用系統上版管理
客製化規則
BSIMM-V www.bsimm.com
Level 1:集中控管審查報告
建立常見源碼錯誤清單
人工審查高風險的應用系統
導入源碼檢查工具提升效率
建立制度，強制審查所有專案
集中控管審查結果
Level 2:程式撰寫標準
實施程式撰寫規範
培養種子人員，協助開發人員有
效運用工具
建立客製化規則，減少誤報
Level 3:檢測平台&客製化
整合各種工具及結果
撰寫規則，將程式庫內指定問題
完全排除
撰寫規則，自動偵測惡意程式碼
BSIMM-V

42. 源碼撰寫規範
42
Microsoft .NET Coding Guideline
Oracle Java Coding Guideline
Apple Coding Guideline
Android Security Tips
CERT Secure Coding Guidelines

43. 安全程式撰寫教育訓練
43
Cigital E-Learning (Commercial)
SAFECode (Free)
GSS Instructor-led Training

44. 為何需要調整規則
44
有些問題無法採用”標準”解法
工具檢出5,000個XSS問題
廠商確實已解決問題(經專家確認或通過測試)，但其修
改方法，源碼檢測工具無法辨識
有些問題並沒有”標準”解法
下列情況工具會檢出”privacy violation”
將password寫到logger(通常是違反規範)
將password寫到database(正常，但通常不能存明文)
沒有任何一個工具保證其規則不會誤判
事實上，工具提供的是警示，而非確認
事實上，市場競爭，工具傾向增加中、低風險規則
掌握規則，才能真正落實自動檢測

45. 軟體安全改善計畫
45
• jQuery版本須高於1.6.4版
• 應立即升級至Struts 2或採用Spring 3.x
列出不安全的API與開發框架
• 進一步檢查密碼變更模組之程式邏輯
• 進一步檢查身份驗證模組之程式邏輯
標示與資訊安全相關的程式片斷
• 依據OWASP Top 10 Risk項目進行檢核
• 程式內是否有密碼或金鑰字串
列出要監控的不安全程式寫法
目標：一年內完成
換句話說，這一年內
可以先略過此類問題
工具內建規則並未包
含此類檢查
檢測規則設定
(不同專案設定不同)

46. 總結
46
資安健檢的目的是辦理矯正預防措施
資訊安全不僅止於防禦駭客惡意攻擊
惡意網路行為檢視需要網路鑑識專業
缺乏控管的特權帳號是重大資安隱憂
源碼審查是強化網站安全的重要基礎

47. 47
Q&A
更多資安文章 please visit
www.gss.com.tw/index.php/focus/security