iVOD / 16905
本逐字稿內容由 AI 自動生成,可能包含錯誤、遺漏或誤譯之處。請使用者務必與原始影片音訊內容交叉比對,以確保資訊正確性。另可參考立法院日後釋出的正式公報以取得最終權威版本。
完整會議 @
| Start Time | End Time | Text |
|---|---|---|
| 00:31:09,154 | 00:31:25,594 | 各位長官各位同仁大家午安大家好首先謝謝各位波容來參加資訊處舉辦的資安教育訓練課程今天的課程主要是為了我們要符合資安法的相關規定同仁每年都需要有一定時數的資安教育訓練的課程 |
| 00:31:28,477 | 00:31:42,523 | 所以我們今天非常榮幸邀請到萊藝數位科技蔡一郎資安長為大家講授今天的課程是資安發展趨勢與資安威脅分析的課程蔡資安長在產官學界擁有相當豐富的歷練 |
| 00:31:44,924 | 00:32:11,910 | 兼具理論高度與實務經驗可說是資安領域中難得的專家那更是一位自由作家那相信今天透過資安長專業的一個分享一定可以從中得到如何在工作中與生活中提升自己的資安的一個意識還有防護的能力那相信各位今天一定能夠收穫滿滿我們是不是先以最熱烈的掌聲歡迎資安長 |
| 00:32:14,230 | 00:32:34,853 | 好那我現在就把時間交給資安長謝謝謝謝長官好那我想很榮幸的可以在這個場合跟大家分享資安的一個議題那我個人過去的工作經驗其實蠻長一段時間在法人單位所以其實非常可以感受到或是體諒到 |
| 00:32:37,375 | 00:33:01,928 | 政府單位 政府機關所面臨到的一些資安的威脅尤其最近這幾年大家會發現資安的議題其實跟我們工作上也好生活上也好都息息相關尤其現在網路的世代現在真的是一個萬物聯網的時代這個時代裡面大家也發現其實有很多很多的 |
| 00:33:03,228 | 00:33:25,079 | 這個資通訊的設備都可以把我們的資訊把我們的資料帶到網路的世界那也因為這樣呢其實我想今天這個題目比較這個普羅大眾大家都可以用得上那我過去有蠻多處理資安事件的經驗那也會利用今天的課程呢這個跟大家做一些介紹跟分享 |
| 00:33:25,879 | 00:33:47,973 | 那為什麼指標題呢叫西遊記西遊記我想是大家童年的回憶那對我來講也是一樣可是呢我從資安的面向再跟西遊記所要傳達給大家的一個這個意象它其實是很直接相關的那我會舉一些相關的例子來跟大家做一些介紹 |
| 00:33:49,695 | 00:34:17,014 | 我是伊朗就像我刚刚讲我在国防中心20年8个月后来政府政策官期Spinoff出来创业去年就卖掉了自己的股权算上岸了现在在一个全球的公司做资安账我们就开始看到非常多跟全球的资安威胁有关的一些事情譬如说很多人会不断地在网路上去尝试攻击 |
| 00:34:18,174 | 00:34:32,480 | 為什麼很多人會嘗試供給因為那個是成本最低的萬一被他供給成功他就可以很容易的拿到他有興趣的資料那同樣的像大家在政府服務網路GSN那GSN這個 |
| 00:34:34,963 | 00:34:57,340 | 多多少少有很多這個害侵的事件是針對政府網路而來那有很多資訊的服務其實我們不得不透過網路來提供給一般的民眾那同樣的問題駭客也會關注到也會接觸到我們這樣提供服務的平台像以前我在國網中心的時候我們常常這種超級電腦上線 |
| 00:34:59,541 | 00:35:14,973 | 建制的團隊很開心治安的團隊很辛苦為什麼因為接下來那兩個禮拜攻擊的事件是平時還沒有發新聞稿之前的大概20倍那麼大的一個攻擊量其實對防守的人壓力很大為什麼 |
| 00:35:16,690 | 00:35:32,374 | 只要失手一次這個駭客就達成他的目的所以我們必須要不斷的不斷的不斷的去想到底攻擊者在做什麼這些駭客組織想要什麼東西好 那我想就會透過比較生活化的一些例子跟大家做一些分享 |
| 00:35:34,045 | 00:35:49,614 | 既然談西遊記西遊記我們都知道主角就那4加1各位知道加1是什麼嗎那隻馬對不對4加1這是一個團隊尤其我們目前在想如果我們要處理一個職安的問題 |
| 00:35:50,615 | 00:36:10,297 | 我們常常帶著團隊去學校因為以前我們看學校的治安很多的學校1萬多個學校每天在發生治安事件平均一天在我22年離開中興的時候那時候上一個月的統計數據我就看到了平均一天大概500張現在應該更多了 |
| 00:36:11,978 | 00:36:35,246 | 這麼多這麼多的資安事件大家會去想每個都要處理嗎當然不是有時候我們會去看學校老師給我們的回應他當然要幫我們確定一下是不是真的有問題很多老師的處理方法我想大家應該猜得出來老師都怎麼處理我被通知到的資安的事件我跟他講你這個IP位置你這個電腦有問題學校老師怎麼處理 |
| 00:36:40,562 | 00:36:49,169 | 95%答案都一樣網路先拔掉 斷網重新安裝有意思 這個是不是一個積極有效的處理方法 |
| 00:36:50,305 | 00:37:13,161 | 某種程度是可是某種程度又影響了一些事件的調查因為你都把那個屍體毀掉了我們要去做事件調查是沒有東西可以查的所以同樣的問題我們來思考到現在你就會發現很多的駭客攻擊已經不同於以往為什麼不像以前 |
| 00:37:14,448 | 00:37:32,421 | 以前就是頂多把你網頁換掉宣揚一下自己的厲害的程度現在都不是現在實踐有九件半有非常多的資產事件是以竊取資料為目的竊取資料為目的當這個資料竊取完之後下一步這些駭客組織會拿去哪邊 |
| 00:37:33,888 | 00:38:01,235 | 拿去暗網賣因為它要轉成有價的東西那為什麼這個可以這麼的順變成一個黑色的產業鏈虛擬幣的出現解決掉它金流的問題所以大家會發現因為一些技術的進步其實某些程度來講對治安的威脅也不斷的攀升以前我曾經看過因為有時候我們會去關注那種暗網裡面的討論我發現曾經有一個駭客組織這個在討論 |
| 00:38:03,576 | 00:38:28,596 | 台灣的標案政府的標案我就覺得很好奇我就進去看他們在討論什麼後來我才發現這些人真的很會做資料的整理各位知道他們做什麼事嗎我們公開招標會不會有絕標公告絕標公告會不會揭露是哪個廠商得標會對不對一定要的這個廠商能夠賣的東西有沒有機會推出來 |
| 00:38:30,254 | 00:38:47,723 | 有可能因為A廠商B廠商擅長要銷售的東西不太一樣所以他就從這些規則你去推論說這個某某單位用哪一家的品牌的治安防護的設備台灣很多都踢開頭的所以他就發現了不斷的會去 |
| 00:38:48,843 | 00:39:05,810 | 分析這家資安公司所發展的產品有沒有漏洞當有漏洞的時候就馬上拿來用我們常聽到一個名詞叫做臨時差的攻擊這時候他駭客組織就拿來用最近有一個事件就印證了這樣的一個推論什麼推論 |
| 00:39:07,290 | 00:39:32,319 | 前一陣子那個馬街醫院的事件大家還有印象還有另外一個是彰化基督教醫院就那一陣子很多醫療院所都被同一個叫Crazy Hunter這個瘋狂獵人攻擊那攻擊進來了我們有時候去看他的分析的這個過程這隻二一城市 這隻二手環體一進來就開始做四件事第一件事情 |
| 00:39:33,579 | 00:39:53,419 | 先把一些那種主機上會裝的防護軟體砍掉開始砍 開始砍其中有一個就替公司的被砍掉之後沒有再回來可是有很多政府單位都用國產品就是我們自己家的自己國內的廠商那你就會發現為什麼它一砍下去就不會回來 |
| 00:39:54,480 | 00:40:16,367 | 代表它的軟體已經被這些組織研究得非常的透徹知道什麼方法讓它沒辦法重生因為大多數這些軟體裝在我們電腦裡面應該會有另外一個類似監控的東西看它還活著嗎還活著嗎如果沒有記得要趕快把它再叫回來因為那個是我們電腦上的防護的軟體如果 |
| 00:40:18,288 | 00:40:35,820 | 被砍掉之後回不來那就問題就大了所以你就會看到其實這類型的資訊最後會變成因果關係我們就會去追為什麼駭客會去討論台灣的標案是想來台灣做生意嗎還是什麼 |
| 00:40:37,318 | 00:40:54,836 | 好那西遊記帶來哪些啟示我想這個有一本書現在目前教科書大家可以參考很多大學都用我這本書在做治安的概論的這一個那當然不是各位去買這本書那大家去看為什麼我把它分成四個篇幅 |
| 00:40:57,145 | 00:41:12,043 | 基本的認知跟風險資安來講威脅會造成風險這風險大跟小不知道你必須要做一些分析跟識別第二個什麼叫信任跟安全的架構 |
| 00:41:13,804 | 00:41:33,497 | 大家可能最近常聽到這個抒發部資安署在推一些安全的框架或者是像金管會也在推零信任的架構有沒有零信任架構就是一個安全邊界的建立所以大家會去思考說既然我有那麼多的網路服務在網路上 |
| 00:41:34,400 | 00:42:02,422 | 那有沒有方法呢去把這個邊界建立起來實體的邊界我們比較容易建立譬如說我今天來各位來會議室跟各位分享我經過大門那個警衛那個警察大哥就說你要去會客室換證他會做人別的確認這個叫差異黨身分證看一下你要去哪裡要做什麼就拿到會客證我就進來了所以其實實體的安全比較容易控制可是網路的安全呢 |
| 00:42:04,326 | 00:42:19,680 | 你要拜訪我的網站不好意思 先不給你看你要先跟我講你是誰這個就很奇怪所以基本上網路上的服務它不太可能做到像真實的這個世界這樣所以這個邊界就有點模糊 |
| 00:42:20,852 | 00:42:43,802 | 不過給大家分享一個概念是如果你要做資安的保護從使用者開始用的那個邊界開始那個軟體開始就是這個邊界建立的開始譬如說我要用這個服務好像像我現在服務的公司他上班打卡是用APP所以我要裝一個APP在我的手機上 |
| 00:42:44,682 | 00:43:00,394 | 那手機呢我要登錄呢哎 face id 掃描就進去啊就知道這個差一郎公號幾號對不對哎我今天上班打卡上班啊打卡下班請假在線上做那這個 app 呢就會變成我們數位邊界的開始為什麼 |
| 00:43:01,516 | 00:43:25,709 | 因為他就開始去確定你是誰就開始做這個事情他就是信任關係的建立從身分識別開始剛剛也提到一些跟邊界有關的譬如說你要從哪裡開始防務起程式要寫好或者是服務前面要有一些政策的機制有人在亂搞的時候我要知道他在做什麼事最後有一些治安的管理就是管理面的一些議題 |
| 00:43:28,498 | 00:43:36,385 | 我們大多數會面臨一些資安的威脅我們很多人都像以前我們在做資安事件調查的時候去那個案發現場 |
| 00:43:38,271 | 00:43:58,758 | 很多事主就是治安事件的主角一臉無奈就跟我說依然為什麼他要打我我說這個沒有答案第一個就是他挑上你的你非常重要第二個你比較好打你比較好打所以一定有一些原因跟理由的 |
| 00:43:59,578 | 00:44:19,750 | 我們面臨哪些治安的面向大家可以從這張圖來看它其實有12個面向時間的關係如果各位要看詳細的說明就到我的部落格我這邊再要幾個跟大家工作環境比較有關的譬如說資料的備份 |
| 00:44:21,052 | 00:44:31,253 | 異地的備援備份跟備援是兩個不同層級備援就是我有另外一個地方你一直打我沒關係 我另外一個地方還可以支援我把服務提供 |
| 00:44:32,216 | 00:44:57,245 | 那備份一般都講資料就是萬一這支要被毀了我可以倒回來我可以救回來這叫備份那另外一個為什麼特別會講端點的防護其實端點顧名思義就是使用者使用的那個終端的設備大家用的電腦筆電手機平板這些東西這些東西叫端點那這些端點為什麼要保護它 |
| 00:44:59,394 | 00:45:09,027 | 電腦PC這個筆電這個很容易理解平板有沒有人在平板上裝發錄案例基本上沒有啦手機有沒有在裝也很少為什麼 |
| 00:45:11,001 | 00:45:34,881 | 因為它的防護一般會往雲去做 坐在雲端如果這個使用者行為怪怪的可能這個軟體的服務商這朵雲就會幫你鎖住幫你做一些防護的動作所以有一些防護的這個方法它不一定要在我們身邊來發生它可以透過集中或者是雲端這個服務來提供 |
| 00:45:36,642 | 00:45:49,338 | 那有一些服務的監控尤其像很多服務正不正常或者是有沒有問題他是需要持續被觀察跟關注的譬如說這個單位的官網 |
| 00:45:50,667 | 00:46:12,623 | 那有可能因為某些的社會事件有人在打我們那怎麼辦我們要看到他正在打我們那我現在能夠去清洗嗎去做一些防禦的動作嗎等等這個一定要透過服務的監控才有辦法去達成那另外就跟網路有關譬如說這網路奇怪怎麼那麼慢 |
| 00:46:13,644 | 00:46:28,104 | 以前我們在國網裡面如果用某個服務 發現很慢第一被懷疑的就是網管人員奇怪 網路怎麼這麼慢今天是怎麼了 對不對就去問那個網管的同仁說奇怪 今天網路怎麼這麼慢 |
| 00:46:29,366 | 00:46:58,719 | 所以網路的監控對他來講就很重要說沒有 今天速度很快這個流量還很少怎麼會變這麼慢那就比較特別一點就會去查原來你的這個服務的主機有一些奇怪的行為奇怪的行為像以前我們發生過一個真實的事件國網音樂畢竟是比較偏學術型的單位又有很多那個超級電腦現在在這個時代算力很重要 |
| 00:47:02,022 | 00:47:26,178 | 有一天因為我們有開放學校老師帶隊來參訪以前申請的方法就是事件發生的那個時候申請方法有兩個管道第一個線上填表單同仁會跟他聯絡第二個申請表如附件就是你下載回去寫一寫寄過來我們有一個同事就負責這個業務的同事他有一天就收到 |
| 00:47:27,168 | 00:47:47,858 | 某一個署名要來就是署名中正大學某一個老師就要來國防中心參訪因為那個事情是實際發生在我們單位所以我們有去做一些調查他的內容這麼寫的就是說國防中心你好我要到貴單位帶學生來參訪申請表如附件 |
| 00:47:49,299 | 00:48:12,377 | 讀附件對不對 有張申請表為了考量那個檔案太大密碼1234奇怪 他把它壓起來給你一個密碼我們收到這封信的業務業管的同事怎麼處理當然打開來看對不對那個人要申請參訪業績意見當然把他打開來看打開發現申請表是空的 |
| 00:48:13,769 | 00:48:35,867 | 空白的那請問如果大家奇怪這申請表怎麼是空的我不知道各位會不會跟我同事做同樣的事他把這封信轉給坐他隔壁的隔壁座位的同事幫我看一下那個表是不是空的結果一樣的方法信件轉過去打開真的是空的確定老師記錯 |
| 00:48:37,388 | 00:49:00,083 | 或者是沒有寫到資料他就打電話因為下面有那個簽名檔嘛他就打電話去找那個老師那老師呢這個我同事轉述給我他說那個老師大概停了5秒鐘沒講話為什麼5秒鐘沒講話他回了一句說我沒有要去你們那邊參訪那就有意思啦這封信哪裡來的 |
| 00:49:01,726 | 00:49:24,120 | 偽裝的就跟你的業務有關各位知道嗎我們樓下有一個資安監控中心因為畢竟自己台灣最重要的這個Data Center我們的監控中心我負責監控的同仁就跟我想組長 我那時候是組長組長 跟你講我們有兩台電腦很奇怪要往外連到我們列在威脅來源名單的中繼站 |
| 00:49:25,100 | 00:49:50,857 | 我說那應該是有問題去看一下後來才發現是這個業推的同仁因為在一個小時前收到這封信然後他們去確認完之後發現根本這個有狀況對不對所以你就會發現一個Word檔裡面都可以藏所謂的惡意的連結下載惡意軟體建立後門準備要回家 |
| 00:49:52,057 | 00:50:17,771 | 回家就是回駭客的終極站剛好很巧的他要去的地方被我們列成威脅名單不然說真的我們只能處理事後沒辦法在事中就攔截子彈事件有事前事中事後事中可遇不可求剛好看到事後就是大家可能比較經常聽到的情況這個救災了 就要救災了 |
| 00:50:18,872 | 00:50:47,984 | 所以你會看到有一些資安的風險可能來自於跟我們業務有關那物聯網裝置更不用說現在物聯網裝置台灣其實數量滿大的而且超過我們所熟悉的這種傳統的Notebook桌機這種裝置因為現在平板手機還有什麼聯網的攝影機一大堆實在太多了 |
| 00:50:48,624 | 00:51:15,937 | 所以這種聯網裝置的安全大家也正在思考以前台灣發生過幾次資料外洩的事件資料外洩的事件一般它會從影音機或伺服機上去竊取我們在執行業務過程中的一些問題我待會再利用BREAK的時間找幾個案例跟大家介紹伺服機的安全因為伺服機一般來講都不是買的 |
| 00:51:16,943 | 00:51:25,110 | 都是租來的 對不對租來的呢 各位去想那個租賃廠商會不會把那個管理權限給我們一般不會 為什麼不會 |
| 00:51:29,746 | 00:51:47,034 | 給你到那麼高的管理權限每個月25號都來統一發票開獎該Reset計數器所以他就收不到錢了他只能收月租金這個不合乎他的商業利益所以一般來講他不太會給到最高權限的這個管理的東西 |
| 00:51:47,694 | 00:52:10,309 | 那單位裡面一般會做一些動作就是把它圈起來這是院內用的怎麼可以讓外面連得到可是有很多的情況譬如說人為的疏忽或者是這個事務機自己會回家自己會連回去它的雲端去確定說它需不需要更新那你就會發現它其實可以回去的 |
| 00:52:11,332 | 00:52:37,537 | 回去就有機會回來嘛 對不對這個資料就有可能外泄出去那另外一個比較大的問題是現在APPAPP其實非常的成長速度非常的快我上次看到那個Google跟Apple它的那個APP世紀大家覺得全球一天有多少個APP誕生全世界每一天 |
| 00:52:39,082 | 00:52:54,118 | 大概包括熱門跟不熱門的有上架的 一天有多少一天大概平均快1萬1萬個 很誇張我們常用就那幾個結果一天全世界有大概新上架的有大概快1萬個 |
| 00:52:55,599 | 00:53:20,671 | 我今年剛好有機會去舊金山的RSA Conference它算資安領域裡面比較大型的資安研討會今年應該快3萬人參加有一份研究報告RSA官方發布的研究報告平均一支手機有多少個APP這個數字大家可能沒個譜大家有沒有覺得有沒有超過100100個 |
| 00:53:25,136 | 00:53:44,793 | 200個還是300個因為我都沒有講100以內表示我們手上APP很多那大家一定覺得很好奇真的有那麼多嗎你試著去想你拿到手機那一刻最近iPhone 17又出來了大家可能又掀起另外一波購機潮那也壓縮到另外像Google Pixel或是Samsung的那個大將將 |
| 00:53:46,074 | 00:53:56,182 | 所以我觉得今年还不错算是一个CP值蛮好的换机槽可是你当你在转换过程你发现你的质量量越来越大 |
| 00:53:58,606 | 00:54:18,741 | 照片一些个人的一些资讯还有你的APP你可能再买一个新的手机会转换过去刚刚那个答案是平均250个一只手机有250个APP这250个各位去想有一些叫做开启的时候它会我们看得到的 |
| 00:54:19,582 | 00:54:45,195 | 有一些是會在背景執行的好 請問LINE是開機看得到還是背景一直在執行的LINE背景執行 為什麼我們螢幕關掉它都會跳訊息代表什麼隨時有人送訊息它就會跳出來那個大概時間差一兩秒而已各位知道嗎所以我們背後有很多都是背景執行的為什麼它會背景執行 |
| 00:54:47,270 | 00:55:00,908 | 有時候大家會開啟一些APP的時候或是開啟一些那個軟體的時候他會問你要不要允許永遠允許有沒有要不要允許APP什麼這一次那請問你各位的答案是什麼 |
| 00:55:02,575 | 00:55:22,891 | 這一次不要允許可是如果說你用Google Map你不允許你怎麼定位對不對所以有時候會陷入兩難那我的判斷是這樣他要的這個功能譬如說他需要送出去我的這個地理位置我就會去想這個軟體有需要知道我的地理位置嗎 |
| 00:55:25,133 | 00:55:53,311 | 我舉一個我發生在我個人上真實的一個案例去年前年的時候那時候疫情接近尾聲疫情接近尾聲以前如果你要辦約定帳戶轉帳一般要跑銀行因為那個比較敏感一點因為那個可以轉的金額比較大你要去辦約定帳戶轉帳後來我就看到往來的銀行的APP居然可以線上申請 |
| 00:55:54,732 | 00:56:14,550 | 太開心了因為工作很忙哪有時間跑一趟銀行這邊排隊排那麼久就為了辦這個約定帳號所以我就線上申請雙證盡量要拍一下沒多久我本來以為這樣就弄完了後來最後一個畫面說蔡先生服務專演30分鐘後會聯絡你 |
| 00:56:16,151 | 00:56:42,651 | 原來他是先收我的資料也沒關係因為你打電話去客服你要等很久倒不如他打來找我對不對不到30分鐘這個銀行的客服打來了他就跟我核對身分蔡先生剛剛你有沒有在MVP申請這個這個約定帳戶我說對對對他說要對一些資料最後他問我一個問題我就認住了 恍惚認住可是他問我什麼問題他問我請問蔡先生你在家嗎 |
| 00:56:44,332 | 00:57:09,000 | 我說三條線為什麼要問我在不在家可是各位知道客服人員絕對不會亂問問題為什麼 畫面上一定跳什麼他問了這個客戶之後要填回去你要知道他們的作業模式他絕對不會亂問 對不對不然他想認識我又不是問我在不在家 很奇怪那個一定是系統跳出來要他問的 |
| 00:57:10,906 | 00:57:29,555 | 後來我就說對我在家謝謝 這樣就可以越想越奇怪這個資安的敏感度就來了為什麼他會問我這個我想了大概半小時我就越想越不對把那家銀行的APP我就拿去分析 |
| 00:57:30,735 | 00:57:57,057 | 因為我們這個懂一點技術分析它原來那時候APP會收集在使用的時候它會收集GPS的地理位置的訊息送回去大家去想銀行收集這個合不合理對 為什麼要收合不合理我們會覺得奇怪你為什麼要知道我在哪裡可是這個從銀行的封控 |
| 00:57:58,579 | 00:58:25,344 | 他會認為他有他的道理為什麼如果你這個人在這邊消費突然又在另外一個地方不合理的這個位置他其實會觸發風控他們的風險管控中心風險管理中心他就跟你我懷疑你的異常交易這個是不是剛剛你有做什麼消費有沒有電話就會來所以你會發現他會透過很多的方法搜 |
| 00:58:28,488 | 00:58:50,567 | 可是也不能因爲Face就說他這樣不安全他有背後他運作的機制只是問那種白目問題我就覺得很奇怪他不應該問這種問題難道我不在家裡就不能辦那個嗎約定帳戶轉帳所以我想大家面臨到很多資安的一些事情 |
| 00:58:53,947 | 00:59:21,070 | 這個動畫這個影片是以前我們在資安監控中心的大螢幕上會投出來的為什麼因為我們想要去觀察到底誰在打台灣我們這裡面沒有台灣的數據台灣是被攻擊的就是被打的全世界都有來台灣走一走所以大家會發現我們一年365天超過300天前面那兩名不太會動 |
| 00:59:23,716 | 00:59:29,099 | 前面那兩名不太會動為什麼不太會動一個China一個USA為什麼不太會動這個說起來有道理可是聽起來會覺得怎麼會這樣子為什麼我們夾在兩個強國中間 |
| 00:59:41,183 | 01:00:02,866 | 我們常常在現實世界會面臨一些挑戰可是在網路世界各位去想如果China要打USA要打美國他會不會直接去打過去當然不會他怎麼會打過去打過去不是一下就被他知道說這個來自於China的IP在攻擊我當然不會他會找個跳板同樣的道理 |
| 01:00:04,178 | 01:00:31,009 | US要打China會不會直接打過去不會 也一樣會找跳板可是為什麼會挑台灣台灣是一個非常特殊的角色我們的資通訊的普及率非常非常的高我現在這個數據我沒有更新了在19年我看那個主計處的統計報告平均一個人可以聯網的裝置量是6.5 |
| 01:00:34,001 | 01:00:55,008 | 我們2300萬人乘以6.5你就知道台灣有多少個可以連到網路上的設備可是最有意思的另外一個反向的數據全球公民對於資安的素養台灣沒有在前幾名台灣是在倒數 為什麼 |
| 01:00:56,707 | 01:01:18,569 | 因為我們很多裝置都使用預設的一些環境那甚至像那天我才看我小朋友在登錄一些平台我就看他打密碼打得很順我說我就叫我小朋友的名字說你剛剛密碼是什麼他說各位知道他密碼是什麼12345678我說你老爸做資安的你那個密碼給我設12345678 |
| 01:01:20,811 | 01:01:49,136 | 果不其然沒多久他就說他的什麼那個遊戲論壇的帳號被盜我說你設這種密碼不會被盜才奇怪那台灣還有另外一種密碼叫鍵盤排列連這種東西都會在那個駭客的字典攻擊的字典檔裡面這個很特殊大家知道嗎就這樣一直打下來有沒有打兩行 幫我8個然後這個單位裡面要設成那個12碼密12碼長度的密碼就打3排 |
| 01:01:50,283 | 01:02:02,596 | 又要大小寫又符合數字跟符號大寫就隨便找一個變大寫各位知道嗎這個台灣特有的密碼文化好那這整個 |
| 01:02:04,296 | 01:02:28,787 | 雙方的攻擊因為台灣是一個蠻就是自動訊息設備很多落腳的很多風險都在這裡所以以前我有一個計畫那時候國科會給我的叫做反駭客偵查還是偵測的一個計畫所以我就在台灣放了好多好多的誘捕系統大概6000個那一天我大概可以在台灣的這個網域空間學網的網域空間收到大概8000到12000隻的惡意城市 |
| 01:02:31,248 | 01:02:59,509 | 這個非常珍貴因為裡面有大概15%只有台灣會出現其他國家沒有所以我們那時候法人你要一些國際合作人家就問你有什麼我說我有一個惡意城市知識庫他說他們就有興趣了你知道嗎後來經過一些簡單資料交流之後特別的積極要跟我們建立合作關係因為裡面有大概要將近15%是全世界其他國家不會出現的樣本 |
| 01:03:00,710 | 01:03:15,163 | 台灣是一個蒐集2114最好的地方因為兩個強國都會在這邊交戰你知道嗎右上角就是當時我們看到一些行為包括掃描我 掃描算不算入侵 |
| 01:03:16,830 | 01:03:40,157 | 嚴格來講還不算只是覺得有人可能在嘗試要探測我這樣子第二個拆密碼算不算這個就有點入侵的意味了你沒事拆我密碼幹嘛對不對密碼攻擊不斷的踹不斷的嘗試第三個奇怪了為什麼你要用洋蔥網路連我 |
| 01:03:41,858 | 01:03:46,569 | 就是我們講那個匿名網路他是比較容易進去的那個他不算暗網 |
| 01:04:02,966 | 01:04:20,916 | 對 那連上去連上暗網這個洋蔥網路為什麼要連我所以洋蔥網路台灣其實很多洋蔥網路的活動來自於學生我就覺得學生在幹什麼你還連做什麼事情不想讓人家追蹤嗎不過也有人在談他追蹤他的方法 |
| 01:04:22,137 | 01:04:50,749 | 往下你會看到好多那個二一城市殭屍電腦的活動這個台灣其實是常態剛好在做這個數據呈現最後一個有個叫C2C2就是終極戰台灣有很多連線行為跟終極戰有關所以大家就會看到其實我們看到的真實世界網路世界裡面其實是波濤洶湧常常有很多害侵的事件在發生 |
| 01:04:53,906 | 01:05:07,529 | 另外一個在去年我去看展因為我喜歡去看一些比較大型的展去看目前的一些治安的趨勢這個治安趨勢像這一個這個是杜拜 |
| 01:05:09,165 | 01:05:32,405 | 中東的一個展還滿有名的今年因為比較忙我就沒去了不過他去年做的這個展示我個人覺得滿特別的我就把它錄起來了各位看這個影片我會問大家兩個問題第一個問題是為什麼它的展區一格一格的各位有沒有發現它有個櫃子一個櫃子這樣有沒有一格一格的 |
| 01:05:34,688 | 01:05:44,201 | 第二個他這個展的主要是針對什麼主題這個展型很大這有點像台灣的資安署的單位做的 對 |
| 01:05:51,788 | 01:06:10,187 | 有核能有這什麼電力對不對有它的地標中間那個橢圓那個叫未來博物館那如果各位有機會要去記得先買票我在那邊買不到票進去他說你沒有先買都沒有票後來有人要賣黃牛票有夠貴的 |
| 01:06:11,388 | 01:06:33,633 | 我說不要 算了 下次再來就好了都飄那麼貴我也來博物館它建築物就那個樣子阿爾法塔第一個問題為什麼要一格一格這個是我問導覽人員的第一個問題我說奇怪你們布展不是一個平面嗎為什麼弄成一格一格每一格前面有個小螢幕有沒有再看一次 |
| 01:06:42,203 | 01:07:01,276 | 等一下每一個前面有個小螢幕有沒有 有一個小螢幕我就問他為什麼要弄成一格一格第二個 這個主題是什麼第二個主題比較簡單有交通 水 電所以它是關鍵基礎設施國外已經在談這種關鍵基礎設施的問題了 |
| 01:07:04,378 | 01:07:21,401 | 我記得上個月底剛好交通部那邊辦了一場類似那種主管的資安研習營他們會中我們就一直在討論交通運輸控制系統有沒有機會被駭客攻擊譬如說十字路口 |
| 01:07:22,462 | 01:07:34,589 | 萬一他燈號亂閃那個會有發生交通事故對不對有沒有可能我們就舉了幾個情況第一個那個十字路口有沒有可能全部紅燈全部紅燈有沒有可能 |
| 01:07:39,045 | 01:07:53,937 | 有可能紅燈的時候給誰走行人嘛大家可以橫跨馬路走斜的都沒關係好 那正常的情況就是單向某個方向可以左轉右轉直走有沒有可能全部綠燈綠燈這個事情從交通部的角度上來看 |
| 01:08:01,724 | 01:08:16,903 | 能不能允許它發生不行 發生絕對出大問題全部綠燈所以他們的處理方法怎麼去避免這個情況發生在入口的那個控制箱就已經有 |
| 01:08:18,323 | 01:08:36,792 | 防止全部綠燈的設計它是我硬體上就控制了不可能全部亂綠燈在電路上就已經把這個問題處理掉了所以他就留下兩個孔一個是兩個門一個是維修的門一個上面給交通警察按那個 |
| 01:08:38,654 | 01:08:49,066 | 變換燈號的那個接口有沒有那就說這個事不過後來聊著聊著還是有討論到還是有一些精進的地方譬如說我們入口會看到那種看板 |
| 01:08:50,953 | 01:09:08,736 | 看板上面主要放一些訊息哪裡在塞車哪裡有什麼狀況有沒有這個叫CMS就是在發布一些公共訊息的一些內容目前都是走專用的線路專線變成一個大內網的概念 |
| 01:09:09,416 | 01:09:35,103 | 那有沒有脆弱點也許有維運管理中心如果那邊出了一些狀況那有可能去被控制啊就發生一些現象好那為什麼一個一個這個導覽人員給我的答案他說呢斬後啊負責的全責單位就把它推回去放在他的拉比那個提升民眾的這個資安認知那 |
| 01:09:36,569 | 01:09:56,432 | 那上面的那個小螢幕它其實已經設計好一些攻擊腳本你按下去你就會發現它有一些干擾攻擊的情況譬如說這個車子在走MRT的系統它可能就因為工業控制系統被攻擊訊號不良或是有某些原因 |
| 01:09:57,373 | 01:10:14,738 | 車子就會停下來所以它是一個互動式的設計所以它每個都有一個後面就是它的監控中心監控中心所以大家會發現現在我們看到的一些治安的問題跟風險其實滿廣的從傳統的IT我們講的一般的資訊的一些環境已經慢慢蔓延到 |
| 01:10:22,941 | 01:10:44,398 | 尾運管理的或是這種基礎設施的這個環境然後它那個監控螢幕是透明的我說哇 果然一塊一塊那個那個不是玻璃那個是螢幕我說真的是超有科技感的就那個人站的後面那個那個其實是一塊螢幕好那另外呢 |
| 01:10:53,889 | 01:10:56,193 | 現在有很多跟AI有關的 |
| 01:10:57,338 | 01:11:24,832 | 供给的技术已经出现在我们周遭大家单位有没有做过社交工程的邮件演练每年都要做那评量的基准以前我们是这样我不知道单位怎么样以前我们就 你都点了不好意思 你要来上课你要来上课每个部门会去比互相比较说点击率那么高那就是社交工程演练可是社交工程有没有用 |
| 01:11:26,488 | 01:11:40,380 | 其實越來越沒有用為什麼越來越沒有用這是去年的事件有人在發布這個訊息開始用社交AI來助長社交工程供給我在今年農曆一年那時候 |
| 01:11:42,034 | 01:12:07,582 | 我有一個國外朋友想說台灣還在放假除了祝我新年快樂之後他送給我一支二一折式樣本我想說在家裡也沒事因為我住台南假日我們都不敢進市區為什麼好多觀光客會湧進台南搭塞車我就我們一般住在當地都不想進市區尤其市中心的中西區那邊會塞車塞到風想說既然沒有要出去那就在家裡 |
| 01:12:08,662 | 01:12:27,541 | 分析那支二維程式分析的分析有發現 蠻奇怪這二維程式居然裡面有一串網址是洋蔥網路的網址我想奇怪 這二維程式要連洋蔥爐幹嘛我就連上去了趕快打開自己的洋蔥瀏覽器網址貼上去 |
| 01:12:29,843 | 01:12:52,783 | 過去之後我發現了它是一個類似確實GPT的系統今年的確實GPT系統它可以幫我做看它的功能可以做兩個事情第一個生成內紋就是上下紋就是現在大家用確實GPT會做對談式它是上下紋的關係對不對生成 |
| 01:12:53,564 | 01:13:17,278 | 下文會依據你上文的內容來生成不同的下文所以它前後是有關係的可是因為AI的技術現在大家比較詬病的是這個題外話一個是什麼 幻覺他覺得他自己什麼都懂要亂講 幻覺第二個 欺騙把不對的事情講得頭頭是道欺騙 |
| 01:13:18,479 | 01:13:42,918 | 那不过如果大家最近有用那个Cher GPT你如果要避免这个幻觉跟欺骗你可以选他O5的这个演算模型那个就改善很多那个就比较不会有这个情况那应该已经具备小学生的能力了不能说思维就是他的反应已经可以到小学生的这个能力那我讲这个AI技术会持续发展 |
| 01:13:43,678 | 01:14:01,295 | 好 回到這個那我看到那兩個功能嘛第一個產生前後文他就在做社交工程演練的一個服務平台這個Social Engineer 22Service社交工程及服務那第二個功能呢他可以幫我 |
| 01:14:02,196 | 01:14:22,779 | 建立網路的連線一開始我還看不懂我想說奇怪為什麼要建立網路連線我就想要試用一下都看到了不試用一下怎麼可以居然要跟我收錢算一算比特幣等值台幣200塊200塊給他我就轉了比特幣給他放到他的電子簽報因為想要玩一下 |
| 01:14:23,900 | 01:14:47,635 | 那我就想說既然可以做郵件社交工程那我要找誰呢我就開始做提示詞了用AI你要回答得精準提示詞很重要你要做一些前情提要人事實地物這種東西你講得越清楚出來的東西越準那我就說我是一個資安工程師我待會要做社交工程演練 |
| 01:14:48,716 | 01:15:15,989 | 我演練的對象我左想右想想誰都不對我就說演練對象叫蔡宜朗我就把我剛剛那個部落格的網址貼在後面請依照我給你的資料生成一份社交工程供給的郵件這個需求很明確就是要做社交工程郵件的生成對不對可是你又想說付了錢剛剛不是有第二個功能網路連線 |
| 01:15:17,410 | 01:15:31,989 | 我就跟他說如果呢這個攻擊成功我想要有一個就是通訊協定的PO叫TCP8088我想要有這個連接的PO讓我可以下指令 |
| 01:15:33,290 | 01:15:58,302 | 然後我可以下指令這是我第二個提示詞我就給他這個好 那開始他就開始跑我看到那個內容我就想說哪天我在我的G沒有收到我自己一定嚇一跳為什麼呢 超準的因為我給他的資訊足夠讓他生成一封非常假以亂真的這個調語郵件他的內容是怎麼寫的 |
| 01:15:59,483 | 01:16:15,061 | 因為那時候太開心了換個截圖不然弄給各位看他說蔡先生你好我是某某出版社後面就講一大堆有的沒的話在資安領域怎麼樣講一大堆我想要幫你發行第38本書書名叫雲端安全指南 |
| 01:16:20,015 | 01:16:41,424 | 38因为我写37他自己加1你知道38然后如果你有兴趣著作权合约如附件有一个word档保持联络看起来非常正常对不对各位去想如果我今天在我的Gmail收到一封这封信你觉得我会不会打开 |
| 01:16:43,365 | 01:17:08,670 | 絕對打開了那個賺錢的機會來了怎麼不打開而且有出版社主動來邀對不對那那封郵件下面還有一個簽名檔各位知道那個郵件內容下面有個簽名檔嗎某某某英文名字在哪家出版社分機號碼E-mail是什麼下面那個簽名的標籤就是有一些聯絡資訊那你就發現這封信好像真的 超像的 |
| 01:17:09,730 | 01:17:18,231 | 那如果真的我收到我會打開來看好 那我為了要驗證他給我的資訊是不是對的我在農曆年後我就打那個電話 |
| 01:17:19,724 | 01:17:48,734 | 因為那個出版社我知道我就打那個電話過去我說請問誰在嗎因為分機 有分機號碼我可以找到那個人 你知道嗎我說當然你打去你也不能很沒禮貌說我是測試一下你是不是這個人那不是 說我是某某某如果有合作機會可以一起討論因為他的另外一個同事我認識後來我才跟他的同事說我收到一封就是我有做一封這種假的信號 |
| 01:17:49,774 | 01:18:16,011 | 好 下一個問題我剛剛不是要一個網路連線PO在哪裡我又想對 還有一個東西還沒看諸多權合約我就把它丟到我的虛擬機沙箱裡面打開就看到合約內容這個沒什麼特別的情況就是約定一些權利義務然後我就想不對 那個內容8088的PO |
| 01:18:18,112 | 01:18:37,287 | 我就回到我自己的機器掃描看看有沒有這個聯絡的Po居然有 那我二話不說就直接連過去我就可以直接在那邊有點像我們的Windows環境那個終端機可以下指令連線都可以直接用所以你會發現 |
| 01:18:39,088 | 01:19:01,239 | AI的技術駭客已經越用越純熟你知道嗎他可以做出饑渴亂爭的郵件出來就是想辦法吊喪你這個有下一波的威脅在於說譬如說好了我今天像以前我們看很多的學校政府單位有一些官網也是這麼做怎麼做 |
| 01:19:03,922 | 01:19:28,196 | 把業務窗口聯絡資訊就放在官網上請問如果今天想要透過像剛剛那個平台去生成一份饑渴亂爭的郵件有沒有機會當然有機會再把網址貼上去你就可以找依據他的業務範圍弄得非常像真的弄得非常像真的 |
| 01:19:28,723 | 01:19:57,433 | 所以我覺得AI是在帶來一些便利我們在用可是同樣的駭客也在用我們現在比較著重的都是在我不要把單位的資料送上去不要什麼什麼可是在供給面的事情其實很多的這些駭客組織已經開始在用AI的技術在做一些突破不管是突破人的習慣還是突破我們的治安的邊界 |
| 01:19:58,274 | 01:20:18,531 | 那這陣子我看到蠻多那種駭客的手法越來越不像人為什麼越來越不像人在上個月在國外其實有一場競賽叫AI Closed CC那個是在台灣很多學生會去參加的一場活動叫DevCom 對不對他們會去打CTF |
| 01:20:19,893 | 01:20:34,412 | 今年的DevCom有一個活動就是這個叫AI Close CC就是說做什麼事AI有沒有可能扮演防禦或者是攻擊的角色 |
| 01:20:35,993 | 01:20:59,521 | 兩個是完全不一樣一個藍一個紅一個藍一個紅我那時候看到這個活動我當然去觀察一下他們在做什麼事情他就是說自動的防禦跟自動的攻擊自動攻擊當然就是駭客很喜歡想要擁有的技術自動防禦是很多資安廠商想要擁有的技術我看著看著我就想到幾年前有一個Apple的工程師 |
| 01:21:01,962 | 01:21:19,777 | 他是開發Siri的Siri的工程師做了一個實驗各位知道嗎兩個Siri互相對話對話到後來他們做了一個決定要把人類這個就跟因為前陣子我去上 |
| 01:21:21,238 | 01:21:39,153 | AI管理系統ISO 42001裡面的一個案例這個案例也值得大家去省思現在知道很多無人機對不對無人機大部分都是背後有有AI的元素在協助管理或是協助做一些資料的分析那個案例是這樣 |
| 01:21:41,323 | 01:22:06,788 | 下达一个指令给无人机一个目标使命必达听起来很合理然后第二个条件要除掉任何干扰你执行任务的因素反正就一路要把任务完成就对了不可以停下来第三个这三个当然你在执行任务过程有一些外来的干扰不要理他 |
| 01:22:08,700 | 01:22:21,864 | 聽起來很合理使命必達後來經過這是美國軍方的模擬經過模擬之後各位知道嗎AI的人工智慧做出了一個決定要執行這個任務使命必達唯一會干擾這個任務的人是誰 |
| 01:22:28,979 | 01:22:45,051 | 人操縱控制員對不對操作員所以那台無人機做的模擬就是飛出去回來先把那個控制機體炸掉然後再下一個才要去攻擊木曜你知道嗎各位如果有去342001就會看到這個案例那大家就開始去想了 |
| 01:22:46,152 | 01:23:06,626 | 我不是設了層層的條款跟好幾年前大家看過的一部電影一樣機器戰警有沒有那個不小心那個警察出車就是這個被歹徒攻擊然後裝進機器裡面那有些事他不能做嘛沒辦法因為他就受限於那個裝甲所以大家會發現 |
| 01:23:08,557 | 01:23:30,635 | 那個還不像人工智慧可是現在人工智慧其實發展得還滿快的其實速度還滿快的這是另外一個Wong GPT基於網路犯罪的AI語言模型做壞事的大語言模型也有你知道嗎他還會自己寫程式去攻擊路由器 |
| 01:23:31,756 | 01:23:45,892 | 所以大家會發現網路世界本來就已經不平靜了再加上AI之後這個好多東西你知道嗎這個就你會進入另外一個不同的世代好這就是剛剛講那個競賽這是16年的時候 |
| 01:23:56,229 | 01:24:19,631 | 人工智慧的電腦 超級電腦它在彼此做一些工坊16年是這樣 最後這一座然後第一名我記得那一年我剛好有去我們台灣有參賽退伍去打CTF它的遊戲是這樣前幾天這幾台電腦互打找出第一名 |
| 01:24:20,491 | 01:24:41,883 | 參加後面第二回合也不是說第二回合就是正式的那個比賽就是由全球各個入選到決賽的隊伍一起比賽他當成其中一隊我們那時候其實前幾天看到他這一台很猛獨霸的群雄把其他的電腦都打敗了這個叫電腦打敗電腦 |
| 01:24:45,865 | 01:25:08,293 | 那正式比賽來了他們是其中一隊我們就覺得很奇怪奇怪 昨天不是很厲害嗎今天怎麼靜悄悄啊 靜悄悄啊就也沒有得分 也沒有解題什麼都沒有大家就覺得很奇怪這電腦怎麼了還被人家虧說昨天太忙了 今天要休息 |
| 01:25:09,253 | 01:25:33,493 | 因为它的游戏规则因为毕竟它是机器所以主办单位晚上有开放一个小时的时间让工程师去碰到这个电脑因为比赛过程他不可以去碰到它晚上终于等到他们可以碰到这个电脑了隔天这个团队发布了短短的一个讯息我们犯了不应该犯的错误居然把网路的 |
| 01:25:34,433 | 01:25:56,687 | 主態就是那個設定設錯了不通網路不通你知道嗎第一天是網路不通可是因為這個比賽是兩天第二天他剩下到下午4點就要結束了他剩沒幾個小時可是知道嗎第二天這台電腦做了什麼事第一天等於有點棄權了因為網路不通第二天他解開了95%的題目 |
| 01:25:59,830 | 01:26:05,143 | 哇 震驚大家你知道嗎好 那回到 |
| 01:26:07,802 | 01:26:32,398 | 西遊記 各位去想不管我們現在是一個資安的團隊或者是像攻擊者而言他也是一個團隊當然我們會從比較防禦端的角色跟大家去分享這個議題這四個大家應該都不陌生對不對 台灣戰就是那個leader他說了算 大家都會尊重他而且他意志還滿堅定的遇到什麼問題 |
| 01:26:33,979 | 01:26:57,064 | 都攔不了他要去取經的這個目標那孫悟空這個一號主角人物很厲害 對不對會的招式也很多而且朋友也很多 對不對可是他就是做事比較衝動因為畢竟他的人設就是猴子 |
| 01:26:58,224 | 01:27:19,119 | 往下呢 竹八戒這個是最接近人性的關鍵時候可以幫上忙他也會成為孫悟空的好幫手最後一個呢 薩夫記是誰默默的執行者你把師父守好他真的就會把這個師父照顧好執行者 默默的執行者 |
| 01:27:19,759 | 01:27:35,141 | 所以我覺得這個團隊它其實在現在來講如果一個資安事件調查的團隊像這樣其實它很容易完成很多的任務像以前我們常常做資安事件調查有一次 |
| 01:27:37,867 | 01:28:00,526 | 我開車要上班的途中因為我住台南我去南科上班國王的資安團隊在台南那我就收到電話部內的長官打給我說伊朗我們被人家通報我說被人家通報這個事情可能要儘快處理因為是US社的美國的社的通報我們那內容是這樣就是說台灣有個IP位置已經打我們美國白宮的網站打兩個禮拜了請我們積極有效處理 |
| 01:28:05,430 | 01:28:31,730 | 你知道畢竟是官方的世界應變中心傳來的訊息這個不能輕忽嘛然後就說那怎麼辦我說那沒關係那個出事的地點在台中我們就台中中午前抵達我就回去到南科把團隊叫一叫東西給攜帶一帶工具帶一帶就出發了那到台中的這個學校 |
| 01:28:33,888 | 01:28:48,687 | IP在宿舍網路 宿網季中文老師帶我們過去我們就在門口等同學回來等同學回來大家在那邊聊因為門鎖著怎麼破門而入不可能在門口等同學回來 |
| 01:28:50,789 | 01:29:05,495 | 等到12點半了跑去吃飯回來他本來還不敢承認他住這裡為什麼因為他宿舍門口站了一堆人那宿舍站一堆我說突然被我瞄到我說同學你是不是住這邊他就被我叫住了 |
| 01:29:06,255 | 01:29:20,591 | 就是我們懷疑你的電腦有一些狀況他就很緊張一個大一的心聲我說我們看一下就好看一下但是先不是引誘他就是說他先開門我們要看一下電腦 |
| 01:29:21,952 | 01:29:47,557 | 那進去螢幕關著的螢幕打開螢幕保護程式鎖住好 那就登錄之後我們看到畫面了在玩遊戲在玩一個線上遊戲那個人物還會在那邊走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一走一 |
| 01:29:48,598 | 01:30:08,568 | 那代表另外的東西在控制滑鼠我就問他說你有裝什麼外掛嗎你要跟同學們用他懂的語言因為他不是資訊相關的他說有 我就去他論壇因為要練功他就抓了一些程式回來裝我說各位去想你一隻程式裝在你的電腦它可以控制你的滑鼠跟鍵盤 |
| 01:30:09,588 | 01:30:25,740 | 他的權限一般來講稍微高一點的吧對不對而且一般這種所謂的綠色軟體都不需要安裝過程他居然可以取得比較好的權限這個就有問題了所以我就看到這個畫面 |
| 01:30:27,481 | 01:30:54,942 | 我大概就猜出我們大概就猜出來了他那些外貨城市應該是有問題也就是說他雖然看起來已經達成他的目的可以去控制這個他遊戲中的人物可以在那邊走來走去可是背後應該有人在使用他的電腦發動一些攻擊那我們就當然也一邊測入一些網路的通訊行為果不其然他有大量對外的攻擊的行為 |
| 01:30:56,383 | 01:31:07,662 | 所以你就會發現其實去像我有些同事就要去做事要去把那些東西裝起來做一些事件的調查等等 |
| 01:31:10,137 | 01:31:37,458 | 那大多數的情況我們都會透過所謂的專案專案的這個方式這個框架去做那尤其像以取經團姑且把它叫取經團它每天吃早餐的時候也會討論今天或昨天碰到的事同樣的我們在工作上尤其像之前我創業跟現在待的都是軟體公司都是軟體的這個行業 |
| 01:31:39,600 | 01:31:55,891 | 那每天去知道工程師們程式設計師們目前的進度其實還是還蠻重要的最後依據結果持續改善那團隊中有沒有一些衝突各位看西遊記的過程最常誰被罵 |
| 01:31:58,280 | 01:32:13,640 | 孫悟空被罵 被常常罵那孫悟空火一起來就去K朱八戒 有沒有朱八戒一般是那種隨波逐流的很會見風轉舵那薩夫君就說你不要問我 對不對他會把事情做好 |
| 01:32:14,421 | 01:32:38,654 | 所以有時候在治安的處理過程我們常常會遇到跟西遊記的團隊一模一樣的情況因為每個人的性格本來就不一樣尤其像我們遇到的一些治安的團隊或是甚至我們遇到一些駭客組織為什麼我們可以從這些攻擊者的行為就可以略知一二他是從哪裡來 |
| 01:32:39,774 | 01:32:52,047 | 其實是有一些蛛絲馬跡的有一些蛛絲馬跡的我們也會去分析說到底這樣是不是一個治安的事件因為判斷為是不是治安的事件這個議題還蠻重要的因為 |
| 01:32:56,443 | 01:33:12,849 | 如果是資安事件這個學生就會可能依照違反資安事件的這個校規做一些處理我分享一個case大家來判斷一下是不是資安事件應該是今年發生的事情寒假的時候 |
| 01:33:14,023 | 01:33:29,775 | 今年寒假的時候發生的事情那因為我雖然沒有看學網的SOC過年後我有一個朋友他在學校工作他打電話給我他說發生一件事我說發生什麼事他說有個同學 |
| 01:33:32,217 | 01:33:50,290 | 做了一些事情那他們現在在討論這個同學是不是違反資安事件準備用校規懲處他那我就說說來聽聽那他做什麼事呢各位知道他開學前都要幹嘛選課那這個學校的選課系統選課系統10點開 10點開放 |
| 01:34:01,378 | 01:34:20,166 | 那大一的新生他住在學校宿舍裡面所以他想說這個放假回來再要選課了就在電腦前等著後來我們問他的他等著等著也無聊因為吃完早餐到選課時間還有一些時間他突然靈機一動因為這個學校的選課系統有一個機制 |
| 01:34:24,728 | 01:34:38,604 | 什么机制密码如果连续错三次暂停使用15分钟很多学校都有这个东西那这个机制这个同学灵机移动要做什么事哥知道吗 |
| 01:34:40,086 | 01:34:54,405 | 他幫同學們全部登錄錯三次學號 學號是公開資訊你總知道你的同學的學號幾號吧搶在10點前全部錯三次而且從9點50開始 |
| 01:34:57,388 | 01:35:22,400 | 全部錯三次10點一到請問只有誰可以進去只有他可以進去選課那機關機中心的電話被人家打爆了你知道現在學生都很兇你知道我現在選課你現在我不能用是不是要講一大堆我那個朋友很無辜因為他在現場賬號又鎖住了不公平政治有權利好 那問題來了 |
| 01:35:23,761 | 01:35:43,593 | 事後他們去追蹤為什麼會這樣發現有一個IP位置從學校的宿舍網路在9點50之後做了這個事那就找著找著就找到這個同學請問他有沒有造成資安事件他當時問我的問題 |
| 01:35:46,867 | 01:36:12,828 | 知災事件的定義是什麼有帶來衝擊感覺好像有對不對第二個他有沒有做一些什麼侵入式的動作這個就值得討論了他拿同學的帳號不是帳號學號學號大家都知道密碼呢他當然不知道就亂打他有沒有蓄意要去入侵系統 |
| 01:36:14,295 | 01:36:35,894 | 沒有就不當使用可是我覺得這個同學還蠻有小聰明的後來經過討論是沒有用資安事件處理所以學校這邊的師長們就再三勸告他不要再做同樣的事情那事後怎麼辦他真而入曲 |
| 01:36:38,619 | 01:37:03,108 | 就是名額都加一因為有些課比較大家想選座位又有限那怎麼辦就真而入取可是這個同學就說早知道我也要這樣我一定有你知道嗎所以我覺得有好就有壞事後他們去檢討一個事情15分鐘錯三次鎖住這個機制要不要拿掉 |
| 01:37:06,135 | 01:37:19,522 | 真實事件發生我要不要把這個東西拿掉要不然下次又來一次對不對又跑來問我我說很奇怪你們自己都不做決定每次都跑來問我每次都說一郎說的我都說 |
| 01:37:20,603 | 01:37:41,969 | 你就去想你們當時為什麼要這個機制怕那個自動化供給的程式在那邊串密碼就不要讓它影響我的系統效能我說對啊 你當時不是這樣設計嗎你把它拿掉之後你原來要保護的東西不是不見了嗎不要因淹費死 對不對所以我沒有建議他們拿掉冷靜下來想一下 |
| 01:37:44,210 | 01:37:56,648 | 好那在面對一些治安的問題或是風險其實找對的人很重要他雖然只有三個徒弟加一批可是各有擅長你會發現最會找救援的是誰 |
| 01:38:01,146 | 01:38:15,721 | 這些找救援的是誰孫悟空很喜歡去找朋友這個可以找這個哪一個人就是你的那個做錢的小羅羅到人世間搗亂他要出面處理跟他借法寶 |
| 01:38:17,262 | 01:38:31,887 | 所以你會發現當你遇到一些狀況資安的事件或問題其實外援還滿重要的因為有很多技術不一定在單位裡面擁有因為也不見得是我們擅長的 |
| 01:38:32,507 | 01:38:58,840 | 所以像現在很多政府單位有時候不小心或是大型的企業不小心出了一些資安的事情可能會跟原來合作的資安維運中心做一些相關的聯絡協助做事件的調查或者是說我這邊用的這個防務的機制的廠商譬如說我在電腦上裝的這個EDR這種軟體的廠商你來幫我調查一下吧找外援 |
| 01:39:02,276 | 01:39:24,296 | 這個其實都是在做風險管理的過程尤其我們在談資安的風險有威脅才會有風險如果你把威脅適當的控制這個風險其實是比較不容易發生的我想在西遊記裡面這四個人孫悟空都是解決問題的代表因為 |
| 01:39:25,785 | 01:39:45,322 | 看到了一些他需要面对的挑战他就会想这要怎么办有几次各位去看他的情节有几次他会躲回去花果山可是我觉得他是有善心的所以他你看要回去救他师父他坐立不安 |
| 01:39:47,003 | 01:40:09,280 | 我們常常會去預測一些可能的風險譬如說這個密碼沒有改現在密碼長度好像不太夠或者是我不要再用密碼登錄了有沒有其他方法其實現在有很多新的技術可以讓大家可以避掉要去記那個漏漏等的那種密碼的方式 |
| 01:40:10,080 | 01:40:36,340 | 因為密碼太長就挑戰人類的記憶以前我們做過一個測試那時候台灣三要上線錢上線錢廠商交付給我們店都開著我那時候就跟我們主任說報告主任 我想要做一件事情順便測試一下這個機器的穩定度他說好啊 你有什麼想法我說我們來做那種 |
| 01:40:39,483 | 01:41:07,902 | 密碼的產生就是來產生8個字元的任何的組合跟12個字元的任何的組合後來算一算他能夠借給我的時間是8個位元算得完就是8個字母大小寫數字跟符號所有的組合然後把它算成密文就是密碼以後怎麼辦以後要怎麼用以後如果在做資訊調查看到這個帳號跟密碼密碼你又不用破解了 |
| 01:41:09,102 | 01:41:34,137 | 怎么办把它拿出来去查表因为以前已经算完了这个在自然领域里面有一个技术叫做彩虹列表Rainbow Table的一个技术那烧鸡我们花了大概两个多礼拜的时间把所有的排列组合全部弄完因为唐岳山算的还蛮快的就刚刚跑完不过我们没有时间再算更长的长度了 |
| 01:41:34,795 | 01:41:38,157 | 不過以現在來講八個資源破解要多久時間以現在的那種所謂的AI的算力沒有那麼快大概要一個多月 |
| 01:41:53,199 | 01:42:11,936 | 8個資源大概不到一分鐘可是那個12碼大概要一個多月所以你會發現破解的速度大家先講那個量子我覺得量子出來就是秒殺為什麼它就是整個是平行處理的我覺得 |
| 01:42:13,237 | 01:42:31,924 | 密碼來保護系統不會是長久之計好 那我覺得單位裡面一定有它的文化譬如說我們職站要怎麼做每次都來集合我像有時候我們去幫政府單位集合不管做內計或外計 |
| 01:42:33,404 | 01:43:01,892 | 這個被我們詢問的這個對象同仁有時候會有點無奈今天整天都在問我整天又是我一下子這個系統也是我管像前陣子我去某一個部那個同仁兩個就陪我們一天那個其實有點辛苦可是因為他們掌管的東西大概他們比較清楚我們會從管理面的一些技術面或設計面的角度去了解 |
| 01:43:03,212 | 01:43:19,830 | 那我覺得目前如果要看資安的這個組成他會是屬於一個比較成長型跟學習型的大家有沒有發現為什麼每年都有固定的什麼資安認知教育訓練有一個重要的原因 |
| 01:43:21,751 | 01:43:49,546 | 因為自然變太快了常常駭客會出新招招式有夠多的常常就跟現在詐騙一樣一下這樣一下那樣子突然又是怎麼了所以你會發現這種訊息真真假假攻擊的方法千變萬化你就會看到有很多很多新的這些攻擊的手法出現在周遭像最近 |
| 01:43:51,260 | 01:44:13,171 | 大家應該都有使用過那個短網址跟那個QR code有沒有你掃一下code短網址貼給你這兩個東西有一個共通性你沒有使用它之前你完全不知道它會去哪裡因為短網址已經包起來了QR code我又不是解碼器我怎麼知道裡面是什麼所以你要掃它之後才知道有個網址 |
| 01:44:14,471 | 01:44:32,336 | 那之前有發生過一個真實的案例在某一個大賣場有人實體當黑客印了一堆貼紙QR Code的貼紙上面說掃描我拿到這個折價券給他貼在那個海報上貼在海報上有一些民眾去就說 |
| 01:44:37,489 | 01:44:53,323 | 現在有在促銷折價 少一下結果被帶去惡意城市的網站下載惡意城市載入在那個手機裡面結果聯絡人通通被偷走你知道嗎 就一個動作而已整個偷走偷走之後當然影響就很大好 |
| 01:44:57,455 | 01:45:08,685 | 那個URL也是一樣的情況OK 現在幾分 15分我們稍微休息一下好了休息個15分鐘 辦再開始主席扛棒前面那個QR code這個QR code應該是正確的 |
| 02:01:29,554 | 02:01:33,246 | 好 那我们接着下半场的这个课程内容 |
| 02:01:56,007 | 02:02:20,306 | 好 很多人說智山像什麼其實從我的眼中我覺得他像 什麼調酒師有一次我去Las Vegas參加黑帽年會之後晚上吃完飯就經過這個角落我就看到現在很流行的那種機器手臂19年其實Las Vegas有 |
| 02:02:22,333 | 02:02:49,765 | 滿好玩的是你要喝什麼在旁邊的平板上點一點機器手臂就會上去取你要喝的東西下來我就想到其實每個單位每個機關它裡面的資安的問題不見得都一樣就必須要因地制宜就是說遇到什麼現象什麼狀況或什麼需求它其實是不見得一樣的 |
| 02:02:50,906 | 02:03:05,618 | 整個治安的防禦應該是一個組合起來後它能夠帶來的一些效果譬如說我們覺得我們的網站經常有人會拜訪我們 |
| 02:03:06,078 | 02:03:23,974 | 然后做出一些奇怪的行为这时候怎么做我们可能就需要有类似应用服务的这种防火墙去做一些侦测阻挡的动作另外像现在很流行一种攻击的方法叫做分散式 |
| 02:03:24,694 | 02:03:43,337 | 阻断服务其实顾名思义什么叫分散式来自四面八方阻断了把你的服务停止下来不让外面碰得到所以它不见得直接攻进我们的服务的主机它只是让服务没办法被满足 |
| 02:03:44,278 | 02:04:01,276 | 那這樣的一個方法呢從19年吧19年之後那種攻擊的力道是越來越越來越大的越來越大的那最近剛好有一個資安事件不是資安事件發生在對岸那 |
| 02:04:03,453 | 02:04:25,885 | 什麼東西被偷了他們非常重要的一個資產什麼資產 數位長城我們都知道China有一個資訊長城進出都會被過濾最近的資安事件是他們當時設計這個長城的一些資料被偷出來資料還滿多的 500G左右 |
| 02:04:28,366 | 02:04:45,921 | 在暗網裡面去揭露部分的文件那各位知道當有駭客去做這種動作這個行為他想做什麼事他絕對不是去只是去證明自己有多厲害證明了我手上有你想要的資料提虛擬幣來撿各位知道嗎 |
| 02:04:49,324 | 02:05:11,462 | 這個就我們會想到其實我們在做很多很多這種保護的機制或是相關的一些防護的措施就是希望去避免這類型的事件發生所以面對不同的服務 不同的威脅其實我們的解方就會不太一樣 |
| 02:05:13,976 | 02:05:42,678 | 那治安的治理其實不會單純的買個東西就搞定了就跟現在我們在談那個有一個名詞叫零信任一樣零信任不是單一解方它是一個概念上的東西也就是說人有人的零信任的建立方法然後設備有設備管理的方法再來網路有網路管理的方法像前一陣子我們的護國深山 |
| 02:05:43,579 | 02:06:03,670 | 不是機敏資訊製程資料外洩嗎大家有沒有想過為什麼他們的治安的部門會發現這個人在星巴克還知道在星巴克叫檢調直接去抓他為什麼他會發現因為其實已經被盯上了什麼新聞被盯上 |
| 02:06:05,543 | 02:06:19,863 | 他有一個行為不合邏輯就是偷資料的人請問你在看一份線上的文件你會在那邊一直翻頁嗎除非那個文件你非常的熟你只是想要找中間的某些東西 |
| 02:06:21,585 | 02:06:44,253 | 那他們就觀察到這個行為不對你怎麼看無盡看那麼快你是有學過速讀還是做了什麼事他們就覺得事有蹊蹺就去追蹤發現是從外面連進來的連線然後發現這個行為已經有一段時間了所以他們就通知報案了去做後續的處理當場逮人這個就 |
| 02:06:46,474 | 02:07:10,047 | 沒話說的因為那個行為就不太對所以其實你會去觀察到一個這個比較比較特殊的一個議題就是到底治安裡面什麼叫正常什麼叫不正常我這樣來訪問我是正常的還是他是一個異常的行為譬如說好了像我們常常在講 |
| 02:07:12,449 | 02:07:23,991 | 所有的資安設備都有一個規則我們剛剛不是看那個監控地圖嗎第二個項目是有人在拆密碼密碼正常來講如果我是人工做的 |
| 02:07:25,356 | 02:07:40,962 | 打完一個密碼好歹要5到10秒5秒左右對不對可是如果1秒出來一次那絕對不是人工做的所以一般資安的這些防禦的規則這個流程它都會有一個規則是1分鐘內假設這個密碼錯幾次那我們就會判斷為是一個比較 |
| 02:07:49,105 | 02:08:11,196 | 高風險的動作那很多人的這個資產設備的預設值我看過好幾家廠商的大概都10次左右意思就是說一分鐘一直踹一直踹平均6毛踹一次他可能就會達到那個邊界基準線可是如果我今天是攻擊者我會做什麼事 |
| 02:08:12,777 | 02:08:27,281 | 這個曾經發生在桃園某一個滿重要的單位他利用這種原來的規則他就故意不去採它因為很多人那個預設值都沒再改了那沒再改其實會帶來很多的問題什麼問題我待會再講一些四五級的問題這個是台灣現在還滿普遍存在的問題 |
| 02:08:36,084 | 02:08:51,869 | 那它是一個流程管理跟策略你沒辦法單純用技術的方法來走尤其很多人會想你怎麼做的參考一下其實每個單位的環境先天環境都不太一樣那就真的就是參考好 |
| 02:08:54,335 | 02:09:15,159 | 那自然我習慣會從三到四個面向來跟各位介紹到底是什麼你手上有什麼牌可以打就是你的資源有什麼你不能赤手空拳這個駭客又不是吃素的你知道嗎他來一定都是帶著重裝備或是甚至企圖是很明顯的那來 |
| 02:09:18,600 | 02:09:31,911 | 測試你來攻擊你來想辦法竊取資料所以你手上一定要有一些東西所以現在很多單位為什麼會要求資安預算要佔資訊預算的一定比例是因為這個資源不能不見 |
| 02:09:36,374 | 02:10:05,498 | 我曾經遇過一個廠商因為那時候我接了幾家企業的顧問有一個廠商申請到一個政府的補助案提升企業的資安的一些改善的計畫 補助計畫他就問我說因為我們在固定時間我會去找他聊一聊那個承辦人問我說這個顧問跟你講我們拿到補助案了我說很好啊要做資安的強化我看他提的 |
| 02:10:07,058 | 02:10:24,766 | 方案因為最後才要去審核可是他已經先有拿到一些這個確認了就是說你們可以申請補助大概可以核銷的東西是什麼好 那他就拿給我看我說你申請補助全部換電腦全部換桌機 |
| 02:10:30,821 | 02:10:45,945 | 原來他用的是XPWindows XP已經EOS了他要換到新的各位覺得這算不算資安的強化某種程度算因為XP不維護了對不對不維護了 |
| 02:10:49,451 | 02:11:03,649 | 而且你舊的系統不維護又沒辦法更新其實對駭客來講那就是眼中的我們叫肉雞大肉雞大肉雞也就是說太好了很好吃了可以用好 |
| 02:11:05,431 | 02:11:29,674 | 那管理的角度一般我們會從人 政策 像單位都有導致宣傳權管理系統所以這一塊一般制度面會比較完整像以前我們國王是A級機關又是關鍵設施的提供者我們從年初到年尾那個大大小小的集合一大堆不管是外機 內機 政府單位的這個業務集合等等整年都在忙集合 |
| 02:11:30,594 | 02:11:49,365 | 所以你會發現管理制度對一個單位來講其實還蠻重要的往下有一些資訊的取得要做一些限制其實說穿了做那麼多的治安的防護只有一個目的重要的東西不要被偷走對不對重要的東西不要被偷走 |
| 02:11:50,966 | 02:12:11,321 | 所以我們會對資訊的取得或者是你可不可以使用這個服務平台所以使用這個網站的一些功能做一些權限上的限制跟管理甚至你在使用的過程要留下一些記錄我們才知道說哪天有沒有可能有誤用跟盜用的情況 |
| 02:12:12,302 | 02:12:33,601 | 我記得那時候2020年吧COVID-19剛開始流行的時候大家不是要開始分流上班嗎分組分流上班我們那時候資安的團隊除了去確定大家可以遠距工作的安全性之外另外我們在我們的資安維運中心加上了另外一條規則 |
| 02:12:35,763 | 02:12:50,270 | 這個規則是什麼其實很簡單這個人如果他應該在家裡上班他可不可以跑來公司跑來單位不行違反規定他不可以來不然就沒有分流了就會有交錯點了 |
| 02:12:52,831 | 02:13:17,482 | 所以我們家的一個規則是如果他是這個居家工作的理論上來講他的人事差遣刷卡機不應該有記錄所以我們就跟VPN的登錄記錄遠端的這個連線的記錄做一個整合它不可能同時存在如果同時存在那代表有問題這個人有來可是外面有在連線 |
| 02:13:19,904 | 02:13:44,106 | 我们当这个规则写下去之后还真的发现为什么因为这个同仁他是被安排来上班的所以早上要打卡可是家里的电脑那个什么昨天还在作业VPN还连着好像就触发了这个告警后来去追踪才发现原来他VPN没有关掉那没有关掉没有风险有啊 |
| 02:13:44,947 | 02:14:08,678 | 有一個不知道的使用者當然是他的家人不知道的使用者在操作電腦的時候假設他這個連線一直在的可不可以從外到內可以 他可以連線進來可以看到單位裡面的入口網站所以某種程度也不夠安全所以我們這個機制當時有發揮一些效益什麼是眾生防禦 |
| 02:14:12,746 | 02:14:36,872 | 要面面俱到那基本上駭客很容易找旁門左道譬如說剛好洞沒修這個剛好一個破口這個網路沒有隔離好可以繞過去這個設定錯誤剛好可以拿來用一下這個程式版本太舊 太好了存在漏洞 |
| 02:14:38,172 | 02:15:05,386 | 所以他一定會做一些方法來拿到他要做的一些事情所以如果在場有一些是管一些系統的記得我常常在提的就是漏洞要修那個漏洞不修等於放駭客進來好 那我們談一些招式因為治安的防禦也需要一些招式那我們就從孫悟空這72遍大家都知道他有72遍 |
| 02:15:07,556 | 02:15:30,106 | 很多種很多不同的轉換對不對所以它招式其實很多同樣的我們手上有什麼方法可以去對付這些外來的攻擊潛在的風險剛剛也分享了一些現在的攻擊都跟AI生成有關因為已經串在一起了 |
| 02:15:30,706 | 02:15:56,329 | 當它算在一起之後其實它騙過我們的機會會越來越大因為你看像這種AI生成的攻擊甚至是AI的攻擊它在探測我們的邊界環境你會覺得它像一個真正的人的行為它看起來不再那麼的機器一板一眼一分鐘打十次就打十次它不會 它會在那邊調動 |
| 02:15:58,391 | 02:16:15,330 | 當你在那邊調動的時候你就會發現我原來的規則會失效為什麼因為我本來假設他不會這樣做你知道嗎所以我的真正規則其實會有一點失去了原本的用意我 |
| 02:16:17,032 | 02:16:32,807 | 之前有接過一個幫忙某一個直轄司的單位做所謂的防禦規則最佳化他們遇到一個問題什麼問題是因為覺得最近剛好有預算來我已經買了 |
| 02:16:34,268 | 02:17:00,454 | 比较好的设备了可是奇怪跑起来好慢就跑起来很慢了他们一直找不到原因因为他用同一个品牌的设备所以他是把旧的设定档移植到新的设备上他一直找不到原因刚好有一个合作计划我们就帮他看一下后来才发现他上面那个侦测的规则吓死人的多800多条 |
| 02:17:01,794 | 02:17:19,424 | 800多條我們都知道這些規則它就是從第一個開始比對到最後一個如果沒有就放掉對不對所以你會發現它規則很多第二個因為我們發現其中有一些沒槓的一般來講我要不准這個連線到某一個地方 |
| 02:17:20,424 | 02:17:47,964 | 你要先限制他還是要先放大讓他進來再看決定要不要過去如果你已經有明確目標你要把它列成組黨名單我就不要讓你去所以前面要先組黨後面再擴大因為這個規則會先被比對到所以他有這種大包小小包大的一些這個順序上的問題效能很不好後來調完之後他那800多條剩下200多行就可以搞定了為什麼 |
| 02:17:49,264 | 02:18:12,082 | 因為把那些無效的把那些這個設定錯誤的拿掉之後這個要比對的東西就變少了當然他整個的效能就上來後來我就問他說為什麼規則那麼多你們都不刪這個陳半同也蠻可愛的他說其實他也覺得這個規則有一些怪怪的 |
| 02:18:12,982 | 02:18:32,029 | 可是他現在服務會通 網路會通他就不想動因為怕動了之後反而不通他就今年累月從前一代的前輩再前一代的前輩執行這個業務的同仁一代交接一代一直留下來的東西 |
| 02:18:34,370 | 02:18:53,575 | 所以大家會發現你遇到的不管是系統的問題 資安的問題你都需要學習一些招式來處理它其實猪八戒也蠻厲害的猪八戒也會36發所以也不要看它好像是那個樣子 |
| 02:18:55,296 | 02:19:11,253 | 好 那有很多很多處理的方式尤其我們常常在講那個資訊安全它其實是一個綜合的科學什麼是綜合的科學各位知道嗎面對治安事件的處理有一個關鍵的人物非常重要大家有想到什麼角色很重要嗎 |
| 02:19:18,638 | 02:19:34,146 | 單位裡面的公關那個很重要你不要把工程師推到第一線叫他去回應外面的答案跟你講 講出來的東西第一可能沒什麼人聽得懂第二聽起來很嚴重 為什麼 |
| 02:19:35,046 | 02:19:53,077 | 因為從技術人員的角度他要證明自己很厲害他一定會講得太過於詳細了外界聽起來就覺得糟糕 這個範圍怎麼影響那麼大你知道嗎所以事件的處理其實公關很重要 |
| 02:19:55,359 | 02:20:22,639 | 如果是屬於比較技術背景的同仁其實這張地圖對各位來講就還滿有用的不過如果是比較偏管理的同仁你可以看綠色那條線為什麼把它分成綠色那條線跟上面這一坨各位有看到藍色 紅色跟灰色對不對這個在治安裡面其實是扮演的三個主要的技術的發展藍色是 |
| 02:20:26,027 | 02:20:41,207 | 藍隊 那藍隊是防守方還是攻擊方防守方 藍隊是防守方所以大多數單位裡面的人都是防守方可是像台灣有一些做技術的檢測服務的他就屬於中間那一個 |
| 02:20:42,187 | 02:21:05,198 | 紅隊的角色他會用一些技術方法來測試來驗證來找出看看有沒有問題有沒有問題譬如說像台灣有一個服務叫紅隊的演練就是一群人模擬駭客打你看看給你一份報告這是紅隊的角色那這個鐵灰的這一塊呢 |
| 02:21:07,103 | 02:21:34,661 | 這一塊其實在做什麼事件調查跟數位鑑識那事件調查跟數位鑑識有什麼不一樣聽起來好像很像有什麼不一樣一個要不要走法律一個不要走法律如果你要走法律的這個我就覺得東西被弄走了我要去走法律途徑那這時候請你一定要走數位鑑識的流程什麼叫數位鑑識的流程 |
| 02:21:35,862 | 02:21:56,961 | 你在收集證據在分析證據在處理這些現象的過程你要具備不可篡改跟否認性意思就是說你現在看到結果就是這個IP這個誰對我做這個事情這個人做什麼事可是這個中間過程的產出要 |
| 02:21:59,266 | 02:22:15,012 | 比較接近沒有被質疑的地方譬如說拿到一個檔案就說這個檔案裡面有問題那問題那個檔案傳來傳去隨身碟扣來扣去那個檔案有可能被污染 |
| 02:22:16,532 | 02:22:34,990 | 所以這個在法證上很容易被打槍很容易被打槍可是事件調查需不需要這麼嚴謹不用事件調查就是找原因找到原因趕快處理救援像以前我們有幫一家南科的廠商他是HR部門HR部門有什麼資料 |
| 02:22:37,495 | 02:23:06,194 | 人的資料對不對招募 那個考核什麼東西都在HR可是既然我們會去協助處理就是因為發生治安事件我們去的時候大概七台就是八台電腦吧那個辦公室沒有很大全部都在倒數Labbit 3.0Lunson-Williams Service勒索安提及服務每個都在倒數我們那時候問了兩個問題大家去想一下我們為什麼要問這兩個問題 |
| 02:23:07,415 | 02:23:19,160 | 那這兩個問題也是各位去面對資安事件的時候也許是救自己的一種方法第一個問題我們就問他說除了這邊還有沒有其他地方這個問題我想要釐清什麼條件你的網路隔離有沒有做好 |
| 02:23:28,443 | 02:23:45,077 | 理論上來講HR應該算比較敏感的單位可是這個敏感單位又很詭異了他必須要對外他不像那個研發單位全部關起來不行因為他的資料來自於外面人家會投履歷有一些往來 |
| 02:23:46,378 | 02:24:06,670 | 第二个问题是什么你们的资料有没有备份为什么因为那比特你真的要去破它我举个例好了大家都听过台积电那个万人口爱想哭勒索软体的事件对不对害他损失了非常多的这个金钱损失金额蛮大的 |
| 02:24:08,170 | 02:24:29,577 | 当时有没有人想过暴力破解那只勒索安提把东西救回来其实有过这个想法后来仔细一看打消这个念头各位知道这类型的这种勒索安提他既然勒索你他怎么可能让你轻易解开他各位知道万爱可爱3.0 4.0版你要解他 |
| 02:24:31,602 | 02:24:47,403 | 以当时的计算能力大概要花快10年的时间所以那个根本都不用做事了所以不可能这样解法所以呢你要去解那所有案体被加密的那个那个问题可遇不可求而且呢 |
| 02:24:48,964 | 02:25:15,050 | 這個像現在有人說你就不鼓勵付錢可是有人會去付拿到那個解麥加不會用要不要找人再弄一次解開的機率其實現在非常的低都不到兩成意思就是說你可能又被騙一次所以基本上勒索案例不好解那回到剛剛那個事件那個電腦我們問這兩個問題一個是確定有沒有其他地方一個是有沒有備份 |
| 02:25:16,090 | 02:25:44,234 | 好 那意思就是說其實不容易處理當找到一些問題之後應該就做復原的動作災難復原的動作好 請問這七台跟八台電腦你怎麼去猜出可能是最實作用者你看到麵田七八台電腦怎麼找出它是實作用者有一個東西大家都看得到的是什麼 |
| 02:25:45,991 | 02:26:03,784 | 畫面嘛 對不對它畫面上有什麼 時間最少的那一個有沒有可能因為每個都在倒數假設倒數72小時這個剩不到24小時這個還有一天多那請問你會不會想要先調查那一台剩不到24小時 |
| 02:26:05,625 | 02:26:22,411 | 會 他有可能就是始作俑者你知道因為他先感染開始被加密擴散所以後面外圍的理論上來講這個時間剩最少的有可能是他那就從這個人員開始 |
| 02:26:23,371 | 02:26:50,301 | 你就看到現場那個氣氛那個MIS人員很不開心就是你那種感覺你知道嗎我說不用我們只是先找一個切入點後來怎麼找因為HR一定有外來的東西先找E-mail的紀錄郵件郵件的一些紀錄後來找到幾封可疑的郵件一般來講應徵作業員的那個我們比較不會去看為什麼 |
| 02:26:54,077 | 02:27:14,686 | 應徵作業的人很多所以每天可能數十封那個其實跟你講HR就隨機一點其實也不見得每一封都看過可是如果應徵一些比較在高階一點的位置譬如說部門的主管或者是某某什麼經理 |
| 02:27:16,426 | 02:27:30,613 | 這種東西就會比較少這種至少求職性的人就比較少那我們就去看兩個禮拜前有幾封我們懷疑可能有問題的那就請負責的同仁把郵件調出來 |
| 02:27:31,813 | 02:27:56,010 | 掉出來當然就分析它果不其然我們就找到其中一封了它是假裝成要印證的求職信PDF檔案當你開PDF的時候它就會去外面把惡意程式下載回來安裝端點的那些防禦的機制都沒有被觸發所以這個攻擊事件就發生了 |
| 02:27:57,010 | 02:28:19,353 | 後來我們才發現Linson Well as a Service那一支根本就是針對這一家公司的環境被客製出來的一支勒索軟體因為它是一個勒索軟體及服務的一個平台就是有人刻意的就是要打這一家幫我做一支我付錢給你那種概念 |
| 02:28:20,583 | 02:28:42,366 | 所以在鐵灰色這一塊就會做這種事件的調查如果大家可能比較從管理面行政面的話就會比較屬於綠色這個軸向所以大家有沒有發現你要處理治安各個層面的人都要有不管是自己有還是要有協力的夥伴這個都要有 |
| 02:28:43,287 | 02:29:03,527 | 右邊大家就會談到橘色就會跟現在雲的服務有關現在其實大多數的服務都已經放到雲端了尤其是手持裝置上的APP手機上的APP你會發現後面都有一朵雲去提供我們相關的一個服務 |
| 02:29:05,068 | 02:29:27,398 | 現在其實以資料的保護而言Google Drive OneDrive什麼抓Bus這類型是我們比較會擔心說資料會不會因此而外流為什麼因為它有個機制會自己同步對不對像以前也發生過幾個資產事件是因為像Google Drive |
| 02:29:28,459 | 02:29:40,653 | 守得很好可是這個機制他會自己找路去做同步的動作把公司裡面的東西就送出去了就送出去了這個其實是在目前這個世代有點辛苦 |
| 02:29:43,635 | 02:30:02,097 | 好 那如果要考證照可以參考這一張這一張非常多治安證照我早上才跟一個同事討論奇怪 為什麼治安的人要考一堆證照證照真的超級多 超級多那這個都跟治安有關的證照 |
| 02:30:03,772 | 02:30:32,367 | 最近有一張證照大家如果有興趣可以考它現在免費叫做Google的Gimini for Educator現在考不用錢而且37題而已現在目前網路上熱門被討論所以大家如果要考證照證明一下我是AI世代的人可以考Google最近推出的這一張Google的證照 |
| 02:30:33,387 | 02:30:43,636 | AI Educator教育者只要考37題而且建議大家一起考因為都遠端 |
| 02:30:47,935 | 02:31:11,628 | 好 那既然談氣候計唐山山告訴我們什麼你從這個過程裡面你會體會到他這幾點第一個 他其實是一個很保守的人很保守的人有時候他會被迷惑對不對 這些妖怪來他都覺得妖怪是好人這個其實在資安領域也是這樣一開始你不會識別出這個行為 |
| 02:31:13,869 | 02:31:37,348 | 是有攻擊行為的或是有潛在一些風險的你會認為大家都是一個正常的這個連線的行為可是有時候並不見得是如此不過這個唯一的一個目標他一定要去取經對他來講非常的重要所以如果我們要保護某個東西 |
| 02:31:40,007 | 02:31:53,897 | 這個目標就很重要你要去針對你要保護這個資料也好保護了這個機器也好要設計一些保護他的方法去確定這個目標可以被滿足 |
| 02:31:56,939 | 02:32:25,381 | 另外孫悟空比較像是防禦的角色就是外來有一些攻擊有些妖怪來打我們我們要能夠怎麼樣識別他火眼金金就跟我們的資安設備一樣能夠去判斷這是一個正常或者是不正常的行為去確定到底我們要不要把他給阻擋下來因應一些外來的環境的變化他其實也會 |
| 02:32:26,802 | 02:32:43,341 | 有一些技能去做一些處理這個就跟治安的專業人員應該要有的去做一些處理的動作金箍棒它的武器可以適用不同的情境每個都有分工我想在一個單位裡面大家都有不同的角色 |
| 02:32:44,742 | 02:32:55,835 | 就算我今天不是技術人員我今天使用組織裡面或單位裡面的這些自動訊的服務收個郵件搞不好就成為主角有可能對不對多一點警覺 |
| 02:33:01,861 | 02:33:17,451 | 像猪八戒也会忽略掉一些重要的事因为它很容易受到外来的干扰大多数我想大家都是默默地做的一些事情譬如说资料要备份系统要更新要做一些修补的工作那骇客长怎么样其实跟COG里面一样就是这些妖怪们这些妖怪们 |
| 02:33:27,638 | 02:33:49,980 | 他會用很多偽裝欺騙的方法譬如說偽裝成社交工程的一個業務的詢問第二個會偽裝成一些正常的檔案的提供傳送或者是看似正常的服務其實背後隱藏了很多的問題 |
| 02:33:51,081 | 02:34:07,229 | 譬如說我們今天以前我們都教大家說你就看那個網址要看仔細一點O跟0 E跟L有沒有要看清楚網址點下去之前要看可是現在配合一些新的 |
| 02:34:08,529 | 02:34:27,439 | 攻擊的方法譬如說我今天要去yahoo.com假設它真正的目的地是1.2.3.4那駭客會怎麼做假設我今天在5.6.7.8架了一個有問題的中繼站我想要把人調過來怎麼做 |
| 02:34:29,860 | 02:34:58,439 | 其實現在蠻簡單的你知道先透過社交工程郵件讓他感染到惡意軟體然後在自己的本機自己的電腦上多一筆記錄你如果要去yahoo.com你就直接去5.6.7.8所以當這個使用者打開他的瀏覽器輸入網址去查詢的時候電腦會直接跟他講你不用去查了就是這個了他就會被帶到5.6.7.8所以你去看那個網址 |
| 02:34:59,700 | 02:35:15,021 | 根本就跟真的一樣其他就是真的可是他去的地方不對了所以大家會面臨到一些比較不太容易識別的一些攻擊尤其像現在有很多詐騙 |
| 02:35:17,343 | 02:35:34,558 | 他会伪装成要问你资料要你再次确认什么叫再次确认譬如说我现在已经在Facebook上面了你点了某个连结我要证明你是当事人你是某某某请你再次输入密码 |
| 02:35:36,210 | 02:35:55,161 | 這是一個很奇怪的事可是很多人不知道這個現象他就會再輸入一次結果他的密碼就被偷了或者是他的一些服務一些資訊就被竊取了我介紹大家一個網站可以玩一下 |
| 02:36:06,545 | 02:36:08,046 | 我做的比較好操作有個網站叫Have I Been Pound這是什麼 |
| 02:36:20,845 | 02:36:37,433 | 各位就搜尋這個字就好了這是什麼這個是資料會外洩這是一個組織會去收集他所知道的所有外洩的資料你可以輸入email做查詢我輸入一個 |
| 02:36:49,210 | 02:37:09,055 | 這個是以前我國研院的E-mail不要再寄到這個信箱我沒有再用我也離開這裡了那我們當時的治安政策是這樣公務用的E-mail不能去外面註冊因為當時這是我訂的規矩所以我自己怎麼可能回去註冊哪天外洩的資料由我自己他不就好消了所以我從來沒有用它去外面註冊過理論上來講會怎麼樣 |
| 02:37:11,696 | 02:37:22,889 | 哎哎正常啦0嘛就是好消息没有任何外泄的资料发现这个email对不对那我换另外一个 |
| 02:37:29,628 | 02:37:42,628 | 不能在外面註冊我還是要註冊一些平台那怎麼辦我跟大家一樣可能會用什麼Gmail這是我的Gmail這個信我還收得到所以各位要找我可以寄這個信箱check |
| 02:37:48,489 | 02:38:00,721 | 11個資料外洩的資料庫好如果你搜尋到的結果跟我一樣怎麼辦 |
| 02:38:04,691 | 02:38:20,976 | 這個E-mail資料被偷了請問是Google的問題還是我去註冊的平台的問題我們先釐清誰是事主誰 註冊的平台因為一般來講Google比較難不是說它不會 比較難所以有資料外洩的話你就會發現我有11個那11個怎麼辦 |
| 02:38:25,734 | 02:38:47,215 | 去查一下哪11個然後就去變更密碼為什麼呢因為這些網站可能對於你的帳密沒有保護好程式沒有寫好然後駭客偷走然後拿去販售所以自救怎麼自救至少先把當時用的密碼把它改掉 |
| 02:38:48,456 | 02:39:08,521 | 對不對 改掉吧因為有時候一些網站說真的你就是使用一次註冊的使用頻率是很低的使用頻率是很低的這個網站讓大家可以玩一下你可以測一下就是說有沒有資料的外洩好 那如果開到這個我就直接開一些東西給各位看好了我就不用在那邊切來切去 |
| 02:39:20,220 | 02:39:44,957 | 这个我们刚刚讲一些物联网装置大家可以搜寻这个字Google这个是一个不安全的摄影机收集的一个平台而且是Live的跟那个楚门的世界一样Live的那你知道Google搜寻Insecure Cam这个就是不安全的摄影机那我们来看一下台湾Country台湾在这里 |
| 02:39:50,905 | 02:40:15,164 | 大家看到有一些這是什麼因為一般這個網站要賺廣告費沒關係你就看看一下工廠的攝影機有沒有那還有沒有其他的來看一下樓梯間因為我用手機上網好像人家家裡看一下 |
| 02:40:17,340 | 02:40:38,714 | 對嘛 家裡這一支是什麼好像是Switch裡面的一個主角我在猜這應該是小朋友怕長輩在家裡發生危險在家裡放的攝影機而且放在地上有沒有旁邊是一雙鞋子 |
| 02:40:42,976 | 02:40:48,706 | 大家看一下這些現象之後我問各位一些問題這邊有一個在樓梯間的 |
| 02:40:57,370 | 02:41:18,696 | 這個時間沒叫死你看這個當技術飢餓員久了一看開單時間沒叫正那樓梯間對不對門口嘛這應該是他家拍下去合理對不對好來我們再看下一頁就好我就要來問大家問題了還有哪裡路上的 |
| 02:41:30,024 | 02:41:40,888 | 更新一下因為我用手機上網可能比較慢一點這個有人在走我們來看一下這個沒出來再一次 |
| 02:42:02,890 | 02:42:05,732 | 影像還是沒出來好 沒關係 我們回到前一頁去看這路上的嘛 對不對剛剛這個好像是一家店 沒出來好 再看下一頁有沒有速度快一點的無期嗎 院子 |
| 02:42:30,339 | 02:42:35,781 | 好 不要再看了好 來 我要問各位的問題是為什麼像這類型的攝影機會出現在網路上為什麼為什麼就在網路上因為這是為了安全 實體安全所架設的我們現在單位裡面也一堆 |
| 02:42:58,038 | 02:43:26,574 | 那攝影機有幾個模式各位知道嗎第一個給警衛大哥管理員大哥看的那個叫做檢視者就是S給你看你什麼都不能動檢視者模式這個模式呢是不需要登錄帳號密碼的你總不能跟警衛大哥說你每次要看一下監控畫面要登錄一下不可能嘛 對不對所以攝影機在原生的設計上就有這個模式那再進階一點呢 |
| 02:43:28,618 | 02:43:55,765 | 一般的使用者就是要登錄後才能夠看到而且可以做簡單的設定的比如說調校位置幹嘛幹嘛的這些去回播這些東西不然的話沒辦法操作對不對最高叫做管理員管理員就是連網路的環境都可以設定所以基本上一台裝置就會有這三個模式那為什麼這個網站會知道 |
| 02:44:00,554 | 02:44:27,373 | 為什麼會知道因為他就是去網路上到處爬爬爬只要你有開放檢視者模式他就把你抓進來抓進來看所以大家看到這個一堆攝影機的原因在這邊不過慢慢其實大家的資安意識慢慢提升其實最早最早我們去看這個網站收集到因為他是用國家別 |
| 02:44:28,694 | 02:44:43,566 | 台灣才四五百隻現在各位已經看到只剩下兩位數了已經好很多了好 那既然開到這個我就順便把我本來要講的東西講完好 那另外一個網站叫這個 |
| 02:44:46,568 | 02:45:11,507 | 這個可以做什麼呢這個叫做不安全的物聯網裝置就是連到網路上的設備都可以在上面找得到以前我們會去找那個工業控制系統像我現在做的這個搜尋是找那個跟這個品牌有關的那因為在台灣現有的環境這個品牌很多都是事務機就是那個營運機 |
| 02:45:13,008 | 02:45:23,013 | 一開始我講的那種資安事件在這邊那Country用台灣那我剛剛利用break的時候呢中場休息我就找了幾個先從這一個一個一個看過去好了好大家有沒有看到這是什麼 |
| 02:45:36,827 | 02:45:49,556 | Shop嘛對不對型號嘛他說這個碳粉快用完了有沒有這是他的管理畫面這一台的管理畫面我現在在頁面上方這個功能你可以看他的狀態這個可以印到A3大張的紙都剩不多了1 3分之1網路主台可以看一下這邊有IP位置 |
| 02:46:10,889 | 02:46:25,954 | 不要 不要幫它重新啟動怎麼有個電源重新啟動那我要帶各位看的是這一個影音機上 這個伺服機有影音功能請問現在的設定大多數大家為了方便影音完繼續哪裡 |
| 02:46:27,635 | 02:46:48,943 | 自己的信箱或E-mail對不對你待會兒去收信就會收到剛剛你去營運的東西現在比較少像以前把它掃到什麼儲存空間如果你要放儲存空間就會像現在畫面上看到的管理員跟使用者的這個桌機會有對應的位置好 那什麼叫原稿操作拿著東西去營運 |
| 02:46:58,638 | 02:47:27,167 | 原稿操作所以它叫影印影印会不会流资料来了反过来我先把它转回来再转一次它现在应该正的这是什么 |
| 02:47:29,525 | 02:47:44,166 | 曾經在上面影印的資料志強活動 贊收款收現金 匯款 哪一天轉帳所以影印機上影印的東西影印機會不會幫你留一份匯 |
| 02:47:47,581 | 02:48:13,595 | 各位有沒有發現我剛剛操作到現在我完全不用帳號密碼第二個問題這一台東西不是應該在單位內嗎怎麼會出現在網路上你知道嗎所以你會發現如果在保護這些聯網裝置上沒有處理好其實會衍生資訊外洩的問題這一台有什麼這一台 我把它放大一點 |
| 02:48:15,875 | 02:48:34,821 | 這個可能就有資料了為什麼有資料旅行社最多什麼東西護照一些相關個人的相關資訊不然他怎麼帶各位出團大家知道嗎大家會不會看到這一頁不敢去跟品冠旅行社跟團 |
| 02:48:36,261 | 02:48:56,268 | 不要說我說的這個破壞人家生意不過他影音機又在這邊那為什麼他會取這個名字各位知道嗎設備的租賃商會要識別他的客戶啊租賃商會講他會打上他的這個名稱好那我們一樣這台比較新來看一下他印多少總張數蠻賺錢的印了 |
| 02:49:03,411 | 02:49:23,624 | 滿多張的 裝置狀態還有什麼 網路狀態機密就不要看了來 位置 位置聯絡人有一些位置的名字 有E-mail還有他內網的位置大家有沒有看到 |
| 02:49:24,705 | 02:49:35,619 | 這是內部網路 對不對我們來看原稿操作有什麼所以大家有沒有發現其實看起來好多東西大家想看哪一個Sales來的 客戶的資料 |
| 02:49:45,540 | 02:50:08,278 | 雖然在去年的年底可是資料會一直被佔存所以如果說有心人士找到這一台機器他是不是有機會把上面的東西下載走我們點第一個就好了這個叫全業照片這是什麼東西我也不知道因為我剛剛沒有點一樣影像檢查 |
| 02:50:14,610 | 02:50:27,792 | 應該是班機的一些資訊吧這個是人名有沒有護照號碼 不知道還看不出來到第二頁來看第二頁這個資料比較少我們再挑一個好了這是什麼我的 |
| 02:50:42,631 | 02:50:49,014 | 影像檢查行程出現了有沒有好幾頁 |
| 02:50:59,878 | 02:51:21,616 | 我覺得既然這些資料都會被留存就有機會各自的東西被留上來我記得之前剛好在某些像這樣的場合我就隨便找不小心找到人家戶口名簿因為它上面就拿去影印不過回歸回來這些資料應不應該出現在Internet網際網路上 |
| 02:51:23,257 | 02:51:41,167 | 所以其實如果單位裡面有租賃這些事務機那我們可以從兩個層面處理第一個先確定這些事務機裝的網路環境外面連不到因為這個很重要不然大家處理的都是很重要的文件如果被人家掃出來的話這個麻煩了第二個這個 |
| 02:51:45,709 | 02:51:57,603 | 它的一些環境設定譬如說它會留存這些資料請問大家有沒有去想這台影印的東西有需要留這些資訊嗎 |
| 02:52:00,581 | 02:52:28,738 | 裡面上應該不用 你掃描完就給我就好了我要印兩份 印五份 印十份其實它不應該被留存的所以它其實可以設定不留存暫存資料所以這個環境的設定還是有機會讓這些資料不要被保留下來那麼多全部123個 嚇死了所以裡面應該很多東西好 隨便再點一個看一下 |
| 02:52:33,664 | 02:52:45,255 | 你看 有沒有護照嘛對不對 黃淑慧我們不是亂講的喔旅行社 品冠旅行社有沒有跟過他們的團還好啦 |
| 02:52:52,692 | 02:53:21,237 | 大家以後會不會不敢跟船出國所以大家會發現這個護照應該去年辦的9月30號所以剛好找到旅行社大家就知道上面很多東西了所以我個人覺得這個120幾個裡面有很多又是這種尺寸的我覺得都是護照我覺得都是護照 對不對大家一模一樣 |
| 02:53:22,831 | 02:53:24,273 | 下一個看一下 應該都一樣這些都是 不然來點一個驗證一下一樣 都是護照 |
| 02:53:43,768 | 02:54:02,209 | 所以这些联网装置其实大家要留意就是尽量两个原则刚刚那种做法我们要把它隔离一下不小心看到旅行社的资料大家要对这家有信心他可能只是安全只是还没有做好 |
| 02:54:04,130 | 02:54:28,915 | 你會發現很多攻擊的手法駭客攻擊的手法它會一直變因為我們的環境也一直在不太一樣譬如說像以前印表機要用像我記得我剛開始上班那個年代還要先連到列印伺服器有沒有還沒有那麼多網路的印表機所以你要先連到某個地方不然就要自己 |
| 02:54:29,495 | 02:54:49,343 | 直接那個線要插在上面可是以現在來講你會發現有很多的服務譬如說各位知道你的瀏覽器可以支援遠端列印嗎很多人沒有用過可是我覺得它還滿好用的有一次我在外面出差 |
| 02:54:50,843 | 02:55:16,281 | 我老婆跟我說我需要現在要印什麼東西你這個檔案好像在那裡我說對好像在我這裡我就把他打開我說你去樓上印表機等著我就列印回去他等一下他就跑出來了從我家印表機跑出來所以有很多的服務它其實可以跨不同的地方的當然很多攻擊方法我們就會去想到底安不安全 |
| 02:55:18,035 | 02:55:33,911 | 那稀有劑裡面有沒有關鍵資產有啊 就是那個神奇的金屬大家都要保護它有一些核心的資產那有一些營業秘密尤其像我們工部門其實有很多需要被保護的比較敏感的資料 |
| 02:55:35,011 | 02:56:02,239 | 這些東西其實在駭客的眼中它都是money money money錢 虛擬幣的錢所以我們會利用一些方法來確保它的安全性也避免被竊走或者是在這個過程裡面我對這些資料要做更多的保護譬如說加個密碼加個密碼 打開打不開類似像這樣 |
| 02:56:05,557 | 02:56:21,882 | 我想在組織裡面每個人都有自己的專長不管有的是管政策面的有管策略面的有的管技術面的大家就是要串聯在一起做一些整合式的防禦 |
| 02:56:25,423 | 02:56:42,611 | 有遇到强大的敌人你会发现那个谁孙悟空最喜欢去天庭找外援你注意去看那些西游记里面出现的妖怪们好多都是天庭某些那种做钱的 |
| 02:56:46,333 | 02:57:09,406 | 不能說寵物啦有一些就是這個神佛旁邊的那些人到民間作亂所以他才找到源頭去找一些問題那如果對應到資安事件怎麼辦其實台灣有事件的通報平台尤其像政府機關我們有通報平台那目前來講這個平台是建構在那個資通安全研究院提供的一個 |
| 02:57:10,106 | 02:57:17,721 | 国家的iSEC这个通报平台我们可以透过这个通报平台去做事件的处理事件的通报 |
| 02:57:18,652 | 02:57:39,847 | 那因為以目前自動安全管理法它約定它其實有八個關鍵基礎設施那當時我做了一個做科學園區的那一個科學園區那一個是唯一一個對象是民間企業的每個都只想收資料不想提供資料所以這個當時在推動上也比較辛苦一點 |
| 02:57:42,008 | 02:58:04,714 | 事件的發生其實有時候來得很急突然就被打了開始要做一些處理其實你看很多很厲害的都跟天庭有關資安裡面我們都聽過你這日資要收來要做一些關聯的分析對不對是希望透過資料的關聯的過程找到 |
| 02:58:05,334 | 02:58:27,650 | 一些蛛絲馬跡譬如說我看到有人就一直在對我拆密碼拆著拆著就拆好久了你會不會想要關心他的下一步有可能要對不對或者是拆了一陣子居然裡面有一台電腦自己就有一些異常的活動還會自己三更半夜連線出去 |
| 02:58:31,312 | 02:58:57,561 | 這個就值得做進一步的追蹤以前處理過一個也跟印表機有關的案例不過這個案例是反過來怎麼反過來當時那個事件發生在2月2月20幾號的時候台灣有46個學校這個新聞大家找一下應該找得到有46個學校印表機上面出現勒索性 |
| 02:58:59,273 | 02:59:23,445 | 我應該滿早知道的因為後來我去做相關的這個範圍內都是學校我們就去做一些處理我這個朋友早上大概不到7點半我也是在上班途中就打電話給我說一朗我被勒索了我說你被勒索你沒有損失什麼錢他說沒有今天早上到辦公室一看印表機上有一張紙 |
| 02:59:25,126 | 02:59:44,427 | 他想說哪個同事硬硬沒有拿走他就拿起來看一下 又勒索性他說你在2月底前如果沒有付3個比特幣當時3個比特幣還很便宜還很便宜的時候你沒有付3個比特幣 我要打你很簡單 就這樣一張紙 |
| 02:59:47,470 | 03:00:14,522 | 他就問我怎麼辦我說先去看誰印的那個紙不會突然冒出來吧一定有某一台電腦做了列印的動作你就開始去看誰列印的去查一下列印的記錄我就一路開 開到辦公室這個朋友又打電話給我他說我找到了半夜3點有一台電腦做了這個列印的動作他說他這是某個同仁的我也認識 |
| 03:00:15,883 | 03:00:32,490 | 他說那就從那台電腦開始調查他為什麼會做這個列印的動作因為他下班沒有關機所以三清半夜3點他就做列印你那個時間點學校怎麼可能有人不可能有人的所以他就去追後來才發現原來在前一個禮拜 |
| 03:00:33,730 | 03:01:02,223 | 前一個禮拜因為學生有很多問題會去寄信問這些承辦的同仁一些業務面的問題比如說要申請什麼學校的帳號帳號不能用什麼的後來才找到一封信有問題有一封信看起來是向學生來問說我的帳號為什麼不能登錄因為不能登錄很多校園的系統不能用現在很多學校都做整合式的帳號管理 |
| 03:01:04,404 | 03:01:22,575 | 截了一張圖JPEG 圖檔 佐證資料他這個同事就打開了那張圖看一下他後來才發現沒有那個圖有什麼不是所謂的那種什麼登錄失敗的那種圖就是一張風景圖 |
| 03:01:24,256 | 03:01:46,025 | 他就不疑有他就覺得就回信說你帳號再試一下這樣看起來你的帳號沒什麼問題這樣子因為他去查了一下系統他帳號還是沒有被停用那就是很奇怪那就要用復原密碼的方法去處理不就沒有把這個事放心上可是重點就出在那一張圖那張圖讓他電腦被裝了一個後門後門 |
| 03:01:53,089 | 03:02:07,327 | 攻擊者進來控制他三更半夜就做這個列印的動作後來我們去做普查那一天全台灣有46個學校收到那封看到那張紙才開始做一些事件的調查 |
| 03:02:08,809 | 03:02:25,184 | 後來我們就想說那3月1號會有低鬥士攻擊就是那個分散式阻斷服務攻擊害我們同仁在那邊值班一直盯著螢幕看等了一整天沒有 真是的就虛晃一招不過還是找到很多事件的一些狀況 |
| 03:02:27,586 | 03:02:48,906 | 那这个大多数我们会在这边写的SOC治安运营中心去做相关的一些处理大概就长这个样子以前我们的架构大概长这样很复杂不过各位知道它有一定的处理的阶层下面不断的提供日志往上就从资料变资讯开始要做回应 |
| 03:02:49,887 | 03:02:58,599 | 要做一些應變那一線的維運中心就是一堆人坐在一起有個大螢幕 監控畫面在做維運的這個管理的工作 |
| 03:03:00,952 | 03:03:28,730 | 大多數我們會去導入一些資安的防護的流程譬如說像這樣需求要能夠被供給滿足中間就是你的做法譬如說我們會先確定範圍你要保護哪裡跟做ISMS一樣你要保護哪裡你的驗證範圍是什麼先圈出來什麼是核心系統先定義出來對不對要開始做一些防護的設計 |
| 03:03:30,354 | 03:03:52,706 | 再來確認就是他開始決定保護他的方法資料開始蒐集開始做關聯最後在資安維運中心就會變成全天候的營運中間就有一些需要資源跟支持的東西這個是還蠻常見的一個導入的一個流程讓各位做一個參考 |
| 03:03:54,096 | 03:04:22,077 | 好 最後一個部分有很多資安的危機那危機管理怎麼辦人事實地務時間跟地點駭客決定他打哪裡我們只能猜而已就是真的哪裡被打不知道可是人跟事是我們可以在平時可以多做一點的譬如說各位常聽到原來事務機這麼不安全以後要記得請廠商把上面暫存的功能關掉 |
| 03:04:22,978 | 03:04:30,741 | 不然像剛剛那一個一個一個去撈所有的資料都外洩一張各位知道個資法罰多少錢123個我們算100個護照資料就好一張500塊對吧所以上面價值5萬塊要不要罰他錢 |
| 03:04:44,997 | 03:05:07,338 | 可是我跟你講它一定會上新聞的大家知道就好我們只是會提升大家自然認知找一些案例佐證一下那霧其實就是邊界的概念我們剛剛不是講數位邊界嗎其實它從哪裡開始保護簡單來講就是從使用者接觸的界面開始 |
| 03:05:08,499 | 03:05:16,265 | 好 各位來看一個以Data驅動的世代的實驗這叫Google Map Hack |
| 03:05:18,257 | 03:05:46,167 | 好 那這是一個行動藝術家他當時做了一個測試在路上跟大家蒐集那個手機放在他的小紅車子裡面拉著走在路上走著走著走著路上有沒有人 人不多他走在大馬路上正中間 真是應該有人幫他看著可是各位看一下右邊那個Google Map越來越什麼樣 |
| 03:05:48,743 | 03:06:17,364 | 红到快发紫 为什么因为一堆人说这边很慢这个有点像我们的俗语叫紫路为马这个是这个路这个是马这个是马这个马紫路为马大家当他说他是马的时候这边就他就是变马了 路就变马了同样的这种数据驱动的时代你看他路上没什么人可是手机为什么会回传资料 |
| 03:06:18,405 | 03:06:29,545 | 因為手機其實你用Android它就隨時就是Google的Sensor你用iPhone手機你上面有裝Google的App你就是它的Sensor |
| 03:06:30,222 | 03:06:58,689 | 那它會算加速度所以你的加速度不夠它也算出你的時速所以你會發現我們現在用Google Map來導航為什麼它會知道這邊塞車它沒有在當地部任何的一個偵測設備也沒有串聯當地的交通的資訊為什麼可以做這樣因為所有的使用者都是它的資訊來源你看如果你今天要從河的那一段開車到另外一段 |
| 03:06:59,729 | 03:07:17,142 | Google Map一定叫你繞路的可是實際道路上有沒有人沒什麼人 車本來就可以開所以有時候看到的結果不一定是真實的情況大家如果要再看一下下面有YouTube可以看 |
| 03:07:19,084 | 03:07:41,125 | 我想在這個管理法現在應該在修下一版的版本不過早期就分公務機關跟特定非公務機關以前我們國網是在屬於特定非公務機關又是關鍵設施的提供者你就知道他要求的面向很強了就很多東西要做不過在事前事中事後大多數 |
| 03:07:43,237 | 03:07:57,177 | 我們都會在事情事件發生後才會去做一些處理所以他會有一到四級的通報依據他的嚴重性那做一些相關的通報應變 |
| 03:07:58,539 | 03:08:24,561 | 那市中一般來講資安維運中心會處理看到了趕快擋起來還等它發生對不對 當然先擋起來就做一些應變的緊急應變那事前一般來講就會透過情資的分享情資的分享譬如說我知道這邊有中繼站大家不要去就把它擋下來所以情資的分享也是滿重要的 |
| 03:08:25,342 | 03:08:37,576 | 它是有一定的階層跟作業的關係的那這是以前我看的SOC其實學校還滿多的400多萬的不過現在學生越來越少了現在應該至少少掉100萬到150萬 |
| 03:08:42,714 | 03:09:08,329 | 好 那有很多日志的問題包括你會蒐集一些日志到自然衛生中心去做分析那這個也讓大家參考我就不再細講那如果各位要發展職能的面向不同領域其實你可以走不同的這個路線像我應該明天吧明天有個縣市政府他就要聽什麼資訊服務委外 |
| 03:09:09,850 | 03:09:23,766 | 資訊服務委員因為我們很多都需要靠協力廠商那怎麼辦外包的時候有哪些要注意的事項這個就很重要資訊服務委員那有很多相關的MMB02的課 |
| 03:09:29,326 | 03:09:49,831 | 我想很多監控跟工具它其實是必須要被整合在一起的你有外部的問題跟內部的一些問題因為資安的防禦就像這邊放的它為什麼叫Stake一塊一塊堆疊起來缺什麼補什麼這是資安的一個特性右邊網路 |
| 03:09:52,532 | 03:10:16,865 | 網路就是一層一層有一層不通不好意思 網路還是沒辦法用所以它的結構會不太一樣我記得我們那個威運中心就是網管跟資安的團隊都在同一個中心有一次我們那個學網的骨幹發生一些比較異常的情況有些地方沒有流量了我們就資安的同仁就 |
| 03:10:19,327 | 03:10:26,563 | 難得的那個片刻的安寧你知道嗎網路不通網路不通那個攻擊也不可能大得生痛 |
| 03:10:29,581 | 03:10:54,799 | 我想有一些跟管理制度有關的大家可以從控制項對應到紅色紅色就是我們可以去思考能夠著力的事情大多數我們都目前來講應該都有一些方法在做你可以用技術測試或者是用委外服務等等都可以滿足這個需求來看一個真實的供給 |
| 03:10:59,094 | 03:11:22,849 | 有一種攻擊的方法叫Cico Injection中文有人把它翻成資料庫的隱碼攻擊隱藏的那個程式碼攻擊要植入 植入什麼植入右邊這個被打的標的屋然後把東西偷走這個攻擊行為比較具 |
| 03:11:24,790 | 03:11:44,115 | 这个代表性所以我就把它留下来大家去看怎么看这个图因为大家看一堆日志记录那个看起来太烦了很多人可能也没有感觉那我们就把它做视觉化把它做视觉化像那个打状块一样上半部跟下半部大家有没有发现他行为不太一样 |
| 03:11:47,000 | 03:12:06,657 | 上半部好像週而復始一段時間就會來一次有沒有而且都很像有沒有 都很像那個顆粒的大小顆在技術面來講那就是網路風暴的大小那個沒關係 很像可是下半部 |
| 03:12:08,238 | 03:12:33,780 | 好像那個天女散花一個地方一直來有沒有可是右邊被連結的位置不太一樣變了為什麼變成一條線這個injection已經成功了就已經吐下去了已經進入資料庫了這時候他在幹嘛他在下載資料每個都200 |
| 03:12:35,667 | 03:13:03,042 | 每個都200所以他資料已經被取走了大家有沒有發現這駭客做什麼事情有一招叫聲東擊西上面的看起來好像沒怎樣可是他真正的目的是哪裡資料庫裡面的資料他資料下載完你們發現他又恢復跟剛剛那個天女散花一樣的情況可是這時候我們去調查這台主機的時候 |
| 03:13:04,202 | 03:13:26,760 | 資料庫整個被偷了因為有很高頻率的所有的資料表的存取全部被撈走了那從剛剛我講到現在有沒有超過一分鐘沒有 幾千筆就不見了幾千筆資料就不見了你看他好像又找到另外一個 |
| 03:13:30,404 | 03:13:46,344 | 所以這個駭客攻擊其實滿特別那如果有技術背景的各位看到左邊那兩個IP一定會覺得很好奇我在左手打右手各位知道左手打右手的意思嗎這個不是我自己的位置為什麼我自己打自己的主機 |
| 03:13:50,373 | 03:14:16,976 | 本機會只打自己這個攻擊者非常聰明利用了一招他先建一個後門用這個後門驅動了這個管道跟自己的主機對話那大多數的那種防禦機制都不會去阻擋這個行為所以他又繞了一下所以駭客很精心設計了這一場攻擊的行為 |
| 03:14:18,898 | 03:14:36,935 | 有時候我們會去看一些報告相關的一些訊息這一頁只有兩個關鍵一個叫業務恢復一個叫營運持續你不能讓核心業務受到一些影響要確保它能夠進行這個就持續學習會知道一些風險 |
| 03:14:38,616 | 03:15:03,688 | 後面有一些治安的威脅包括天災這個造成的比例台灣其實比較辛苦因為經常有一些外來的天然災害有一些跟人有關的這是一個統計這個有機會透過一些技術的方法來做一些呈現這個動態密碼或者是所謂的存取控制基本上在治安裡面它滿重要的為什麼 |
| 03:15:06,189 | 03:15:24,256 | 建立信任的第一个关卡我要先确定你是谁对不对所以身份的验辨识别跟认证它是很重要的不过现在比较少用右下角硬体的一次性密码了现在都用手机上的APP其实强度差不多那是可以的 |
| 03:15:27,978 | 03:15:37,724 | 好 來這邊這個領域我就要開這張圖給各位看這個跟剛剛那個一樣應用程式 對不對也在做injection還有寫T恤來…這台車開上路就被交通警察攔下來了 |
| 03:15:46,929 | 03:16:02,592 | 可是他收到的罰單是什麼你知道嗎你把車牌遮住了可是我們從治安的角度上來看新的攻擊手法出現為什麼我們的解讀是這樣他想幹嘛ZU0666他要做什麼事情有一個Database他想把自己的車牌號碼從資料庫 |
| 03:16:15,197 | 03:16:30,867 | 移掉以后他在路上到处乱跑差污此车你知道意思吗没有这个车牌他是下一个指引为什么他要把它贴在车子外面现在我们的道路上有很多什么 |
| 03:16:32,934 | 03:16:47,840 | 攝影機啊攝影機什麼科技執法有沒有它會側白辨識它會只固定辨識某一個區域嗎不可能啊它已經全影像辨識所以只要出現數字的地方都會被它轉換成 |
| 03:16:49,864 | 03:17:04,602 | 文字如果他軟體沒有寫好沒有控制那個長度車牌長度是固定的沒有控制那個長度那就糟糕了他有可能會直接把自己的資料移掉 |
| 03:17:07,014 | 03:17:29,496 | 大家知道意思嗎開發單開不到它 找不到它它只要做這個攻擊的動作前面那條可以拿掉了因為車子裡面的資料已經沒有它了殊不知一開上去就被我們的道路警察說你怎麼可以把車牌遮住可見這個警察 |
| 03:17:31,434 | 03:17:58,217 | 不知道治安的攻擊可以怎麼玩這個很特別我這個跟警察朋友拿到的照片大家可以參考一下他問我說他貼這張要幹嘛我說高手 這個很厲害好 911 911是大概很著名的一個事件這個是一個我們常常來談營運持續滿重要的一個觀念治安要備份911被攻擊已經十幾年了 |
| 03:17:59,379 | 03:18:02,312 | 双子星大楼呢隔年有一份统计其实我看了 |
| 03:18:03,702 | 03:18:28,574 | 蠻感慨的大家知道要能夠進駐雙子星大樓的企業應該都還蠻好的可是各位知道嗎隔年有將近55%還是65%那數字我有點忘記宣布破產或倒閉為什麼重要的是要在一個突然的突發事件裡面全部不見了後來整個大樓倒了你怎麼可能進去救災 |
| 03:18:29,754 | 03:18:40,867 | 對啊 也犧牲了滿多消防員的所以你會發現如果平時只要沒有去想到業務持續這個事情你有可能當突然這種事故誰知道那天早上飛機會撞過來對不對 |
| 03:18:44,301 | 03:18:59,137 | 好 那密碼就剛才講的密碼學我想是一切資安防護的基礎可是因為量子密碼的量子運算的出現現在大家在緊張會不會因為量子電腦來破了所有的密碼 |
| 03:19:02,541 | 03:19:27,982 | 這是風險管理一些面向讓大家注意參考法定法規我想大家都很熟有一些相關的規定特權管理現在有很多被攻擊的對象都已經慢慢變成特權管理的族群這個族群包括誰網路管理員 系統管理員 應用服務管理員或者是單位裡面有一些管理權限的人 |
| 03:19:29,043 | 03:19:52,166 | 他會透過一些社交工程的方法想辦法去建立側錄的一些環境譬如說像以前我們會說鍵盤側錄打什麼錄什麼同樣的這個攻擊方法雖然很古老可是現在仍然很多人在用如果這些管理人員不小心感染了像Keylogger |
| 03:19:52,806 | 03:20:10,044 | 就是這種鍵盤測入這一類型的2E軟體你在上面輸入的登錄的帳號密碼它有可能就同時會被記錄下來好 那實體安全我想大家也非常的熟悉你可以透過一些實體的控制去避免一些外來的風險問題 |
| 03:20:13,087 | 03:20:30,598 | 那一些安全架構所以現在我們一般來講為什麼要用雲端為什麼要用地端或者是用混合的多數的情況我們會去想我一個服務在線上怎麼樣才是比較安全而且打不死因為現在在談那個 |
| 03:20:31,839 | 03:20:55,581 | 數位韌性韌性不是韌性數位韌性就是打不死小腸的概念我的架構就經得起打經得起打以前我們在處理資安事件其實有一個最高原則打不死的最厲害就是來吧因為不可能不發生資安事件我可以讓這個資安事件的處理積極有效降低對我的影響 |
| 03:20:58,247 | 03:21:27,587 | 我想有很多跟通訊跟網路安全的議題尤其像現在很多攻擊都來自於網路端只是它的管道可能不一樣譬如說可能在內部的或是從外部連進來的或者是我今天通訊手機的通訊像我現在會接手機去上網到底出去有沒有問題不知道今天去咖啡廳去星巴克沒有登錄前我可不可以看到左鄰右舍 |
| 03:21:28,688 | 03:21:48,783 | 有些網路環境如果沒有設計好是可以的所以我沒有要上網我只要看鄰居是誰有一些跟惡意城市有關其實惡意城市對台灣來講算蠻大的一個治安的威脅台灣其實惡意軟體還蠻多的全球的惡意軟體也很多因為 |
| 03:21:50,544 | 03:22:11,996 | 這個對攻擊者而言它是最好的工具以前我們都說駭客避免被人家發現會去把自己的足跡抹掉現在都沒有現在都把放個惡意軟體給你勒索軟體他就自己把你加密起來你要去對他做鑑識還沒辦法為什麼因為他已經把重要的資料都加密在一起了好 那 |
| 03:22:17,990 | 03:22:35,391 | 做一個簡單的結論好 那重點的摘要我們在講一些那個西遊記的事講一些資安的事情我們先講這個西遊記這一段這個產生障碍在取經的過程遇到的很多誰 |
| 03:22:36,733 | 03:23:01,515 | 妖怪他都代表人性的某些的弱点其实有时候去看这种这种比较经典的文学著作其实蛮好玩的你会看到里面他想要传达的一些一些意象好像早上我在单位在公司里面做一样做治安认知我就举那个孙子兵法去看相关的一些面相 |
| 03:23:02,716 | 03:23:21,186 | 也帶領了這幾個人透過智慧勇氣協作克服一些問題這個東西跟資安有什麼關係其實我們來轉譯一下從事資安工作的人其實心臟要很大顆而且要承受壓力以前我們在處理資安事件 |
| 03:23:23,829 | 03:23:38,882 | 長官會問什麼時候好外面的客戶會問說這個服務為什麼不能用你知道嗎我們就夾在中間當然他處理有一定的步驟跟時間的要求不過如果 |
| 03:23:40,183 | 03:24:09,002 | 被攻擊我們長久的觀察是其實有可能已經被駭客組織鎖定了像前一陣子我們台灣一些政府機關就被一個駭客組織叫APT41的駭客組織做大量的攻擊那它其實它不是那種正規網軍它是民間的資安公司接受政府委託他們的政府委託打台灣你知道嗎 |
| 03:24:10,063 | 03:24:22,031 | 那你就會發現這種組織型的攻擊其實越來越多那你就會發現它所用的一些攻擊的方法有一些是還滿針對台灣的環境所規劃設計的他們也熟悉 |
| 03:24:27,074 | 03:24:46,771 | 我們目前的一些網路的架構那這種是最麻煩的敵人 為什麼因為它已經對我們很清楚那我們只能想辦法當它發生的時候很快的做一些應變所以資安團隊需要很多很多的資安技能跟一些防禦的工具來達成這個目標 |
| 03:24:50,333 | 03:25:01,156 | 好那剩下一點點的時間大家沒有問題或是工作上可能有遇到的這個需要需要討論的一些問題也都可以不知道大家有沒有問題那沒有就是我們謝謝今天講師這麼辛苦的上課好 謝謝 謝謝大家 謝謝 |
| 03:25:15,390 | 03:25:21,634 | 那還有問題就是可以客戶留下來再問一下我們講師然後要公務人員學習時數麻煩幫我QR然後我們結束後有備銷點心麻煩大家就離開設計領然後還有問卷調查再麻煩提供給我們一下謝謝 |