關於本報

資策會 FIND科技報
報主:資策會 FIND科技報
創刊日期:2008-04-02
發報頻率:每週三出刊
訂閱人數:578
官網:
http://www.find.org.tw

近期電子報


訂閱便利貼


將貼紙語法置入您的網站或部落格當中, 訪客可以輸入mail取得認證信,並按下確認連結後, 快速訂閱您的報紙。
預覽圖
訂閱資策會 FIND科技報報
資策會 FIND科技報
-----------------------------------------------------------------------------------------------------
Plurk FaceBook Twitter 收進你的MyShare個人書籤 MyShare
  顯示內嵌語法

資策會 FIND科技報
發報時間: 2021-05-27 16:00:00 / 報主:資策會 FIND科技報
[公益聯播]支持目睹家庭暴力兒童的心靈重建工作
本期目錄
DEVOPS安全開發工具介紹:以微軟威脅模型建模工具為例
結合敏捷開發的完美駭客活動:以EMOTET為例
5G開啟VR新境界,NBA運動賽事超狂體驗
SNAPCHAT影音AR互動遊戲 打造全新體驗行銷
DEVOPS安全開發工具介紹:以微軟威脅模型建模工具為例

FIND研究員:李啟榮

 

DevOps的實施過程中,軟體安全性的考慮也成為持續整合、持續交付的需求之一,來保障軟體上線運作時資料、系統的機密性、完整性和可用性;而微軟推出整合STRIDE安全模型的視覺化「威脅建模工具」,使開發維運人員以簡單明瞭的方式,了解各項威脅來源和影響,為安全架構的設計奠定基礎。

 

 

 

威脅建模原理:STRIDE模型

 

微軟根據軟體的內在/外在威脅來源,歸納出STRIDE六個字首關鍵字,包含欺騙(Spoof)、篡改(Tampering)、否認(Repudiation)、資訊洩露(Information disclosure)、阻斷服務(Denial-of-service)、權限提升(Elevation privilege);而微軟威脅建模工具則以STRIDE模型為核心,來剖析軟體架構暴露出來安全性問題,作為威脅預防和弱點補救的依據。

 

 

 

 

 

 

 

資料來源:Microsoft

 

1:軟體架構流程和暴露的弱點種類

 

 

 

在威脅建模工具的主介面下方,為問題分析介面,藉由STRIDE六種類別來分析系統架構的問題,並針對暴露出來的威脅,提供預防和改善的建議,從設計階段的源頭減少隱患。

 

 

 

 

 

 

 

資料來源:Microsoft

 

2:威脅詳細說明與建議

 

 

 

威脅建模範例:以Azure為例

 

威脅建模工具除了有不同角色、不同元件的資料流以外,還有「信任邊界」做為資料流在不同網段進出的關卡,來阻止外來的惡意活動。

 

以下圖Azure專案為例,由於Azure專案架設在微軟Azure雲端主機上,需藉由信任邊界來區分企業客戶網段、外網、Azure網段,企業網段以HTTPAzure建立橋樑,再串接Azure資料庫與分析引擎,構成一個完整的流程。

 

 

 

 

 

資料來源:Microsoft Azure GitHub

 

3Azure威脅建模個案

 

 

 

除了STRIDE六種分類以外,還要搭配信任邊界機制來區隔網段,以縱深防禦策略保護各項功能的安全和完整性,在提升系統功能安全性之餘,配合信任邊界來預防外部威脅。

 

小結

 

威脅建模可以在軟體的雛型開發階段,導入安全設計思維,以威脅模型和威脅來源的分析,來減少開發過程中的缺失,造成牽一髮而動全身的危害。而安全模型也要在後續的迭代循環中不斷驗證和修正,來評估和保障安全模型的可行性,並在日後上線部署時,保障系統本體和使用者的可用性、完整性和資料保密性。

 

參考來源:

參考資料

 

DaNeil, C. (2020, February 11). Threat Modeling for Beginners. Retrieved March 14, 2021, from Dev.to: https://dev.to/caffiendkitten/why-you-need-threat-modeling-3n6p

Hernan, S., Lambert, S., Ostwald, T., & Shostack, A. (2019, October 7). Uncover Security Design Flaws Using The STRIDE Approach. Retrieved March 12, 2021, from Microsoft: https://docs.microsoft.com/en-us/archive/msdn-magazine/2006/november/uncover-security-design-flaws-using-the-stride-approach

(2019, December 30). Azure Template - Microsoft Security Threat Model Stencil. Retrieved March 14, 2021, from GitHub: https://github.com/AzureArchitecture/threat-model-templates

(2019, July 31). Microsoft Threat Modeling Tool threats. Retrieved March 14, 2021, from Microsoft Azure GitHub: https://github.com/MicrosoftDocs/azure-docs/blob/master/articles/security/develop/threat-modeling-tool-threats.md

結合敏捷開發的完美駭客活動:以EMOTET為例

FIND研究員:李啟榮

 

今年二月,歐洲刑警組織EUROPOL結合八國警方於烏克蘭破獲史上最危險駭客網路Emotet的關鍵設施,而資安專家發現Emotet的活動導入了敏捷開發思維,藉由快速的改版交付,令惡意程式日新月異,擴大災害規模。Emotet除了敏捷開發外,也藉由高度自動化的惡意程式散布方式,加上惡意檔案的精巧包裝,能主動刺探漏洞,並誘使使用者開啟惡意郵件觸發惡意程式,為有史以來最縝密、最組織化的駭客活動之一。

 

Emotet的敏捷化作業模式

 

根據破獲Emotet關鍵設施的歐洲刑警組織表示,Emotet藉由頻繁更新惡意程式碼來規避防毒程式的特徵比對,並能以WordExcel等文件作偽裝,藉由巨集來觸發惡意程式。另根據ITHome資安主筆黃彥棻(2021)對趨勢科技專家Fyodor YarochkinFox-IT安全公司專家吳宗育的專訪表示,兩位專家觀察到Emotet幕後團隊採敏捷式作業,並能夠針對惡意程式的自身漏洞進行改版、自動化部署,可謂道高一尺、魔高一丈,令防毒軟體趕不上惡意程式的變化而窮於應付。

 

Emotet惡意程式運作方式

 

根據歐洲刑警分析,Emotet的散布方式為常見的網路釣魚郵件,將惡意程式以巨集隱身在WordExcel等電郵附件,一旦被使用者觸發就會自動執行惡意巨集,搜尋受害電腦的漏洞並加以利用、奪取,變成Emotet殭屍網路的傀儡與跳板。

 

 

 

 

 

 

 

資料來源: (Europol, 2021)

 

1Emotet運作機制

 

 

 

根據資安顧問公司Cofense2020)分析,Emotet惡意程式利用了「指揮與控制」的機制,可將受害電腦與攻擊者串接起來,而被攻擊者利用,刺探電腦弱點與使用者機敏資訊,讓使用者受害後對此束手無策。

 

小結

 

由於Emotet的幕後黑手採組織化的縝密作業,方能進行惡意程式的敏捷化改版和自動化散布;而且Emotet的幕後黑手也對防毒軟體的情報了解透徹,並能針對有漏洞的軟體和電腦進行外科手術般的精準打擊。

 

即使Emotet的惡意軟體以敏捷化改版,終究是個人為被動觸發的惡意軟體,因此人員的安全知識和安全作法的培養為根本預防之道,必須要對社交工程可以信件和附件提高警覺、不輕易觸發,才能遏止Emotet等殭屍網路的滲透和掌握。

 

參考來源:

參考資料

 

(2021, January 27). World's Most Dangerous Malware Emotet Disrupted Through Global Action. Retrieved March 15, 2021, from Europol: https://www.europol.europa.eu/newsroom/news/world’s-most-dangerous-malware-emotet-disrupted-through-global-action

Haas, B. (2020, December 22). Emotet is Back for the Holidays with Updated Tactics. Retrieved March 16, 2021, from Cofense: https://cofense.com/emotet-is-back-for-the-holidays-with-updated-tactics/

黃彥棻. (2021310). 【網路犯罪也是一門講信任的生意】Emotet只和熟識的網路犯罪組織談合作. 2021315擷取自 ITHome: https://www.ithome.com.tw/news/143060

5G開啟VR新境界,NBA運動賽事超狂體驗

FIND研究員:賴育琳 隨著5G技術的蓬勃發展,各產業都想在5G領域中尬上一腳,且在後疫情時代,影像資訊傳播的生活領域將會是最有感的發展項目,影音佔據民眾日常生活極大的區塊,所以結合5G的影音服務將會是未來的應用趨勢。<<詳全文>>

SNAPCHAT影音AR互動遊戲 打造全新體驗行銷

FIND研究員:賴育琳 Snapchat是個以拍照為主的社群程式,用戶在App內可以進行拍照、錄製影片、後製文字或圖畫等功能並上傳至社交網路分享。Snapchat主要經營歐美市場,用戶年齡層大多坐落於18-24歲年輕千禧世代,並且製作許多特別的濾鏡,例如前陣子風靡全球的性別轉換、童顏與卡通等有趣濾鏡,吸引全球眾多用戶的使用。<<詳全文>>

推薦訂閱
第118期-樂觀之因:資訊共享資源如何(或應如何)存續於著作權,以及其如何被(或不被)當今政策所認可@【創用CC電子報】
真的很抱歉!我不得不宣佈停稿了@【網頁研習室【網頁製作系列報導】】
轉寄『DEVOPS安全開發工具介紹:以微軟威脅模型建模工具為例』這期電子報

寄信人暱稱  寄信人email
收信人暱稱  收信人email

  • 社群留言
  • 留言報主