以红队演练闻名的台湾资安业者DEVCORE戴夫寇尔,在上周六举行年度研讨会DEVCORE Conference 2024,探讨骇客创新攻击技术和手法,以及他们所看到的实际企业资安风险。虽然这是付费的资安技术活动,仍吸引近400名来自资安业界、学界人士参与。这是DEVCORE继2019、2023年之后,第三度举办。
这次大会首场演讲聚焦企业普遍采用的Active Directory(AD),戴夫寇尔表示,过去常见的3种攻击AD手法,现在多数企业都已经能够防范,但有新的威胁面向要注意。
根据DEVCORE的红队演练经验,他们发现超过9成企业都安装AD CS凭证服务(Active Directory Certificate Services),却有7成没做好安全设定,因此,关于攻击者会如何利用这些疏漏,了解相关风险的类型,以及如何避免,是企业必须关注的重要议题。
以AD安全方面而言,的确是国内企业必需关注的一大重点。其实DEVCORE先前对这方面就非常关注,例如,我们在2022年看到他们与另一家资安业者奥义智慧,共同向外界揭露国内AD防护现况,并指出他们看到哪些常见问题,像是近8成企业环境可从DMZ区直接存取AD等。不只上述两家厂商,还有TXOne Networks等不同资安业者,近年持续在国内大型研讨会上公布这方面的最新讨探与研究,阐述AD管理的挑战,以及AD安全防护的重点。
这次DEVCORE Conference 2024的另一场演讲,则是关于网站应用程式防火墙(WAF)的深度解析,戴夫寇尔派出专家介绍这类产品的处理流程、侦测机制与阻挡手段,并提醒目前存在前后端解析不一致的问题,需多加注意。
关于这方面的议题,虽然讨论声浪不如AD安全那么高,但回顾过去,多年前DEVCORE也曾谈及WAF不良设定的安全风险,这次再有前后端解析不一致的深度解析,显现他们持续看重这方面的议题,应也期盼更多企业与研究人员能有更多相关探讨。
除此之外,本次大会还介绍了多种创新的攻击技术议题,包括旁路攻击手法、红队工具开发、Pwn2Own 2023国际大赛的参赛心路等。而且,这次DEVCORE也首度特别邀请其他研究人员,由奥义智慧的专家来从蓝队身份、红队视角,提供不同的攻击思路的探讨。
另外特别值得一提的是,关于DEVCORE公司本身的概况,该公司执行长翁浩正提到一个新的转变,是他们这家资安公司现在已经开始实施周休三日,希望促进员工工作效率的提升。或许也是希望能更好招募资安人才。