去年發現微軟Exchange Server漏洞,並且在有「資安界奧斯卡」之稱的Pwnie Awards獲得最佳伺服器漏洞獎之後,DEVCORE今日 (1/12)分享其成立紅隊演練等服務的相關理念,並且強調希望透過駭客攻擊想法協助企業建立足夠的系統安全防護機制。
DEVCORE共同創辦人暨執行長翁浩正表示,許多企業的安全防護概念,往往是建立在對外採購安全防護解決方案,卻往往忽略系統在實際運作時所產生漏洞,因此容易遭外部攻擊入侵,進而被竊取資料,或是產生更大傷害。
而在DEVCORE的想法中,透過與駭客相同攻擊手法設法侵入企業系統,將能更直接、有效地協助企業找出安全漏洞,並且在不影響企業營運、資料安全情況下提高防護能力。因此,透過紅隊演練 (Red Team Assessment)、滲透測試 (Penetration Test)將能讓企業及早發現漏洞問題,避免在實際面臨被攻擊時難以招架。
翁浩正表示,透過攻擊建立防守一直是DEVCORE的精神所在,同時也認為透過持續攻擊、挖掘漏洞才能真正找出安全防護方式。
從2012年11月創立,DEVCORE便透過高品質的滲透測試服務,藉此協助包含政府單位、金融、半導體、電商、醫療等對資安有高度要求的產業檢視安全防護是否到位。而在2017年正式推出紅隊演練,透過實際演練更進一步驗證企業資安防護能力,並且挖掘是否有額外潛在漏洞。
在後續接連獲得諸多獎項,並且協助挖掘企業各類安全漏洞,DEVCORE表示幾乎高達9成以上企業外部系統能直接被滲透存取,而超過7成的企業核心系統更可被攻破取得控制權,進而導致服務中斷,因此更凸顯企業資安必須透過實際操作才能確認實際安全程度。
不過,當企業資安漏洞持續被挖掘修正,是否意味DEVCORE之後將無從發揮,DEVCORE共同創辦人暨紅隊組總監許復凱認為,確實科技持續發展會讓網路環境越來越安全,同時各類防毒技術與防護解決方案也更加聰明,甚至在新形態應用服務與框架更難以產生漏洞,但在系統迭代更新過程依然會有老舊程式編碼、使用權限、更複雜系統結構導致漏洞產生,因此DEVCORE依然可以透過駭客思維持續協助企業挖掘漏洞。
因此在企業面對資安的想法中,DEVCORE認為應該更重視實地演練與模擬滲透結果,尤其現今已經開始有國家意圖將系統漏洞作為數位化武器,同時也有更多單位公開或私下收購資安漏洞資訊,未來可能更難以想像系統漏洞背後可能產生影響。
《原文刊登於合作媒體mashdigi,聯合新聞網獲授權轉載。》
