不久前風光落幕的 CYBERSEC 2024 臺灣資安大會,與會者在參觀偌大展區的過程,都會看見「 Cyber Talent 資安人才專區」。這個從 2021 年啟動的平台,顧名思義旨在於深化培育動能,讓學界、在學或在職的資安人才與產業接軌。看到這裡,自然吸引資安新鮮人躍躍欲試,亟欲瞭解在進入資安職場前,如何正確踏上學習旅程。
此外由於金融詐欺、身分盜竊等事件氾濫,讓許多人惶恐不安,急欲探索反詐欺技術與防範措施,亦使「 Fraud 論壇」成為 CYBERSEC 2024 裡備受關注的一環。因此包括資安人員學習之路,及新型態詐騙趨勢剖析,都被果核數位列為 2024 年第二季 Hacker Talk 論壇的焦點主題。
果核數位資深資安顧問 Jack Liu
正確的學習路徑,讓資安菜鳥躋身資深達人
率先開講的果核數位資深資安顧問 Jack Liu,基於個人所見所聞,分享從資安菜鳥到資深的經驗。
他坦言進入職場時,就是一個有滿腔抱負卻全無概念的小白,所幸任職的公司皆給予很大學習空間,使他得以漸漸成長茁壯。他提到剛開始時自己對工作內容的期望與現實有很大差距,不僅需要技術能力,還需要大量文書工作和與客戶的溝通。對工作的認知往往與現實有差距,但更重要的是在這過程中學習和成長,無論在什麼領域,只要有熱情並願意投入時間和精力,就能有所成就。
當天除了簡單介紹資安工作中不同的角色,Jack 還詳細地分享他作為攻擊方的學習方法,首先強調了基礎知識的重要性,扎實的基礎知識是進行滲透測試和漏洞挖掘的前提,不論學習什麼領域,打好基礎都是至關重要的。接著提到學習工具應用,包括滲透測試的輔助工具與自動化掃描工具。前者像是常見的 Nmap、Hashcat、BurpSuite 等等,後者如開源的 OpenVAS 或商用的 Nessus 等等,同時建議安裝 Kali Linux 系統搭配書籍進行學習,能有效提升學習與工作效率,並提到學習工具的使用應該與實踐操作相結合,這樣才能真正掌握技術,這一點對於任何領域的學習都非常有借鑒意義。
在學習漏洞和攻擊技術方面,Jack 推薦了幾個資源,如 OWASP、PortSwigger、Hacktricks 等,並再次強調學習過程中實作的重要性,旨在讓自己熟能生巧,進而在實戰時快速找到漏洞。學習途中,不妨搭配 PortSwigger、Hack the box 或 PentesterLab 等一些線上實驗室來練習,亦可手動架設測試環境、參加 CTF 或參與 Bug Bounty 練習,以熟悉攻擊方式,並驗證學習成果。
另外 Jack 強調了持續學習和更新知識的重要性。他提到參加資安社群和研討會、閱讀資安新聞和文章,以及利用 AI 工具來解決問題。讓參與者能夠認識到,資安是一個不斷變化的領域,只有保持學習的態度,才能不斷提升自己的技能,應對未來的挑戰。
Jack 也藉由自己遇到的踩雷案例來引以為戒,得出像是「工具上預設設定皆有它的考量,修改前先理解其用意為何」、「掃描行為可能造成服務出錯,甚至停止服務,執行前應先告知客戶可能的風險,並請客戶提供測試環境及備份資料,避免服務因掃描而出現無法挽救的錯誤」及「網站功能不止介面上看到的單純,隱藏功能不管是設計者有意為之,或忘記設定關閉,都有可能被意外觸發,導致網站變得不安全」。透過這些 Lesson Learned,一點一滴深化自身工作技能和應變實力。
不可諱言,藉由客戶端實戰洗禮,亦能不斷增長見聞。在這次演講中,Jack 分享了三個客戶案例,分別指出了一些客戶的安全謬誤,例如使用者認為內網主機不易被打,因此並未定期更新,導致執行滲透時,主機可被輕易拿下;客戶端的 ACL 設定較寬鬆,未確實將網段切開,導致由 DMZ 區進來的駭客可在任何網域到處亂竄;最後一個案例提到,資安問題不只涉及技術層面,資安意識同樣重要,釣魚造成的降維打擊,可以直接突破好的系統設計,所以培養資安意識是企業不可缺少的環節。
台北市電腦公會資深顧問劉彥伯( Paul Liu )
冀望政府與民間聯手,加強反制數位詐欺
接著由台北市電腦公會資深顧問劉彥伯( Paul Liu )登場,剖析風暴般的完美騙局,點出一些讓全球執法機關束手無策的詐騙犯罪型態。
他表示數位詐欺厲害之處,在於犯罪者善利用生成式 AI 等科技,精準做出以假亂真的文字或圖片,讓即使資訊專家照樣受騙。更有甚者,新型態詐騙不只針對一般民眾,受害企業也不在少數。
回顧近年,亞洲各國的詐騙犯罪非常嚴重。以臺灣為例,基本上以身分詐欺、Shopping 詐欺或繳費型詐欺居多;據刑事局統計,2023 年總詐騙損失約 88 億元,若加計未報案的隱藏金額,實際損失恐怕更驚人。
為何詐欺如此嚴重?其實從 2018 年起,詐欺案件數已超越傳統網路攻擊,首先是因為有利可圖,吸引駭客或犯罪組織轉往數位詐欺發展;其餘還包括刑罰低、報案率低、被起訴率更低。
他觀察 2024 年有幾個值得關注的詐欺趨勢。首先是 BEC ,尤其需留意「授權推送支付」( APP );通常犯罪者假扮成真實受款人,說服受害者以不可撤銷的電匯方式,將資金轉入他旗下。所有組織都是目標,無論大小企業、醫院、非營利組織、學校皆應警覺。
建議財務部門接獲付款要求時,務必向當事人當面再確認;另利用 AI/ML 學習 CXO 平常的 Email 寫作方式,對判別真偽也有一定效果。
另一嚴峻議題,便是因 AI 或 GenAI 而加速的社群與偽冒詐騙,例如 Deepfake 、PUA ,在 2024 年都出現增加的趨勢。由於精確度提高,連帶提升辨識難度。
可喜的是,2024 年起反詐欺的力道逐步增強。如全球越來越多政府機關制定相關法規,意在遏阻擋詐欺事件發生。此外有越來越多企業或組織願意投入反詐欺,但仍面臨缺乏足夠資源或技術、缺乏自動化工具以致調查耗時、沒有反詐欺標準可依循等難題。
欲化解反詐欺困境,劉彥伯呼籲一方面主管機關宜儘速訂定相關標準,二方面期待更多公司看見數位金融犯罪防治的契機,願以數據分析、AI 等技術為基底,發展實用的詐欺風險管理工具或服務,甚至匯集政府與企業的力量發展聯防機制,繼而透過 API 形式讓廣大公司行號介接,快速增強反詐欺能量。
總體來說,這場論壇不僅協助資安新鮮人破解迷思,更懂得如何增長技能,更帶領聽眾洞悉最新詐騙趨勢與因應之道,堪稱是深具含金量的資安知識饗宴。
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-22