Google Cloud Security Forum Taiwan 2024 心得
2024-08-27 06:47:45

主題致詞

簡單提到了 Why Are Defenders Struggling 的六個點:

  1. Number of groups are on the rise
  2. Number of attacks is on the rise
  3. Attackers are becoming more sophisticated
  4. Security Control are more numerous and more complex
  5. Government intervention helpful but arrests and success stories are few and far between
  6. ATTACKERS NEED TO BE RIGHT ONLY ONCE

主題演講:Google Cloud Security 及網路安全未來展望

大致上介紹了 Google Cloud 的相關 Security 的產品,像是結合 Gemini 的 SecLM 模型、Chronicle 大數據平台幫助快速分析 PB 級資料及給出 incident 報告及處理方法等,還順便提到如果 Cryptojacking 被繞過的話就會賠償最高 100 萬美金的賠償。同時提到產品無需 Agent 程式在跑(那這樣我也蠻好奇會怎樣做到入侵偵測的)

這場演講因為撞到公司會議所以我沒辦法很認真的去聽,但感覺就是在圍繞在 Google Securtity 的產品,包含併購的 Virustotal 及 Mandiant 所帶來的資安鑑識及分析技術上去做推廣,以及引用最近很知名的 XS 漏洞等去進行分享,順便帶出三題是非題讓大家意識到資安的重要性:

  1. 是否可透過外接硬碟來實現主機重開機?
  2. 是否可透過外接硬碟來實現主機系統重裝後,病毒依舊存在?
  3. 是否可透過外接硬碟來實現硬件更換後,病毒依舊存在?
    以上三題答案都是可行的,但舉體方式沒有細講,有點小可惜 QQ

最後這場演講有提到一個我蠻喜歡的句子:「Data is the king」,Google 每天收集 PB 級的資料並且用於分析優化模型來增強辨識進度,讓整體安全性變得更高!

運用 Google Trusted Cloud 鞏固您的投資

介紹五種 AI 目前常見的攻擊或擔憂:

  1. Prompt Injection
  2. Data Exposure
  3. Model Teft
  4. Data Poisoning
  5. Model Integrity

勒索軟體等網路安全事件的模擬及回應對策

這次的講座很有趣,是一個互動式的活動,就跟兵棋推演一樣,根據現場會眾的回答去左右劇情的走向

事件前提:

你是一間大型醫院的 CISO,除了面對一班日常,還需要面對董事會的質詢,他們對資安一竅不通。
大部分主機都是 Windows 10/11。生命維持系統維持在 Windows 7、Windows server 2019 or 2022
Non Ccritical 系統會部署 FW、AV 等防護措施,30% Windows 10 跟 60% Windows 11 安裝 EDR (as part of POC)
有 internal SIEM solution 但沒有 dedicated engineer 協助,沒有 IR retainer 跟 Cyber Insurance

模擬場景:

  1. What is your philosophy on paying randoms?
    • 60% 不會考慮,30% 如果有確定資料的話就會,沒有人會一定會付贖金
  2. 今天收到 Email 指出駭客已經成功入侵醫院並且取得資料,要求支付 500 萬美金。
    • 70% 的人會進一步跟內部 IR 協同查詢,17% 會支付,其他人選擇忽略
  3. 確定有檔案外洩,加害者傳送示範資料,但內部 IR 調查沒結果
    • 90% 的人會進一步調查跟聯繫外部 IR,10% 的人忽略
  4. 來到第 39 個小時,外部 IR 確定有發現其中一個資料外洩,駭客在一小時後會進行破壞性動作,要求支付 1000 萬美金。
    • 91% 的人會進行調查跟斷網路,9% 的人會付贖金
  5. 第 40 個小時網路斷掉,系統被加密,10% 受保護醫療資訊(PHI)將會被公布,贖金再度提升(恢復的成本會不會大於贖金,這是企業會考慮的問題),要求支付 1500 萬美金。
    • 70% 的人會開始 Recovery Procedures,30% 的人會支付贖金
  6. 外部 IR 完成稽核,了解被入侵的系統,但部分資料已經外洩,要求支付 2000 萬美金否則公布剩餘資料。
    • 70% 的人會繼續完成 Recovery Procedures,30% 的人會支付贖金
  7. 結局:IR 有信心解決入侵者,調查也發現駭客流出的數據就是他拿到的所有數據。但醫院聲譽也同時受到影響。

經過事件後,再回到第一題 What is your philosophy on paying randoms? 這時數據明顯做出改變,從原本的 60% 不會還降到 25% 不會還,40% 會考慮,30% 一定會還

現實考量除了金錢利益外,我們還需要承擔來自長官的壓力(如果他老婆正在手術等等,一定會給一堆壓力)、社會的壓力等等,這會讓決策變得更困難,但同時也帶出擔任 CISO 要面對的壓力。

2024 年台灣網路威脅概況

開頭放了一個照片,找出豹藏在哪裡,暗指目前網路社會中找出的攻擊來源越來越隱晦。

  1. Review of Zero Days in 2023

    • 97 個 Zero Day 漏洞,比 2022 還多了一半以上(62 個),大致分為面對 End user 剛 Enterprise-focused technologies,通常都在 66% / 33% 的比例
    • Windows 是第一名、Safari 第二名,41% 是 CSVs(Commercial surveillance vendors, 公司製造然後來去販售),41% Espionage,17% Financially motivated(像是 FIN11)
    • CSVs 分成四部分:獨立漏洞研究者、漏洞販售者(Exploit brokers)、PSOA(Private Sector Offensive Actor,公司請人打別人公司,但很多國家是非法的) 跟 Government customers(政府、軍事單位)
    • China 有關的 Zero day 去年用了 12 個,最多的國家 : )
    • 更多詳細內容可以參考 https://blog.google/technology/safety-security/a-review-of-zero-day-in-the-wild-exploits-in-2023/
  2. 2024 Threat Observations

    • Espionage(間諜活動):來自中國跟韓國的共五起
    • Cyber Crime(犯罪活動):Lockbit 今年還是佔最高比例,瞄準製造業攻擊
    • Hacktivism(宗教)
    • Information Operaitions:博文傳媒,幫忙大陸政府單位創造新聞(不保證真實性),製造 131 個網站發布不正確新聞
  3. Case Studies
    他沒時間說,但這是我最想聽的段落 QQ

  4. Looking Forward
    他沒時間說,雖然我覺得就是各種網路威脅越來越高,所以記得買 Google 產品保障你的企業安全