This session discusses the latest attacks conducted by the big four nation state adversaries from China, Russia, North Korea, and Iran, with a strong focus on China-based actors, diving deep into the background of these adversaries, their motivations, and the latest tradecraft they leverage during their daily offensive cyber operations. The speaker will identify state actors, and the agencies they work on behalf of, and shared tactics, techniques, and procedures.

The presentation will then focus on the history of eCrime, the latest attack trends being used by adversaries intent on financial gain, with a strong spotlight on connecting and highlighting the broad, highly interconnected, and interdependent eCrime ecosystem. Long gone are the days when single actors conduct all phases of an attack; modern eCrime leverages elaborate capabilities from enterprising criminals selling their specialized wares.

Lastly, the presentation will demonstrate a distinct association, and blurring of the lines between nation state and eCrime adversaries. In many cases it is not easy to discern the difference between the state actor and a sophisticated criminal, in particular because of intent, but increasingly because of extremely specialized tradecraft. Motivation is gradually more difficult to discern due to this line blurring. The speaker will demonstrate this hypothesis through various anecdotes, trends, and extensive research into the topic.

本篇演講會從網域伺服器架構介紹起，介紹目前攻擊者新穎攻擊網域伺服器委派信任關係手法，從攻擊網域伺服器中的服務主要名稱 (SPN) 的 Kerberoast (MITRE ATT&CK™ Sub-technique T1558.003) 及 ASREProast 到網域伺服器 Kerberos 委派關係攻擊如

1. Unconstrained delegations (KUD)
2. Constrained delegations (KCD)
3. Resource based constrained delegations (RBCD)，攻擊者可以利用 Kerberos 委派進行橫向移動並提升權限

有鑒於攻擊者從單一主機端 (點) 透過攻擊路徑 (線) 進而拿下網域權限 (面)，攻擊者成功將點連在一起 (connect the dots) 來突破目前的零信任安全架構，並且利用 Gold Tickets 等維持權限技巧，躲避藍隊防守管理者的偵測

同時分享目前駭客使用的網域滲透工具包 (如 Impacket) 並透過近年執行紅隊演練案例，讓聽眾了解攻擊者如何突破層層關卡，拿下最高網域管理者權限，提醒管理人員日常作業中，需要賦予服務權限時，都必須再度檢視，是否會被攻擊者利用來入侵

攻擊面風險管理 (Attack Surface Management, ASM) 對於企業的對外暴露威脅有其決定性的地位，因此這場議程將會著重介紹 ASM 的核心概念及它與傳統的資產管理、CMDB 的不同。透過實際的案例，與會者將理解 ASM 如何協助企業挖掘到沒有發現的陰暗角落 (Assets)、揭露人員不知道的隱晦設定 (Misconfigurations) 等潛在問題。

儘管 ASM 與其他功能相似的產品類似，仍然有其無法解決的問題，如內網設備的評估、資安威脅的檢測深度及廣度等，我們仍可以透過其他來源去補強上下文 (Context-enriched Content)，並藉此達到相輔相成的效果。議程中，我也將示範如何透過引入其他的來源，大幅增強 ASM 的實用性及評估結果。 最後，講師將分享企業如何經由導入 ASM 以規劃後續一系列的衛生安全 (Security Hygiene) 手段，最終達到對自身的通盤了解為目的。

企業所面臨的駭客攻擊是不可避免的，因為駭客不斷地尋找企業的弱點來進行攻擊。然而，許多企業對這些攻擊的反應速度和應對措施仍不足夠，因此難以有效地處理駭客入侵事件。趨勢科技長年協助客戶進行事故應變的經驗發現，當企業被駭時，能否迅速進行應變，以完成損害控制與事後復原，需要評估兩大關鍵指標：發現受駭所需時間、完成調查所需時間。本議題將提供企業可以有哪些作為，以追求兩項指標的成效。

Taiwan is no stranger to nation state threats attacks, with numerous high-profile cases making headlines in recent years. In this presentation, we will delve into the tactics and techniques used by nation-state Activity Groups targeting Taiwan, with a focus on the lessons learned from similar attacks in Ukraine. We will examine how attackers leverage legitimate software to gain additional privileges, utilize LolBin techniques to escalate their access, and maintain a persistent presence in target systems.Additionally, we will discuss the importance of organizations being proactive in their cybersecurity efforts and implementing appropriate defenses to prevent such abuse. Through this presentation, attendees will gain valuable insights into the tactics and techniques used by nation state actors and how to protect their organizations from these threats. By understanding the similarities, victimology and differences between attacks in Ukraine and Taiwan, attendees will be better equipped to recognize and respond to potential threats in their own environments.

Learning objectives:

• Understand the tactics and techniques used by APTs targeting Taiwan
• Learn how to identify and prevent the abuse of legitimate software by attackers
• Learn about LolBin techniques and how to defend against them
• Understand the importance of being proactive in cybersecurity efforts and implementing appropriate defenses to prevent nation state attacks

本議程旨在探討如何有效地經營資安團隊，並提升資安人員的效益。透過攻擊演練，我們將資安營運切分為建設、團隊和投資三個面向，全面提升資安團隊的效率和效益。從事件發生的前、中、後階段入手，探討如何提升資安管理者在資安投資層面的採購評估和決策效率，並提高資安建設的強韌性量測和產品驗證效率。同時，詳細探討如何提升資安團隊的臨場應變能力和資安演練效率，以確保能夠更好地應對各種資安事件和風險。最後，研究如何將資安團隊的整體能力與企業的戰略目標相結合，實現長期發展和成功。這些策略有助於提高資安團隊的整體能力和效益，並確保企業的安全。

我們需要真人來實施任何類型的安全性計畫。經過適當技術訓練且擁有多年經驗的人員可維運複雜的安全性環境、快速對新事件分類並執行適當的緩解行動。問題是這些技能稀缺、昂貴且難以維持。

這種技能短缺情況也會帶來嚴重後果。相同的 ISC2 研究發現，當安全性團隊人手不足時，他們的防禦比人手充足的團隊更容易遭到入侵，由此導致約三分之—的人手不足的組織報告較常發生的以下事件：

• 32% 的系統設定錯誤
• 29% 的關鍵系統修補緩慢/遭忽視
• 27% 的威脅缺乏可視性

這對由內部人員來處理事件的許多組織來說是一個挑戰，也是這些組織接觸 MDR 供應商的原因。 不幸的是，只有少數託管服務願意或能夠交付快速且大規模地阻止違規事件所需要的真正能力。他們為客戶提供建議和準備工作而非成果，客戶仍需要採取必要措施來阻止入侵者。Falcon Complete 以積極的填補這一空白為目標。

我們發現攻擊者與防禦者之間的 Active Directory (AD) 世界存在著相當大的認知差距。首先，防禦者對於 AD 環境中存在的攻擊技術不具備可視性，因此無法綜觀分析 AD 潛在威脅來佈建防禦。其次，即使防禦者對攻擊技術具備可視性，但由於企業環境存在太多限制，要能夠具體佈建防禦機制緩解特定攻擊技術也面臨諸多挑戰。再者，即便知道要對哪些攻擊技術進行防禦機制部署，其優先順序也是一大問題，沒有優先順序便無法在短時間有效降低風險。因此，若不依循完整且全面的風險評估結果投入資源解決安全問題，便無法確立其有效性。

為了解決防禦者所面臨的問題，我們首先盤點了所有 AD 的攻擊技術，以使其具備對潛在威脅的可視性。此外，我們提出了一個專用於 AD 的風險量化模型來實際計算攻擊技術的風險數值以利優先順序的排序。且該模型能夠根據 AD 攻擊技術的風險融合至攻擊路徑之中對其路徑之整體風險進行量化評估，以利防禦者能夠有效且全面的制定策略以降低其面臨的 AD 風險。

內容分發網絡 (CDN) 是現代網際網路占比相當重要的一個部分，它為全世界的使用者提供快速可靠的連結與與網路資源。但是，儘管 CDN 提供了許多好處，它們也會引入許多人可能不知道的新的安全風險。本議程中將探討 CDN 的隱藏危險，並探討為什麼 CDN 可能不像你想像的那麼安全。透過簡單介紹 CDN 可能引入的各種漏洞，探討如何保護自己和您的企業免受這些威脅。在本議程結束後，您將更好地了解 CDN 所涉及的潛在風險及其如何緩解這些風險。

零信任為企業網路安全架構的一個新趨勢，許多企業都逐漸導入零信任架構 (Zero Trust Architecture, ZTA)。由於現今企業組織廣泛採用 Active Directory (AD) 及 Azure AD 作為身份管理的解決方案，AD 及 Azure AD 可預期會作為零信任政策落實和決策的核心架構之一。在這樣的 ZTA 下，以往 AD 與 Azure AD 的攻擊手法是否會造成零信任核心決策引擎的安全問題？ 雖說 ZTA 可以有效限制攻擊者的行動，但部分攻擊方式卻難以緩解，例如當攻擊者成功控制了一個並不支援 Multi-Factor Authentication (MFA) 的帳號時，零信任架構下便難以處理其安全問題。

此外，相關的 MFA 服務也會成為駭客的重點目標，舉例而言，Active Directory Certificate Services (ADCS) 常作為 Azure AD 環境下的高強度 MFA 選項，其相關攻擊手法已被挖掘，若攻擊者藉此提升至網域高權限，亦會影響到 ZTA 的安全性。本場議程將以管理人員的角度探討 ZTA 底下潛藏的風險，給予企業對應的建議措施、應如何加強自身的企業安全，適合關注 ZTA 以及使用 AD 和 Azure AD 的技術人員聆聽。

美國行政管理和預算局於 2021 年發表依照 EO 14028 所制定備忘錄 M-21-31。該備忘錄建立事件日誌管理的成熟性模型，提供行政機構執行要求及細節。

於 2020 年底美國公部門遭受兩項嚴重資安衝擊。2020 年十二月的 SolarWinds 遭駭事件及 2021 年三月 Microsoft Exchange Server 郵件伺服器被爆出 4 項零時差漏洞。美國政府為這兩起重大規模資安事件進行調查。然而調查人員回報，機關的日誌保存機制拖慢事件調查的過程。缺少日誌收容除了阻礙事件證據蒐集，也導致機關無法建構正常基準線，偵查偏離基準線的異常行為。行政管理和預算局局長說：「聯邦資訊系統的日誌保存，對於網路威脅的偵測、調查以及修復，起著至關重要的效果。」事故管理分為偵測、回應、減緩、通報、恢復、修復與經驗學習。網路流量紀錄可讓資安人員找出駭客軌跡，在做威脅根除時更加完整，不遺漏任何一個有可能以被埋入後門的主機。企業所要強化的絕對是在資安事件後的改善如何加強企業資安防護的韌性。

在這次的議程中，將先說明滲透測試和弱點掃描的差異，接著介紹如何利用瀏覽器內建開發者工具觀察網站並進行手動測試。同時會從開發人員常見誤區角度出發，透過去識別化後的真實案例和靶機案例分享一般網站最常碰到的漏洞情境及測試手法。期許聽眾能夠不需借助專業工具就可自行在業務範圍及日常瀏覽網站實踐駭客精神，踏出網站滲透測試的第一步。