這次的議程中將介紹什麼是 Threat Modeling，為什麼需要 Threat Modeling，如果想進行 Threat modeling 該準備些什麼。且不侷限單一方法論並透過系統性概念的流程，解構每階段該如何做及會有那些該注意的風險， 並輔以漏洞實例說明。提供給想要瞭解、審視或是建立自家系統 Threat Modeling 聽眾的入門參考；無相關經驗聽眾也可將議程中提及的風險帶回各自單位做整體性資安的審視及改善參考。

演講探討企業在零信任架構 ( ZTA ) 與進階社交工程中面臨的資安威脅，著重於 CVE-2023-23397 漏洞案例和紅隊攻擊案例分享。分享紅隊實際經驗，揭露藍隊應對 ZTA 的風險。提供防禦建議，強調風險管理和使用者教育的重要性，應對複雜的資安挑戰。期待聽眾深入了解當前安全威脅，並取得實際應對戰略，強化企業的資安防護，Make the World a Better Place。

全球頂級的各家防護廠商皆以搭載極高偵測率之 AI 歸因分析引擎的羽量級端點作為解決複雜真實攻擊的根基並以低誤判率而為人所樂道；然而有其不可避免的極限：如何具有可解釋性且低誤判「合理的」惡意行為歸因技術、從明確的惡意系統 API 呼叫順序所生的前後文語義作為自動化偵測依據 ——而如此興盛的 AV/EDR 引擎的歸因技術裡引起了攻擊研究者的好奇，倘若能在羽量級端點之遙測資料早期便有效的混淆系統 API 呼叫的順序或者發起者，是否便能將該攻擊行動被分析引擎錯誤性歸類為誤報 ( False Alert ) 甚至是良性的系統原生正常行為呢 ？我們將從 Defender 2020 年引擎升級後的行為分析技術出發並展示頂級商業滲透工具 Cobalt Strike 針對三種新型態針對掃毒引擎之歸因技術逃逸的手段 —— 如攻擊者能反過來濫用 Windows 10+ 推出的 CFG 防護成為端點防護產品 AI 偵測的盲區，使攻擊行為誤判成為良性系統行為。

根據戴夫寇爾統計近一年半數十場的紅隊演練結果中，高達 5 成以上的企業內網存在 Active Directory 憑證服務 ( AD CS ) 相關的設定疏失，導致攻擊者可在僅有任意低權限網域帳號的情況下，在短短幾分鐘之內即取得網域最高控制權。

本場演講將以去識別化的方式呈現各家企業設定疏失的點在哪、攻擊者會如何利用，說明 AD CS 服務應是企業該定期檢核的內網關鍵基礎設施，並說明該如何避免產生錯誤的設定，以及一些特殊情況的緩解方式。

在這資安意識高漲的年代，導入各種防護與示警設備已成為顯學，但是，對於告警的後續處理，真的做足了嗎？這場議程將討論未被妥善處理的告警是如何演變成破口，導致組織持續暴露於風險之中。

透過案例解析的模式，將分享從分析攻擊手法到找尋相關線索的過程，進而能夠正確理解當前所面臨的威脅並制定應對措施。

「保護＋防禦」雙管齊下，更有效完成資安防範！

許多企業都正在將資安「左移」，也就是在資安威脅週期的早期階段就採取行動來防範攻擊，透過一些措施在攻擊演變成資安事件，並造成更大規模傷害之前預先加以偵測。因為駭客比你還要了解你的資安防護，是我們防的快？還是駭客打的快？AEB 教您如何借平台之力，精準掌握駭客攻擊意圖、有效快速消除威脅契機！

由於 Active Directory (AD) 在網路中負責帳號權限與存取控制，其中存在有些容易被忽略的錯誤配置問題，這將會被攻擊者所利用，對網路安全構成嚴重威脅。演講中將著重於說明 AD 中三個關鍵領域的錯誤配置：Windows 認證機制、存取控制清單 ( ACL ) 以及代理機制，以及如何識別這些細微修改所造成的安全風險。

在這場議程中，我們將深入探討 Active Directory 和 Azure Active Directory (Entra ID) 的核心差異，揭示 Azure, Entra ID 內所含的資安威脅。我們將以從紅隊角度出發，分析 Entra ID 的潛在風險，並以實例方式展現如何使用特定工具來執行 Enumerate 及 Exploitation, Exfiltration 手法，甚至是 Bypass 2FA 的攻擊方式。此外，我們也會詳述橫向移動的 Hybrid Identity 攻擊手法，包括從本地到雲端，甚至從雲端反打回本地 Active Directory 的技術，例如 Password Hash Sync, Pass-Through Authentication, AD Federation Golden SAML 等。

面對不斷增加的安全威脅和攻擊，藍隊作為企業安全的第一線，負責建立安全措施、監控異常情況及迅速應變和恢復。然而，企業往往難以有效評估整體的防禦偵測及韌性應變有效性。

本議程將分享國外藍隊強化最佳實務及案例，包括如何應用攻擊模擬策略和韌性評估框架，將涵蓋 MITRE ATT&CK 框架、Adversary Emulation Library、MITRE Caldera、ENISA CSIRT Maturity Framework 等資源。這些方法可協助企業制定未來的安全強化藍圖，以提高企業整體安全性和韌性。

台灣的紅隊演練服務在 2017 推出，今年即將邁入第七年。而在過去近 100 場的紅隊演練，我們發現不同資安成熟度的企業其實對於演練的目標跟演練方式有著不同的想法跟期待。我們將在這場演講分享 DEVCORE 定義的紅隊演練三個階段，在不同的階段企業應該用怎樣的思維、期待跟演練方式能夠達到最大的效益。同時，我們也將首次分享不同產業別在這三個階段的相關統計數據，並建議企業未來在執行紅隊演練前應該有的認知。

分享在過去幾年採用 Graylog Open 版本打造企業資安戰情中心的經驗，從記錄收容、擷取及分析出關鍵資料數據呈現在易讀的資訊看板上，再搭配接取外部多種開源情資進行判斷，甚至是與 Grafana 進行整合做出更多樣化的圖表看板，達至最低成本下做出最大效果。在議程中將會分享多種實際案例的看板、情資與圖表用法。