在資訊安全領域，弱點掃描已有超過二十年的歷史。儘管這一工具已廣泛使用數十年，許多企業仍對如何有效執行弱點掃描及如何評估和優先處理發現的弱點感到困惑。此外，隨著新型資安產品如入侵攻擊模擬演練和外部攻擊表面管理的推出，企業面對是否購買以及如何有效利用這些工具的決策變得更加複雜。

面對有限的資源，企業需要決定哪些產品或服務應優先投資，這是一個普遍且棘手的問題。選擇錯誤的產品不僅會導致資金浪費，錯誤的部署位置同樣會使潛在的好處無法最大化。根據我們在超過一百多次紅隊演練的經驗，本演講將深入探討各類資安產品在實際情境中的最佳應用方式，以及如何將這些工具的成果有效整合進紅隊演練中，進一步透過紅隊演練來對這些資安產品進行實證測試（PoC）。這將幫助企業在採購過程中，能夠基於實際效益來做出更明智的選擇。

Active Directory 的安全問題已經討論多年，自從「Pass The Hash」攻擊技術出現至今也已經 18 年，我們真的完全擺脫這些安全問題了嗎？像是 Windows 11 24H2 開始拋棄 NTLM 驗證，但是 Kerberos 就不能被攻擊嗎？而隨著企業架構逐漸轉向混合身份驗證（像是 Entra ID、SAML），這些缺陷問題似乎也逐漸結合在一起變成更大的攻擊範圍。

在這次議程中，我們將會用時間軸回顧過去的 Active Directory 攻擊歷史，及介紹相關技術，並且探討 AD 與雲端 Azure & Entra ID 混合身份驗證中，時代交會時所產生的各式攻擊手法，用較輕鬆與簡單的概念去幫助大家快速了解這些潛在弱點/攻擊面，希望能讓大家更全面的認識這些弱點，進而管理企業中的相關風險。

面對日益複雜且多變的網路威脅，企業組織的內部網路環境往往具有高度的異質性。不同的架構、操作系統、應用程式以及使用模式，讓單一的偵測邏輯難以通用於所有環境。同時，隨著攻擊者持續演進其技術與策略。為此，偵測工程（Detection Engineering） 應運而生，成為近年來藍隊廣泛討論的重要主題。偵測工程的核心目標 是透過系統化的流程與方法論，有效率地設計和實現適用於自身環境的偵測規則。它將攻擊行為抽象化為特徵模式，專注於行為而非工具，使得偵測邏輯不僅具備更高的靈活性，還能適應快速變化的攻擊場景。在本次演講中，我們將深入探討偵測工程的核心概念與實踐流程，並結合實際案例進行演示，說明如何透過系統化的流程設計出能有效辨識這類行為的偵測規則。此外，我們將介紹如何利用像 MITRE ATT&CK 等標準化框架，搭配 Abstraction Map ，將攻擊行為分層解構，精確定位潛在的偵測點。

這場議程將基於 TeamT5 多年提供 MDR (Managed Detection and Response) 代管服務經驗，一同探討威脅狩獵過程中的挑戰與痛點，透過案例分享在真實場域中所遇到的挑戰，以及近期在面對 APT (Advanced Persistent Threat) 攻擊族群的新興手法時，如何利用威脅狩獵來查找到他們的蹤跡。

藉由實際案例，以藍隊的角度為出發點分析企業在同時管理雲地環境容易出現的資安風險，並透過可參考的規範來思考可能的改善方向，並透過 Cyber Defense Matrix 框架來分析在每個環節可採取的措施，並透過實際發生的案例分析對齊前述 CDM 框架提及的措施，藉以協助企業資安管理者以不同面向思考雲地資安治理可發展的面向。

資安人員沒有最忙，只有更忙！

當今數位時代，企業面臨的網路安全威脅日益增多，漏洞管理已成為不可或缺的一環，從傳統的IT維運更新管理到進階，如何整合既有的solution，讓資安整體更提升：

定期掃描與評估：持續進行漏洞掃描和風險評估，確保即時發現和修補潛在威脅。

優先處理關鍵漏洞：根據漏洞的嚴重程度和對業務的影響，制定優先級，集中資源修補高風險漏洞。

自動化工具運用：利用先進的自動化工具，提高漏洞檢測和修補的效率，減少人為錯誤。

透過上述的情境，制定適合各自產業適合的策略，有效管理漏洞，提升整體安全性，保護重要資產免受網路威脅。

我將和會眾分享申請加入FIRST（Forum of Incident Response and Security Teams）的過程和意義。隨著全球資訊安全威脅的日益嚴峻，華碩致力於為全球用戶與合作夥伴提供安全可靠的產品與服務，進一步強化資安韌性，並推動ESG永續發展。

在這個過程中，我將解析如何利用SIM3 v2 interim Self Assessment Tool進行自我評估，全面了解CSIRT/PSIRT的成熟度，並制定改進計劃。也分享我們如何尋找合適的Sponsor進行推薦和實地訪查，確保申請會員資料的完整性。併完整講述如何填寫FIRST Membership Interest Form及New Full Member Team Application，從意願申請到正式提交資料，確保每一個步驟的順利進行。

最後將探討加入FIRST後的世界，包括利用FIRST MISP威脅情資平台、參與Special Interest Groups（SIGs）和FIRST的各種活動，這些資源和機會將極大地提升我們的應對能力和專業成長。希望通過這次分享，能夠幫助大家更好地理解加入FIRST的意義和流程。

在當今數位化迅速發展的時代，高效能計算（High-Performance Computing, HPC）已成為許多領域的核心技術，從科學研究到金融分析，無不依賴其強大的計算能力。然而，隨著技術的進步，安全威脅也日益複雜，這使得對高效能計算環境的安全性進行深入探討顯得尤為重要。本次演講將圍繞 NIST SP 800-223 標準，深入分析高效能計算的安全架構、威脅分析及安全姿態。演講將涵蓋 NIST SP 800-223 的背景及其在高效能計算安全中的重要性，接著探討如何建立健全的安全架構，以防範各類潛在威脅。隨後，我們將深入分析當前 HPC 環境面臨的主要安全威脅，包括內部和外部攻擊的特徵及其影響，並提供有效的應對策略。此外，演講還將強調安全姿態的概念，探討如何評估和提升組織在高效能計算中的安全防護能力。

本議程將說明中華資安國際在 2024 年度的資安事件處理統計結果，並以其中的重大資安事件為例，分析企業面臨的資安挑戰。演講將強調網路邊界防護、內網防護、人員安全教育等防護重點，並討論漏洞管理和供應鏈風險的重要性。

演講核心部分將介紹 SRM 資安監控應變平台融合 SOC、MDR 和 SOAR 的應用，展示如何加快回應速度、強化防護縱深，降低資安風險。通過實際案例和最佳實踐，為企業提供有效應對資安挑戰的建議方案。

電子郵件服務是組織日常運作中的關鍵，但也因此常成為攻擊者的目標，例如透過網路釣魚或電子郵件冒充進行攻擊。雖然已有多種安全機制可用來減輕這些風險，但因其複雜性，這些機制經常被錯誤配置，甚至因為電子郵件服務即使缺少它們仍可運作而遭忽視，導致系統仍然暴露於威脅之中。

本次演講將廣泛探討電子郵件安全機制，分析其預期用途、常見的配置錯誤、實務應用與 RFC 規範之間的落差，以及這些機制的演進方向。我們將聚焦於防止冒充攻擊及提升電子郵件傳輸安全的方法，最後透過分析實際案例，來提供實作上的建議，幫助有效應對這些挑戰。

在不斷升級野外威脅攻防下，高階網軍得採以更隱匿的滲透攻擊取得反彈 Shell、並橫向移動潛伏於企業核心中，其中無文件攻擊（Fileless Attack）策略便是挫敗最為先進的端點防線的主力手法：濫用系統原生服務（如 PowerShell 與 LoLBins）進行組合攻擊，最終完成提權與利用 BYOVD 技巧關閉核心端點防護、植入後門。

為解決上述多層次的原生服務濫用手法，微軟於Windows10中推出了AMSI（Antimalware Scan Interface）部署於系統中多個脆弱的風險架構上，提供了更為細粒度的語義掃描以達協作防控，成為了解決安全產品對於此類早期攻擊威脅的主力防線 … 然而，真的有效嗎？

這場議程我們將從一篇 CrowdStrike 早期威脅研究所擔憂的 AMSI 架構設計面談起。將陪伴聽眾以逆向工程方法拆解入 PowerShell + AMSI 防線架構中 The Good, The Bad and The Ugly —— 探討 PowerShell 架構元件底層交互協作過程，並轉化為多道務實有效的野外利用技巧。在偵測方面，我們將分析在多層次的掛鉤下能否彌補這些繞過手法，幫助藍隊夥伴能對 PowerShell 底層引擎有夠深一層的認識。

本議程將深入探討微軟資安產品的設定與應用，涵蓋 Defender、Intune、Entra ID 等多個平台。我們將詳細說明如何有效地設定和使用這些平台，以保護企業免受常見攻擊的威脅，並提升整體資訊安全防護能力。

我們還將分享過去所遭遇的攻擊案例，說明如何透過微軟產品與其他第三方工具進行防護與調查。例如，企業常面臨偽造高階管理層的釣魚郵件，或利用知名網站的 Open Redirect 進行多層轉址的釣魚攻擊。在這些案例中，我們將分析微軟產品在防禦這些攻擊時的表現，討論其優勢，如高度整合性和強大的威脅偵測能力，同時也坦誠其缺點，例如操作複雜、設定靈活性不足等。

PowerShell is a good tool to administrate your Windows machine and it's good for malicious actors as well. Malicious actors often use PowerShell to launch both local and remote payloads and usually want their code to be executed without detection and obfuscation. In this session, I will discuss how to use the invocation expression to launch the malicious payload and how to obfuscate your invocation.

本議程將探討如何透過紅隊演練有效強化藍隊的防禦能力，打造更具韌性的整體安全體系。紅隊演練不僅是測試防禦機制，更是協助藍隊發掘潛在弱點的關鍵手段。

本次分享將涵蓋紅隊演練的核心流程與技術，包括針對初始存取、權限提升與橫向移動的模擬攻擊方法，並展示實戰中常見的攻擊場景。此外，將探討如何將演練成果融入企業安全文化，透過跨部門協作與資安意識推廣，建立持續優化的防禦體系。

Microsoft Graph API 是一個相當好用的工具，幫助使用者可快速、可重覆、自動的實現工作流程。但 Microsoft Graph API 同時也成了駭客的入侵工具，將在本次議程中說明 Microsoft Graph API 的功能，同時分享這些功能如何在入侵各階段中使用，同時分享駭客常用的 powershell 工具 GraphRunner ，如果幫助駭客進到受害者的 tenant，達成攻擊目標。最後將分享如何偵測與發現 Microsoft Graph API 被惡意利用的行為與如何防止此類的攻擊。