駭客成功潛入內網後，利用網路設備作為跳板進一步操控交換器，最終掌握核心網路設備，實現內網滲透與擴散。本演講將剖析這類攻擊的過程與技術細節，並探討如何防止網路設備成為攻擊者的工具。

Active Directory 的安全問題已經討論多年，自從「Pass The Hash」攻擊技術出現至今也已經 18 年，我們真的完全擺脫這些安全問題了嗎？像是 Windows 11 24H2 開始拋棄 NTLM 驗證，但是 Kerberos 就不能被攻擊嗎？而隨著企業架構逐漸轉向混合身份驗證（像是 Entra ID、SAML），這些缺陷問題似乎也逐漸結合在一起變成更大的攻擊範圍。

在這次議程中，我們將會用時間軸回顧過去的 Active Directory 攻擊歷史，及介紹相關技術，並且探討 AD 與雲端 Azure & Entra ID 混合身份驗證中，時代交會時所產生的各式攻擊手法，用較輕鬆與簡單的概念去幫助大家快速了解這些潛在弱點/攻擊面，希望能讓大家更全面的認識這些弱點，進而管理企業中的相關風險。

近年來，大規模語言模型(LLM)技術快速發展，為企業帶來從客戶服務到決策支援等多元創新機會。然而，若缺乏完善的安全策略，可能導致資料外洩、模型被篡改等風險，甚至面臨合規問題與商譽損失。因此，需要建立系統化的防禦機制。

「LEARN」框架提供了全方位的安全管理方法：

Layer(分層)階段著重於明確劃分系統邊界，讓團隊能有效掌握各個環節的風險，並配置相應的控管措施。

Evaluate(評估)階段則根據現有流程與資料敏感度，評估可能的營運衝擊，同時考量法規要求，找出需優先強化的區域。及早建立跨部門溝通機制，可在問題擴大前及時處理。

Act(行動)階段將規劃轉化為具體措施，包括更新安全配置、優化工作流程等。由於LLM應用常涉及外部使用者與第三方整合，需確保防護措施能自動化運行，並具備異常警示功能。

Reinforce(強化)階段透過持續性監控與定期測試，驗證安全機制的有效性。這包括收集系統使用記錄，進行模擬攻擊等，確保防禦功能正常運作。

Nurture(培養)階段則著重於安全文化的建立，確保從基層到決策層都具備風險意識。當外部環境變化時，組織能迅速調整內部規範，並將新標準落實到日常操作中。

透過「LEARN」，組織能在追求 LLM 創新的同時做好風險管理，在競爭市場中既能把握機會，又能確保營運穩定。隨著技術持續演進，這個框架也提供了靈活調整的空間，幫助企業在變革中不斷提升防禦能力。

正如同 VirusTotal 於 2021 年所報告每 15 億個樣本中約有 90% 是重複的且具有高度混淆、這迫使本是稀缺的專家人力在企業組織下實務調查分析中費時而雪上加霜，難以在有限時間專注於更隱匿且細膩的外部攻擊風險。隨著大型語言模型推進了 AI/ML 各項頂級資安解決方案的防護，在這一波 AI 演算法革命的浪潮中能否以先進的 Transformer 對於抽象符號理解能力建模人類專家推理的過程成為了新的一道曙光。

為扭轉這項來自外部攻擊的非對稱局勢，我們首度提出了一種新穎的 LLM 神經網路符號化執行引擎 CuIDA（Cuda-trained Interactive Decompile Agent）其借鏡了 Google 發表的模型 Attention Is All You Need 並專注仿生人類逆向專家推理的流程成為了可能 —— 透過未知函數之參數污點傳播來大規模從黑盒程序中學習 Windows APIs 的上下文語境理解、並有效捕捉開發者對於 Win32 API 的使用習慣，並成功攻克現代端點防護最具挑戰的三大困境 (a.) 非擬態 Shellcode 自動推理模型 (b.) 純靜態掃描的混淆指針推理器 與 (c.) 無需脫殼下的商業殼所保護行為之破譯。

我們也同時實戰這項新穎的模型在大規模田野樣本自動化推理中展現的實戰能力，並發現許多令人訝異偵測防護當前困境，例如在高達 3000+ 樣本的自動化調查中發現多數頂級資安解決方案遺漏了近 67% 樣本而未起疑竇、由於這些威脅濫用了 MSIL + x86 的混合交互執行特性；亦有多數樣本採用 Shellcode 作為混淆手段進行免殺、而我們的模型能單純以非擬態堆疊參數資訊進行有效推理並預測可能的風險行為組合。而在議程尾聲，我們也探索了商業加殼中最先進的混淆技術是否能被此模型的 AI 建模語義上下文理解所突破 —— 我們將開源並 Demo 使用此模型有效的仿生推理並取證調查 VMProtect 與 Themida 所保護的混淆程式碼之原始行為內容、展現了 LLM 對於逆向分析推理的經驗採樣與人類分析策略建模的可能性。

根據 USENIX 2022 牛津大學「99% False Positives」研究指出，企業網管每日收到十萬條來自端點防護產品的警訊，其中高達 99% 為誤報。人員疲於篩選無用警告，導致真正的 1% 威脅被忽略，錯失黃金補救時間，使駭客滲透更加容易。研究進一步發現，這一困境源於端點偵測警訊與網管人員推論邏輯的斷層，尤其是不同偵測引擎對同一樣本以單一分類方法得出不一致結論，迫使人員耗費大量時間研究與確認威脅。儘管攻擊趨勢持續增長且變種日益複雜，最終攻擊目的往往集中於後門監控、勒索攻擊或蠕蟲感染等常規行為。但目前分析方法耗費大量人力，效率低下。

 有別於市面上諸多的白箱模型。這場議程我們提出首個基於純黑盒態逆向工程代理（LLM Agents）的仿生人類專家，基於程式碼分析與推論邏輯並落地於安全偵測防護上。此模型基於開源 LLaMA 3.1-8B 模型並透過 Chain-of-Thought（CoT）並透過符號執行引擎萃取陌生樣本潛在高風險行為、並由其執行流程圖上行為所具有行為鏈（Chain-of-Capability）進行 LLM 逆向推論明確的偵測結果。在議程尾聲也將展示此模型能如同真實逆向專家版聊天機器人，明確告知分析報告與惡意判定依據的明確函數指針地址、行為，使人員能在不用手工使用 IDA / Ghidra 工具前提下完成全自動化逆向工程。

這一創新大幅提升惡意程式分析效率，減少人力投入，為次世代安全偵測提供全新解決方案。

紅到發紫 ：紅隊整合 CTEM、BAS 與 MITRE ATT&CK 框架的實戰經驗分享

在這次的演講中，我將與大家分享多年來在紅隊演練中累積的實戰經驗，特別聚焦於近兩年在持續威脅暴露管理（CTEM）和 Breach and Attack Simulation（BAS）方面的心得。隨著網路攻擊手法日益多樣化，企業所面臨的威脅也越來越複雜。為了有效應對這些挑戰，我們需要一個系統化的方法來識別、管理並減少企業的暴露面。

演講將深入探討如何結合 MITRE ATT&CK 框架，打造全面的紅隊演練策略。MITRE ATT&CK 提供了詳細的攻擊技術矩陣，讓我們能更精確地模擬真實世界的攻擊手法，找出防禦系統的薄弱環節。透過將 CTEM 與 BAS 整合進這個框架，我們可以系統性地分析攻擊者的行為模式，提升攻擊模擬的真實性和有效性。

此外，我將分享生成式人工智慧（GenAI）在紅隊演練中的新應用。隨著 GenAI 技術的迅速發展，攻擊者的手法變得更加智能化，這對我們模擬威脅和繞過防禦系統提出了新的挑戰。我會展示如何利用GenAI技術，提升攻擊模擬的深度和廣度，協助企業提前因應未來可能出現的新型態威脅。

演講中也會分享實際案例，展示 CTEM、BAS 和 MITRE ATT&CK 如何在實務中結合應用，以及在演練過程中遇到的挑戰和解決方案。這些案例將涵蓋威脅發現的流程、自動化技術的應用，以及如何優化防禦策略，提供具體可行的建議。

透過這次的分享，期望讓聽眾快速理解紅隊演練在現代風險管理中的關鍵角色，並獲得實用的策略與建議，提升企業的安全韌性。無論您是資安專業人士，還是對紅隊演練有興趣的朋友，都能從中獲得啟發，為企業建立更堅實的防禦基礎。

本次議程將以中立角度，從甲方與乙方的觀點出發，與會眾共同探討使用雲服務時的管理與技術風險考量。議程以企業管理資源有限為前提，針對希望入門雲端安全的資安從業者，深入探討在實務操作中面臨的各種挑戰與經驗。我們將介紹常見的雲端技術實務問題及應對方法，並透過實際案例分析不同情境的使用風險。主題涵蓋分散與集中式雲端管理經驗、身份與存取管理安全、虛擬網路架構、工作負載（Workload）安全、相關資安框架以及雲端儲存服務等等的設定錯誤、資源現況考量與實務經驗等，提供一些架構設計、合規與技術解決方案的想法。

生成式 AI 技術快速發展，隨之而來的是全新的安全合規挑戰。本次分享將從案例說明為何僅依靠模型供應商無法完全排除相關風險，並介紹最新的開放 AI 模型保護技術，例如 Llama Guard 的實務經驗。

此外，本次還將分享生成式 AI 落地的安全與合規架構，包含設計考量、實作細節與導入案例。聽眾將了解如何在系統設計階段納入生成式 AI 的防護措施，並掌握應對合規風險的經驗。

無論您是技術決策者、資安專家或軟體架構師，都將在本次分享中獲得啟發如何在生成式 AI 普及的浪潮中，建立安全可靠的技術基礎。