高科技制造业组队参加HITCON Defense企业资安攻防赛夺冠

网络攻防比赛除了常见的抢旗攻防赛（CTF）外，台湾骇客协会今年也于11月13日，再度举办以企业资安攻防为主的HITCON Defense竞赛，由于企业面临各种资安风险，模拟骇客攻击的红队，则会针对参赛的六个企业蓝队发动各种攻击，借此测试各个蓝队的防御能力。

今年是第二届举办HITCON Defense比赛，邀请的六个企业参赛队伍囊括金融业、-、高科技制造业、电信业和服务业等，在经历一天的比赛后，由高科技制造业的S.H.I.E.L.D. 获得冠军，第二名则是-单位的615，第三名则是由服务业的Hyper_Defensive获得；为了鼓励企业应该重视情资交换的重要性，第二名的615团队也额外获得情资分享特别奖；另外也有金融业组成的暗鹰，获得金融防御奖。

不过，比赛举办当天上午则发生台电变电所故障的意外，二分钟的停电也造成主办方在重新启动系统后，必须重复确认资料有没有损失，也是血淋淋的企业真实写照。未来主办方也会考虑将UPS不断电系统，列为各队参赛的基本设备之一。

提供近二亿元的资安设备，作为红蓝队攻防之用

负责模拟红队攻击的是由博格企业资安读书会负责出题，这也是他们第二年负责出题，从树莓派模拟的工控系统，到常见的DDoS（分散式阻断式攻击）、网络恶意程式、XSS或是SQL Injection等各种风险都包含在内。

因为是模拟企业遭到攻击的状态，现场也提供每一个参赛的企业蓝队各种防范的资安设备，从防范DDoS攻击的流量清洗设备、防范第七层应用程序攻击的WAF，到企业必备的SSL VPN等设备，加上顶规的路由器和机柜等，每一个参赛的蓝队加上攻击的红队，各种网络和资安设备市值将近二亿元，比去年设备价值超过一亿元更高。

加上，今年更委由TWNIC居中协调，提供10个公开的AS号码（Autonomous System Number）直接对外接上网络，等于是10个Class C的网段，让所有参赛的蓝队直接在真实的网络环境“模拟遭到攻击”的情况，不像去年是在内网受到攻击的形式，也让今年HITCON Defense的企业攻防大赛更真实。

参考MITRE的ATT&CK资安框架，采用其中六个阶段出题

台湾骇客协会理事长徐千洋表示，今年比赛现场虽然洋溢着度假风，但企业资安人员即便在度假，当接到企业遭到攻击的消息时，往往都只能立刻拿起手机、打开电脑、接上网络，开始搜集企业遭到攻击的讯息，并思考应该如何因应。因此，企业资安人员面对骇客攻击时的攻防，是没有停止的一天。

博格企业资安读书会创办人Titan Lee表示，这次红队模拟的攻击手法，更首度采用MITRE推出的ATT&CK资安框架（Matrix）作为红队攻击手法的比对依据，也让蓝队更容易理解红队的攻击手法进而采取更有效的防护策略。

目前ATT&CK资安框架号称是剖析骇客入侵技术的百科全书，在ATT＆CK Enterprise中，将骇客在入侵骇客使用的战略，画分成12个阶段：包括入侵初期（Initial Access）、执行（Execution）、持续潜伏（Persistence）、权限提升（Privilege Escalation）、防御逃脱（Defense Evasion）、凭证存取（Credential Access）、发现（Discovery）、横向移动（Lateral Movement）、收集（Collection）、命令与控制（Command and Control）、渗出（Exfiltration）与冲击（Impact）。

Titan Lee则进一步指出，这次红队采用的攻击手法，有简化ATT&CK资安框架的12个阶段，出题面向只包括：入侵初期（Initial Access）、执行（Execution）、持续潜伏（Persistence）、权限提升（Privilege Escalation）、命令与控制（Command and Control）以及冲击（Impact）等6个阶段，而每一种攻击手法在在都考验参赛企业蓝队的临场反应能力和团队应变能力。

好的参赛队伍要囊括IT、系统和资安成员分工合作

这次参加的企业蓝队都是邀请制，去年曾经参加过的队伍今年则不重复邀请。许多参赛者表示，“参加一天比赛比上班还累，”一个很重要的关键点在于，许多参赛者花了很多时间去熟悉大会提供的资安设备操作与使用，也有某一队参赛队伍成员表示，一般企业遭到入侵时，通常会先挡掉攻击来源，但因为大会规则不允许挡掉攻击来源，也得一边摸索如何因应。

不过，此次夺冠的高科技制造业参赛队伍S.H.I.E.L.D. 则说，此次参赛的成员大部分都是SOC团队的成员，因为公司组织较大、职掌与角色区分的比较细，有很多设备在该公司是属于IT或是维运团队负责，因此，对于此次参赛的成员而言，必须要多花一点时间去研究准备。

但参赛成员也说，这样的经验对于他们未来在面对资安事件的发生时，也提供他们知道如何跨部门沟通合作。其他有参赛团队已经事先分工，包括系统、IT以及资安部门成员，每个成员在比赛现场可以依据各自专业互补合作，也都有助于未来回到企业内部的合作。

虽然，这次比赛所提供的资安设备，不见得参赛企业蓝队都有使用过的经验，但参赛队伍成员则说，这次操作这些设备阻挡攻击的经验，即便企业内部不见得有同样的设备可以使用，但学会操作设备背后的逻辑，对他们是不错的学习经验。

红队认为：资安盘点和情资交换是蓝队赢的关键

经济部工业局局长吕正华表示，在资安即国安的政策发展方针下，总统府日前也招开“资安2.0策略会议”，如何提升台湾资安防护能力是重点。国家通讯传播委员会委员孙雅丽指出，5G是接下来国家大力发展的网络架构，5G资安就是重中之重的关键议题，也会有资安专章规范5G资安。金管会资讯处处长蔡福隆则说，之前台美大规模网络攻防演练（CODE）也锁定金融产业作为演练对象，加上主管机关从去年起也从内控角度要求金融单位强化资安，不排除未来锁定金融业，举办类似的、闭门的企业攻防比赛，以提高金融业的资安应变能力。

获得第三名的Hyper_Defensive成员表示，比赛要了解网络拓朴，各种应用程序AP和网络调整，有赖团队协作才能达成目标；第二名615参赛成员则说，红队DDoS攻击威力强大，深刻体会到“水管”不够粗的痛苦；第一名S.H.I.E.L.D. 参赛成员则说，因为去年有实体攻击，有人到设备插恶意USB，今年还特别先围封锁线，带胶带把USB插头先封著，以避免类似的实体攻击出现。

Titan Lee也从红队攻击角度分享他的观察，首先，各队似乎不擅长Web Shell的处理，所以红队持续透过Web Shell打下各队的服务；再者，各队在资安盘点上，相较去年的参赛队伍，都盘点的不够落实，尤其像是离职员工的账号应该是第一时间就该盘点出来，却有许多蓝队忽略这一点，也成为红队攻击很好里用的工具。他建议，不论是比赛或是企业资安实务，IT盘点务必落实。

第三点，Titan Lee说，今年各队对于资安情资的交换和购买都不积极，有可能是因为分数不够多，以至于无法购买情资，但不论从比赛或是资安实务而言，好的资安情资是有助于蓝队落实资安防护，像某队有购买情资时，整个比赛分数就有直接提升。他认为，相较于去年参赛队伍积极交换购买情资，或许是一个值得参赛的企业蓝队深思之处。

全部由SOC成员组队参赛的高科技制造业的S.H.I.E.L.D.经历一天的比赛后，最后获得冠军，

 

第二名的615来自-部门，也同时获得情资分享特别奖。

 

来自服务业的Hyper_Defensive，在成员妥善分工下，最终获得第三名。

 

不管参赛的企业蓝队或是攻击红队，都有一个机柜的资安设备，全部加总的价值将近二亿元。

 

HITCON Defense美一个参赛蓝队的IT架构。