LINE Taiwan Security Meetup – BECKS #5

大家好,我是 LINE Taiwan Technical Writer – Claire Wang。LINE 一直以來不遺餘力地提升資訊安全,除了以 DevSecOps 的概念為基礎,將資安 DNA 注入 LINE 產品與服務,更積極促進整體資安生態圈的成長,透過一系列的 BECKS.IO – Security Meetup 資安社群活動,為韓國、日本、台灣等地的優秀資安人才提供當面交流、建立良好連結的機會! 本次 BECKS.IO 小聚選於台北的 Avenue 舉辦,邀請韓國與台灣的講者們,在輕鬆開放的氛圍中,暢談不同企業與個人的資安思維及實務經驗,並展望相關技術的未來發展。

Head First CVE / Ken Lee

本活動的第一位講者為 Ken Lee,Ken 為現任 Synology 經理,負責管理  Security Bounty Program、Product Security Incident Response Team (PSIRT),以及 Computer Security Incident Response Team (CSIRT),並主導回應企業內部的所有資安問題。

在今晚的講座中,實務經驗豐富的講者帶來極具特色的投影片,以回顧個人與企業資安發展的重要紀事開場。接著,便開始說明 CVE (Common Vulnerabilities and Exposures,通用漏洞揭露) 以及 CNA (CVE Numbering Authority,CVE 編號管理者) 的定義和運作流程,並分享如何撰寫 CVE 敘述,詳盡地介紹 CWE (Common Weakness Enumeration,常見資安弱點列表)、CPE (Common Platform Enumeration) 等資源和其運用方式,甚至列出不同版本的特點。

講者也介紹了 CVE 中針對弱點內容、弱點發生位置,以及如何安排語句敘述,並帶入 2019 年著名的漏洞和數種弱點型態為例,使回報者能快速掌握撰寫技巧,輕鬆而清楚地敘述資安問題。此外,講者也進一步補充 CVE counting rule,包括 counting decision 和 inclusion decision,讓與會者未來在回報 CVE 時能夠更加順利、有效率。深入淺出的說明,幫助與會者快速熟悉相關工具的使用,CVE 回報不再苦手!

Get Start to Old Driver in Windows Kernel / NotSurprised

投影片

第二部分的講座由 Panno Chuang (@NotSurprised),介紹 Windows kernel driver architecture,以及開發和偵錯的流程,並分享去年導致 PoE 的 driver 問題。NotSurprised 是 UCCU Hacker 成員之一,近期研究 Windows filter driver 結構,以及開發相關工具。講者先分享探討此主題的動機,以及 Windows driver 相關背景知識,包括Windows OS driver 類別、 Windows driver model (WDM) 與 Windows Driver Framework (WDF) 框架、可對接的 Model Types,以及 Driver 開發框架種類與演進等,接著深入介紹 Windows OS kernel-mode driver architecture,逐一說明 IRP、WDM、WDF KMDF、WDF UMDF、Filter Driver、Minifilter 等現行驅動開發架構與交互流程。

而在 Driver Compiling 方面,講者於介紹 WDK、Visual Studio 與開發 Driver 的關聯性後,便一步步詳細說明相關設定與安裝步驟。接著則透過 sample code 為與會者具體解釋 driver dev 和 debug 的重要手法與概念,並解說如何善用 Winows driver 與不同內部 Model Types 接口取得的系統資料開發出各種程式,甚至進行操作、修改、置換。進而說明驅動程式的 privilege of escalation 所帶來的影響,介紹過去利用相關驅動程式漏洞的攻擊與相應之 CVE。最後,講者介紹如何有效運用函式參數編寫安全驅動,以此提高攻擊門檻,減少系統可能受到的衝擊。

Machine Learning for Security Monitoring / Shin Jongho

投影片

第三部分的講座,是由 Shin Jongho 介紹 LINE 如何將機器學習 (machine learning) 運用於資安監控。Shin Jongho 為 Graylab 成員,並於 LINE 組織中負責審核產品與內部服務的「安全設計」。記錄數據 (log data) 的監控與分析工作量往往相當吃重,這是由於數據太多,導致相關處理流程變得繁瑣,資料探勘 (data mining) 與機器學習因此在其中扮演著重要角色。目前 LINE 也已將機器學習應用於監控系統活動的記錄資料,講者透過今晚的分享,為與會者介紹進行異常檢測 (anomaly detection) 時所面臨的挑戰、LINE 如何運用機器學習強化異常檢測,以及未來將導入哪些技術,進一步確保用戶資料安全。

講者首先說明在資安領域中,「異常檢測」除了代表找出非正常的現象,也可能包含欺詐偵查 (fraud detection) 或網路型入侵偵測 (network intrusion detection)。而在將機器學習相關技術導入異常檢測與監控至今,團隊也發現主要挑戰在於,機器學習仍不擅於辨識細微的差異,以及資安人員仍在摸索解讀相關數據的最佳方法。接著,介紹 LINE 如何透過機器學習找出重要系統中的異常存取 (anomaly access) 活動,以採取有效的因應措施。講者向與會者說明,在為收集到的資料進行分類、加上標籤後,依據資料屬性套用不同的 model,包括 clustering、HDBSCAN、isolation forest、extended isolation forest、addictive model 等,並觀察其結果以找出最適合的 model,幫助與會者了解如何整合機器學習與異常監控,並對於分析結果擁有初步的概念。

最後,講者也分享團隊未來的目標,是運用深度學習 (deep learning) 提升異常檢測的準確度、持續優化數據解讀的能力,以及發展對抗攻擊 (adversarial attack) 進一步強化資訊安全。同時也提醒與會者,採用多種 model 可讓資安監控系統更加堅實,但整合不同的 model 將成為資安研究人員的一大挑戰,必須審慎思考相關解法,以發揮最大的檢測效益。

活動小結

今晚的聚會邀請到國內外資安專家,不藏私分享資安策略和經驗,幫助與會者在短短數小時內,從不同角度領略實現資安的各種可能。BECKS 是由 Beer 與 Hacks 兩個字所組成,透過本次小聚,我們再度凝聚資安社群,讓資安專家分享最新研究,並讓各領域的資安研究員進行面對面討論,除了幫助更多人了解 LINE 的安全設計,更希望透過交流,讓多元的資安思維得以迸發出精彩的火花!

立即 follow「BECKS」活動訊息,就能收到第一手 Meetup 活動最新消息的推播通知。▼

「BECKS」活動專頁:https://becks.io

關於「LINE 開發社群計畫」

LINE 自 2019 年初在台灣啟動「LINE 開發社群計畫」,長期投入人力與資源在台灣舉辦對內對外、線上線下的開發者社群聚會、徵才日、開發者大會等,全年舉辦 30 場以上的活動。歡迎讀者們能夠持續回來查看最新的狀況。詳情請看 LINE 開發社群計畫活動時程表 (持續更新) https://engineering.linecorp.com/zh-hant/blog/line-taiwan-developer-relations-2019-plan/)

徵才訊息

《LINE 強力徵才中!》與我們一起 Close the Distance 串聯智慧新世界 >> 詳細職缺訊息

Related Post