1081631 呂欣澄
一、例行性作業
1. 預警新聞
習生固定星期一三五都要觀看 IThome 和 TWCERT 資安新聞還有每月一次的Microsoft 安全更新,與網頁攻擊資訊網站 Zone-H,查看是否有國內(.tw)網站遭攻擊,以及檢視其他資安相關新聞與事件。若有重大的資安新聞和安全性更新的話,則要撰寫資安預警與更新通報的郵件給客戶。如果是關於 CVE 安全漏洞的話,就要查詢弱點的相關資訊,包括 CVE 編號、弱點風險值(CVSS)、弱點影響版本和弱點可能造成的攻擊,知道這些資訊之後,就能撰寫資安預警通報給同仁查閱並發信給客戶。
2. P2P 網路釣魚檢測
在每年的報稅期間,公司為了避免民眾連線到假的報稅網站或報稅軟體,因此實習生要負責利用搜尋引擎在 Google Play 和 iTunes 中搜尋關鍵字,並檢查有無惡意 APP,還有在 Foxy 中搜尋關鍵字副檔名尋找洩漏的個人資料。最後統整計算數據填寫回報單給同仁檢閱。
3. SOC 監控日報
監控設備每日皆會回傳前一日的監控資料,再透過excel表單進行統計及整理,最後製成表格及統計圖片給同仁檢閱。
4. 回傳每月技服情資清單
公司每個月會統計當月監測到的威脅IP,並將他們列成清單,由實習生上傳清單至行政院國家資通安全會報技術服務中心(簡稱 技服中心),再通過技服審核後就會把威脅情資分享給其他組織。
二、SOP製作
在實習的過程中會接觸到許多新的事物,將自己的學習過程以及步驟進行整理,製作成SOP,這樣除了能夠加深自己的印象之外,也能讓之後有需要使用這項產品或是功能時能夠更快上手。
三、社交工程郵件
許多公司常常利用社交工程郵件,來測試自己公司員工對於來源不明的郵件有無資安警覺性,利用社交工程誘騙收件者開啟郵件進行非法的攻擊行為,以吸引人的主旨誘騙開啟郵件、偽冒寄件者、誘騙登入帳號密碼、通知重新認證、開啟惡意連結、下載惡意附件檔。社交工程郵件大致上分為 9 個類別,有新聞財經、權益相關、美食旅遊、休閒娛樂、八卦影藝、科技新奇、醫療保健、線上查詢和成人色情。
四、網頁弱點掃描
公司每季每月都會有專案需要執行網站弱點掃瞄作業,此時要先寄信通知各專案的負責人掃描預計執行時間,才可以進行。網站弱點掃描服務的目的,是檢測網頁應用程式在設計過程中造成的安全性漏洞,並提供修補建議。透過黑箱測試的工具,模擬各種駭客的攻擊手法,以非侵入式的方式檢測運作中的網頁伺服器,並根據系統回應判斷是否存在安全性的弱點。有時會協助其部門開發的平台進行網站弱點掃描,並產出報告給 PM 或是客戶。
五、APP 檢測
行動裝置成為國人生活不可或缺的設備,各類行動應用程式(Mobile Application,App)應運而生,惟部分程式開發缺乏資安意識,恐造成使用者資料外洩或財務損失之風險。因此我負責的工作就是根據行動應用 App 基本資安檢測基準(Mobile Application Security Alliance)來對客戶的 APP 進行檢測
六、安裝監控設備
公司的監控服務是藉由EC來蒐集客戶的資訊來進行監控與分析,我的工作室負責設定EC(Event Collector)設備,並跟隨工程師到客戶端進行安裝設定。
實習期間完成之進度
一、資安預警新聞
1.蒐集資料: 觀看每天的 IThome 和 TECERT 資安新聞還有 Microsoft 安全更新,與網頁攻擊資訊網站 Zone-H,查看是否有國內網站遭攻擊,以及檢視其他資安相關網站。
2.新聞發布: 檢視相關網站,若有需關注的資安新聞或重大更新,則撰寫資安預警及更新通報,並經由同仁檢查後寄信給客戶
3.弱點資訊更新 檢視弱點更新網站並判斷漏洞編號(CVE)、品牌是否影響客戶以及公司本身得營運,若屬上述範圍則近一步查詢該漏洞影響範圍、風險等級、漏洞所造成的危害。並彙整在excel 並由同仁檢查後發出弱點更新通報。
二、交付 SOC 資安監控報告
每月都會交付初版 SOC 報告給各 PM,並且排定月、季、年報時程製作時間,確保報告,不會遲交給客戶,雖然只是簡單的文書處理,但需要細心,確保數據有無錯誤,也是訓練我們的文書能力,現在部門已經慢慢執行月報產製自動化,未來就不需要那麼多文書處理工作。
三、社交工程郵件
以下是我製作的第一封釣魚郵件,雖然看起來花樣並不是很多,但是我在這封email 中夾了一張完全空白的圖片,圖片後藏有程式碼,可以判斷有誰做了點擊的動作,而下面的超連結部分也已經被替換過,會導向另一個假的空白網站。每個月,公司都會不定期的進行釣魚郵件警覺性測試,會從我們製作的郵件中挑選。
郵件畫面
部分程式碼
四、網頁弱點掃描
公司目前使用 HCL AppScan Standard,以黑箱方式進行測試,對系統/網站各種功能進行安全性測試。
網站弱掃執行前須先發信告知 PM 跟營運、資安部門
最後掃描完成後要執行人工驗證才能將安全報告產出,示範其中一項使用 SSLLab,驗證TLS 協定是否有使用 1.2 以上,查看是否誤判弱點。
五、安裝監控設備
因為要在客戶端安裝公司的監控設備EC(Event Controller),用來收集log,再到客戶端前需要事先向公司依照客戶給的資料申請防火牆開通,才能讓資料正常傳輸,除此之外還要協助重灌EC內的軟體及設定客戶的資訊。
工作當中扮演的角色
在工作中扮演的角色是實習生,在這裡,實習生不只是實習生,要能夠跟上公司工作的步調,雖然工作內容大多都是文書處理、主管交辦事物、資安問題分析,同事們都很專注在公事的討論,同時遇到甚麼不會的問題,大家都很樂意幫你解決,在團隊中會盡責把份內工作如期完成,如有其他需要幫忙的工作我也會主動詢問,讓自己在實習的期間能夠多學一些東西。
學習
一、 非技術面向
在與人溝通的方面,完成主管交辦事項的完整性以及做事的效率,在實習的這段期間都能好好的培養,雖然現在主要是以文書處理的工作居多,但也因此可以讓自己有細心處理事情的態度儘量不要犯相通的錯誤,做好報告品質管控,學會自己獨立解決問題。
在暑期實習的期間,主管讓我們跟著工程師一起前往客戶端出差,在過程中讓我體會到我在專業知識上的不足,所以有開始花時間在補充專業知識上,努力精進自己。
二、技術面向
建置 VMware,執行檢測,Excel 更多函數、圖表、巨集運用,MS 軟體應用(Outlook, word, ppt),App 逆向工程操作,以後應該會有弱掃的專案是以學習,同時將更深入了解各個工具的功能作用,未來有機會的話,希望可以做到滲透測試,讓自己在實習階段不白費。
暑假期間執行了許多網掃的專案,雖然一開始不太熟練,但在查完相關的資料及詢問完正職之後有做得越來越得心應手了,在每次做掃描時也會做筆記加強自己的記憶。每周也有一次的學習工作坊,我們會分享每周在監控平台上看到的漏洞,像是CVE弱點等等,在自己消化了解後製作成PPT和大家分享,我自己會加上該漏洞的復現,在分享的時候主管或其他工程師也會補充許多相關的知識,在每次工作訪結束後總是覺得收穫滿滿。
自我評估及心得感想
雖然不是第一次在公司實習,但剛進入關貿的時候還是蠻緊張的,在這之前也完全沒有來過南港,一切都不熟悉。在這幾個月的實習中,我學習到的東西除了資安相關的知識之外,也學習到該如何與人溝通,能夠將自己的想法清楚的讓對方明白,雖然我的工作內容大部分都是與文書處理相關,但,就算是複製貼上這個簡單的動作其中都包含了許多的細節。要能夠有細心以及耐心地完成資料,還要對品質有控管,不管是為自己、公司、還是客戶都要負責。關貿也很重視”回報”這項工作,每天在下班的時候都需要填寫當日的工時回報,一共是8小時,實習生除了在公司系統上回報當日工時之外,每天上班也要在 Line 群組回報回報今日預計的工作項目以及要在下班時回報那些工作的完成度,讓主管了解你的進度跟工作的安排,自動自發去完成進度,做好時間規劃,如沒辦法預期時間內完成,也須跟負責人提前告知,想辦法搬救兵。文書處理的部份,大三時的管理科學這門課程在運用 Excel 方面給了我很大的幫助,一些函數公式能快速上手,解決資料整理問題,真的很實用,至於word的部分,在實習的時候學習到更多新的實用功能。資安專業方面我不敢說我很厲害,但循序漸進,目前是透過分析監控設備回傳的警報資訊來學習,有不懂的地方也可以詢問同事,大家都會很認真地幫我解答,除此之外,公司也有提供讓我們學習滲透測試的環境,未來主管可能會開始交代網站弱點這項任務,目前也有學習到 APP 逆向工程,還有一些檢測工具的使用,但在細心程度,我覺得我還有進步空間,很多時候一個小細節,就會造成很大的麻煩跟浪費時間,這是我還需要多多注意的地方,在關貿上班的每一天我都盡力找事情做,不想錯過任何學習的機會。
在暑期的實習中,因為待在公司的時間變長了,感覺自己有學習到更多新的東西,最重要的是我學習到了有很多東西如果不自己主動提出來是不會有機會的,多看多問多學,要有積極的態度才能讓自己持續進步。很感謝主管安排讓我們能跟著一起出差,讓我們能看多許多在辦公室中看不到的,像是到場協助客戶進行資安演練,在演練過程中客戶也會提出許多疑問,如何做出有專業性的回答是我該多多加強的地方。除此之外,比起以前,有做了更多檢測類型的工作,不論是APP檢測或是網掃作業,學會了許多不同工具的使用,也會和其他實習生一起討論,找找看有沒有其他更好的方始去找出或是驗證弱點。
對系上的建議
系上可以再開多一點選修課程:
不然其實很常遇到抽籤抽不到,老師因人數過多或場地因素不給加簽的問題,但是選修其實是很重要的課程,因為你可以選擇自己有興趣的內容去增加自己的相關知識,並且可以摸索自己有興趣的區域在哪裡。
系上實習的經驗分享應該要從大一開始:
因為我認為大多數的同學都跟我一樣對於實習、專題沒有什麼概念,也不清楚自己的方向,不清楚將來在實習的時候會用到那些軟體,只能在大一大二問學長姐,有些同學若沒有認到直屬,更加不知從何開始。所以希望在大一、二就可以開始提供一些學長姊在系上的分享會,讓大家了解現在到底要準備些什麼東西才能對未來有幫助,也幫助新生了解未來的方向。
Comments