實習工作&心得

1081735 張兆智

目前實習主要協助的是資安監控相關的工作內容，每日的日常作業有進行的作業為SOC 的監控報告結果產出報告作業，而公司的SOC 監控作業包含了許多和我們生活中息息相關的事;如 Etax(電子報稅平台)、口罩實名制、疫苗預約平台、五倍券...等等。

相關作業的主機放置在6樓的機房區域，最近因為公司有新加的實驗室內容所以有幸第一次接觸到機房內的拆卸和組裝作業。

1. Qradar(IBM)

IBM Qradar 是一套整合日誌管理、 SIEM、網路異常行為分析、風險管理、及安全事件管理等功能的資安智能解決方案。藉由收集、保存、關聯比對與分析各類日誌事件及網路數據流，提供最關鍵的整合性安全資訊，協助企業保護重要IT資產和相關安全法規遵循。

在我實習的過程當中主要是每個月觀察網路的數據流，觀察來源與國家和是否有異常或刻意的攻擊行為，還有計算月平均流量產出月報。

2. eTax

在電子報稅期間還會需要進行每日的IPS WAF 流量的監控作業，並觀察是否有短時間流量有超過可疑數值的狀況，並根據狀況將惡意的IP 位置進行黑單的作業，還有向客戶回報觀察的報告與處理狀況和建議。需要先了解攻擊的手法並將其理解後整理出文件，因為很多資料需要先透過英文學習，讓我在初步的時候接觸到了許多的新知。

3. MOB SF

MOB SF 是用於App 檢測的軟體，MobSF (Mobile Security Framework) 是一款基於 Python 開發的 App 自動化測試框架，可以在 Windows、macOS、Linux 跨平台運作使用。MOB SF 可以將需要進行檢測的APP 導入，並產出進行資安相關分析的弱點和滲透報告。以下是MOB SF能產出的報告內容:

• 全Web 化介面操作

• 支援APK(Android)、IPA(iOS)App 靜態分析

• 支援APK(Android)動態分析

• 檢測程式簽章

• 分析權限索取

• 檢測潛在問題

• 惡意行為分析

• 網路連線行為紀錄

• 找尋使用加密演算法

• 提供修補建議

MOB SF能夠滿足許多企業有APP 檢測相關的報告需求，並能夠提供足夠的數據與檢測內容。

且是在GitHub 上有提供，作者有在根據各項最新的APP 程式碼漏洞，與各平台上出現的弱點進行更新，在檢測方面所提供的完整度是相當高的。

4. APP檢測報告

做過的檢測APP 主要分為L1~L3,三者分類上主要是在需要使用者的資料有包含甚麼類型來決定，在大多數的狀況下L3、L2的檢測項目都會包含到前面的檢測項目都需要做。

5. SOC 監控服務

公司提供SOC 監控服務會將事件搜集器與流量監控的收集器在保護和監控客戶的資訊安全，蒐集到的事件透過事件通報至平台並會將事件比對資料庫確認事件的的嚴重性，發信通知給客戶，目前在公司接觸到相關的主要是月報會是SOC 監控的事件報告將其整理成報告資料，還有安裝事件收集器的主機安裝系統。

● 防禦平台

● Lasline事件判斷

● 使用SQL進行事件搜尋計算

● 各專案事件比率報告

● 各個客戶SOC 月報季報製作

6. Lastline

Lastline 是公司的防禦課監控組與銀行進行資安監控開始新導入建置的資安平台，目前作為實習生我主要學習的使用介面和Sensor 觀察各種攻擊方式平台除了以CVSS(通用漏洞評分系統)評分 ，除了有各種攻擊手法外，該平台還會能夠彙整並圖表化資訊。在攻擊手法上還能彙整出攻擊手段、MITRE ATT&CK 的攻擊步驟、根據攻擊方式推測出攻擊的駭客組織。

在透過平台的整理出的攻擊中，過程能夠看到各式各樣的攻擊手法，並且能看到一些駭客組織慣用的攻擊手法。主管也有在開會的過程中讓我們同樣是監控組的實習生，觀察平台內的攻擊或活動，自行學到的內容分享，過程中自行觀察各式各樣的的攻擊手法，發現不少駭客或盲目地進行一些弱點的攻擊，在沒有足夠的目標訊息時很容易發現到這樣的狀況。

7. Pentestlab

Pentestlab 是一個網頁平台主要用於學習網路滲透，公司有提供可以用於學習的帳號，讓我可以在每日作業的空餘時間在平台上學習，我在平台上主要學習Linux/Unix 作業系統的指令語法平台內部有提供教材影片可以學習如何使用各種指令，每個章節也都會有題目需要完成讓我在看完教材後能夠實際活用和了解Linux/Unix 的操作指令。

8. 資安攻防演練(網頁置換)

主管因為公務報告的出差，帶上我們到客戶方體驗一次資安攻防演練，該次是主管會將演練流程報告給客戶長官，說明完後演練開始會將客戶方的網頁做置換，之後客戶方會將網頁切換為維修頁面，事件發生後通知到公司的執機人員並負責發出給客戶長官通報與電話通知。一切流程都有計時和時間限制確認SOP都有辦法在事件當下正常做到並能夠處理回應。該次的出差體驗是我第一次看到公司和客戶進行演練的過程，還有了解業界怎麼進行演練，而且在演練結束後客戶還會對公司進行提問，了解該如何預防或是會如何處理資安問題狀況，尋求公司方提供建議。

這次實習的在關貿網路公司的資安部門實習，因為是我第一次參與企業的資安相關工作，而資安的相關經歷僅只有在系上的選修課，學到其相關的基礎資安攻擊概念，對於企業如何做好資訊安全這塊是沒有相關的經驗的，在實習的過程當中的每日作業與使用的平台;像Qradar 的所產出的客戶報告讓我認識到企業中容易面對到的資安攻擊類型，還有防禦方怎麼協助客戶進行安全監控的處理，這些在各個客戶的月報中都能看到攻擊的發生時間、主機IP、被攻擊到的主機、攻擊事件發生說明，最後是處理的結果，主管也有讓我們參與除了報告製作上的業務，像是將發生的事件進行判讀，針對客戶主機發生的Log 或根據攻擊的編號了解該攻擊的弱點如何成功，還有根據主機Port 是否有連線的重要的資料來判斷，透過這些條件去了解該案件產生的原因;像是可能是主機誤判，或是當天客戶有進行重要作業導致觸發，若發現確實是攻擊行為則需要進行通報作業，這些流程在透過每日的例行作業與報告當中，讓我對工作和部門內部的作業都有更充分的了解與收穫。

另外除了防禦監控的項目外，還有其他的部門服務的作業，像是App 檢測，在製作檢測報告時根據不同的手機程式對於客戶的資料需求，報告的規格都有所差異，而且在學習檢測時需要使用到各式工具蒐集封包和程式內對客戶資料的安全處理與漏洞測時，讓我收穫了不少，有別於像是學校當中學到的，檢測App 需要用到各種工具和自行在網路上進行搜索排除各種狀況，製作報告的過程要應變的各種狀況讓我收穫不少的經驗。

還有像是ISO 20000和ISO 27001 等企業的資安標準規範是如何在企業的中怎麼實際去達到完成這些資安標準，因為作為實習生目前仍然在學習階段，透過平台的資料觀察，在平台內部能夠了解學習到許多資安攻擊相關手法，從實務上直接認識企業或金融機構可能會出現的資安攻擊的實際情況，對CVE 還有 MITRE&ATT 的認識從過去在課程上概念上的了解，透過更加實際的狀況與案例，對部門作業的不熟悉的地方還有很多能進步的空間。

在我個人的評估上，在實習的過程中認識了不少資安在企業上需要每日提供的相關作業，雖然這些作業都是書面文書相關處理，但在觀看這些報表彙整的結果的時候，這些數據往往都是判斷的相關重要依據，希望個人能夠在判讀上有更多的了解和進步，在後續的實習過程中，透過日常的作業與平台上各種資料的觀察上精進希望能夠學習還有進步空間還有很多，對於之後的實習工作會保持學習態度和在資料觀察上自己進行資料相關查詢和學習上精進自己。

個人對於系上實習相關的感受是，能夠在實習合作的企業廠商上更加的開放，可以了話能夠讓學生更找地尋找能夠合作實習的公司，在大二甚至大一有明確走向企業實習的同學能夠更找的明確有自己想要尋找的工作實習內容，該措施或許會有過於開放學校無法審查企業的實習內容是否有辦法完成專題的疑慮，但能夠透過事前由自行找尋實習公司企業的學生提出申請，讓學生主動尋找並在實習的經驗中不僅能夠完成實習專題的研究，倘若實習與專題研究結果出色且企業願意往後繼續與校方進行產學合作往來，還能為系上校方能夠提供更多的產學合作，擴大更多的實習機會，這些是我基於個人在入學階段就已有校外實習的動機與目標所提供的實習建議，還有因為在大三才開始所以覺得能夠讓學生在大一大二期間，對於專題能夠更有自己的想法，若是想要有興趣接觸比較企業實務相關的經驗，能夠在大三之前就提前向校方申請並提供實習企業的資訊，讓校方能夠了解並決定是否採納作為系上實習專題合作的公司企業，我覺得此舉能夠在受益的不光是本系，其他資訊系的同學也能有更多企業方向和資訊應用的類型能夠實習考慮到資訊產本身就是在創新與進步，固定的企業合作能帶來穩定的口碑，但擴展更多的類別我認為是相當有意義的，資訊科技的發展持續推成初新，未來會有更多資訊服務與透過資訊科技的新商機，能否擴展增加實習的企業類型我認為是有相關的需求的，也能讓有能力的同學能夠自行爭取更好的實習機會。