KeyFrame
提交影片
Web2 安全

Day 15: The OWASP Top 10 (2025) & Web App Security | 28-Day Masterclass

Grow Interns·6月19日週五·4 min英文

三句話摘要

以 NIST 零信任架構管理無法安裝代理程式的 IoT 裝置,填補企業網路安全的隱形盲點。 IoT 裝置因無法安裝代理程式而成為企業網路最危險的盲點,唯有透過 VLAN 隔離搭配持續流量監控的零信任架構,才能在 27 秒的攻擊窗口內有效阻斷威脅橫向擴散。 IoT 裝置是傳統安全防線的死角:即使伺服器和電腦受到完善保護,一台未受管理的智慧電池或攝影機仍可成為攻擊者直接進入內網的通道,因為這類裝置通常不在傳統安全團隊的可見範圍內。

重點整理

重點
  • 1

    IoT 裝置是傳統安全防線的死角:即使伺服器和電腦受到完善保護,一台未受管理的智慧電池或攝影機仍可成為攻擊者直接進入內網的通道,因為這類裝置通常不在傳統安全團隊的可見範圍內。

  • 2

    NIST ID.AM 要求每台連網裝置都必須納入資產管理:無論裝置多小,都應定義擁有者、硬體類型、版本與資料分類標準,唯有如此才能為每台裝置套用對應的安全控制措施。

  • 3

    Agentless 架構是 IoT 安全的唯一可行解:由於大多數 IoT 裝置資源受限,無法安裝防毒或端點偵測工具,因此必須改從「保護網路」而非「保護裝置本身」的角度出發,以零信任原則建立外圍防禦。

  • 4

    VLAN 隔離 + 網路流量分析是核心技術手段:透過將 IoT 裝置封閉於獨立 VLAN,防止攻擊者橫向移動至關鍵系統;同時持續監控流量模式,可偵測傳統內部人員無法察覺的異常行為。

實用技巧與重點

乾貨
  • 關鍵數字:eCrime 突破時間 27 秒;中國 Nexus 攻擊者中 40% 以 Edge 裝置為目標
  • 標準依據:NIST Cybersecurity Framework ID.AM(資產管理)、NIST SP 800-207(零信任架構)
  • 技術工具:VLAN 隔離、網路掃描(Network Scanning)、Agentless 流量監控
  • 資產清單必要欄位:IP 位址、硬體類型、硬體版本、內部擁有者、資料分類標準
  • 四步驟執行框架
  • 發現(Discover):掃描網路,找出所有連網硬體
  • 盤點(Inventory):記錄裝置資訊,定義擁有者,納入資產管理系統
  • 隔離(Segment):以 VLAN 將 IoT 裝置與敏感系統隔離
  • 監控(Monitor):持續分析網路流量,偵測無法安裝代理程式的裝置異常
  • 案例情境:執行長筆電、會議室冰箱、公司電腦同時接入網路 → 冰箱屬 IoT,必須強制 VLAN 隔離

結論

結論

IoT 裝置因無法安裝代理程式而成為企業網路最危險的盲點,唯有透過 VLAN 隔離搭配持續流量監控的零信任架構,才能在 27 秒的攻擊窗口內有效阻斷威脅橫向擴散。

完整解析

詳細

根據 CrowdStrike 最新情報,eCrime 攻擊者的「突破時間」(從初始入侵到橫向移動至關鍵資產)已縮短至僅 27 秒。與此同時,40% 的中國 Nexus 威脅組織將攻擊矛頭指向 Edge 裝置,也就是那些游離於傳統安全團隊視野之外的硬體。這代表即便企業對伺服器和工作站部署了完整的端點防護,網路中一台被遺忘的智慧電池或未受管理的 IP 攝影機,仍可能成為攻擊者繞過整道防線、直達內部網路的隱形入口。

問題的根源在於資產可見性的缺失。NIST 網路安全框架的 ID.AM 標準明確要求:每一台連接至網路的裝置,無論規模大小,都必須被識別並納入管理資產範疇。實務上,企業需透過網路掃描發現那些未出現在正式架構紀錄中的「影子資產」,例如無人管理的攝影機。發現後,應將這些裝置登錄至資產清單,並記錄 IP 位址、硬體類型、版本、內部擁有者及資料分類標準,讓每台裝置從「看不見的東西」變成「有脈絡可循的受管資產」。

然而,IoT 裝置的安全挑戰不止於此。由於這類裝置資源受限,根本無法安裝傳統防毒軟體或 EDR 代理程式,這使得以端點為核心的安全策略完全失效。對此,業界採用 NIST SP 800-207 所定義的零信任架構作為解方。零信任的核心前提是:所有運算服務皆視為資源,且本地網路不應被預設為安全環境。既然無法從裝置內部著手防禦,就改為保護裝置所在的網路本身。具體做法是透過 VLAN 將 IoT 裝置封閉隔離,切斷其與核心系統之間的橫向移動路徑;再輔以嚴格的存取控制與持續性網路流量監控,藉由分析這些裝置的通訊模式,捕捉傳統內部監控無法察覺的威脅信號。

整套方法論可濃縮為四個步驟:首先「發現」所有連網裝置;其次「盤點」並建立完整資產清單;第三以 VLAN「隔離」IoT 裝置,使其遠離敏感資料;第四持續「監控」網路流量以維持可見性。以會議室冰箱為例,它看似無害,但一旦被攻擊者利用,在 27 秒的突破窗口內便可成為滲透整個環境的跳板。正確做法是強制將其隔離至專屬 IoT VLAN,並納入持續監控機制,這也是後續事件應變模組的基礎前提。

關鍵時刻

Pipeline v2

帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。

事實查核

Pipeline v2

說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。

更多「Web2 安全」的內容

Apple Can’t Fix This Security Exploit…
編輯精選
7 min
Web2 安全英文6月20日

Apple Can’t Fix This Security Exploit…

TechLinked

  • Apple 舊款 iPhone 存在不可修補的硬體漏洞:由 Paradigm Shift 研究團隊發現,漏洞位於 USB 控制器層,可在 iOS 啟動前就取得設備控制權。由於需要實體接觸與有線連接,一般使用者日常風險較低,但手機被竊後就可能成為攻入者的入口。
  • META 積極推動聯邦立法以對抗州級訴訟:面對全美超過千件涉及平台縱容犯罪的民事案件,META 選擇透過遊說要求聯邦政府介入、統一管轄,以取代各州分散的訴訟壓力。這是防禦性法律策略,而非從根本解決平台安全問題。
  • Waymo 自駕安全問題持續累積:近 4,000 起事故紀錄中包含闖入施工封閉區、駛入水中等嚴重情境,已觸發多次 NHTSA 正式調查與召回。這顯示自駕技術在非結構化環境下仍有系統性弱點。
看重點看原片
Eksploitasi LPE Terbaru 2026: Dirty Frag | CVE-2026-43284 & CVE-2026-43500 | Rooting Linux
10 min
Web2 安全英文6月20日

Eksploitasi LPE Terbaru 2026: Dirty Frag | CVE-2026-43284 & CVE-2026-43500 | Rooting Linux

Naughtysec

  • DirtyFrag 機制類似 DirtyPipe,但因無 Race Condition 而不會造成 Kernel 崩潰或觸發 Buffer Overflow,舊版類似漏洞(如 Buckeye 時期)因有競爭條件會導致伺服器變得如 DoS 狀態,DirtyFrag 解決了這個不穩定問題。
  • 目標防火牆封鎖了標準 Reverse Shell(PentestMonkey 的 bash/nc 類型),因此必須改用 Chisel 建立 TCP Tunnel,再透過 gsocket 穿透防火牆,而非直接連線。
  • gsocket 的 session 具備高度持久性,即使伺服器重啟後連線仍可維持,講者提到曾有 session 存活超過一年,使其成為理想的隱蔽隧道工具。
看重點看原片
Hack The Box Administrator | Full Walkthrough
編輯精選
23 min
Web2 安全英文6月20日

Hack The Box Administrator | Full Walkthrough

Cole Mahoney Cybersecurity

  • BloodHound 的「Outbound Object Control」是核心突破口:每換一個使用者就立刻回到 BloodHound 查看該帳號對外的 AD 物件控制權,這條鏈式思維決定整個攻擊路線,是橫向移動的核心依據。
  • 強制改密碼(ForceChangePassword)是 GenericAll 最快的利用方式:對 Michael、Benjamin 等帳號都直接用 `net rpc password` 改密,比注入 ACE 或其他手法更直接,適合在已控帳號有 GenericAll 的場景快速推進。
  • Password Safe 資料庫是隱藏的憑證倉庫:Benjamin 因隸屬 Share Moderators 群組能存取 FTP,其中藏有 `backup.psafe3` 加密資料庫;用 `pwsafe2john` 提取 hash、John 破解 master password 後,即可取出 Emily 的明文密碼。
看重點看原片