從檢測經驗談企業資安漏洞 智慧應用 影音
台灣玳能
參數科技

從檢測經驗談企業資安漏洞

  • DIGITIMES企劃

中華電信資安監控中心滲透測試團隊負責人施汎勳。
中華電信資安監控中心滲透測試團隊負責人施汎勳。

中華電信資安監控中心滲透測試團隊負責人施汎勳先生,以自己取得CEH(道德駭客認證)、CHFI(資安鑑識調查專家認證)等證照,並從事資安相關領域5年的經驗,來說明近期重大資安事件與企業易犯的資安謬誤。

他首先列舉了近半年發生在國內外超過10起重大的資安事件,包括各種知名軟體、網站、服務、行動App受到駭客入侵,造成嚴重的個資外洩,甚至財產損失的事件。

駭客攻擊的目的主要還是為了獲利,透過入侵企業網站來撈取會員個資,一來可勒索企業給予金錢否則將洩漏其會員資料,二來可將個資賣給詐騙集團,或與其他駭客炫耀其戰果。根據賽門鐵克的統計,歷年來總共有5億多筆的個資外洩,資安問題不可輕忽。

預防勝於治療  為企業資安做健檢

施先生介紹大家可以去一個叫做ShouldIChangeMyPassword.com網站,將自己E-mail輸入進去,以查閱該E-mail在過去是否有發生帳號外流的疑慮,以便提早更換密碼,杜絕被盜用的機會。

基於上例,可知安全檢測的重要性。人有病該吃藥、系統也是如此。據美國國防部統計,企業往往需要花10倍的金額,來修補開發階段所遺留下來的漏洞。因此提早為資安做檢測,即可提早治療,在企業的財產或名譽損失前就把問題解決掉。

各種不同檢測項目  找出所有潛在危害

透過主機與網頁弱點掃描、網站安全監測、源碼檢測,惡意電子郵件社交工程演練與滲透測試,可分別找出系統、程式與人員的資安漏洞。

「弱點掃描」主要是透過自動化工具掃描已知的漏洞,另可透過弱點管理系統來做追蹤管理以掌握修補情形。「網站安全監測」則是透過網站存活檢查、網頁惡意關鍵字比對、網頁竄改、網頁掛碼檢測等方式,來檢測、監控網站是否遭駭。

「源碼檢測」則是建議在開發階段即導入,以自動化工具掃描程式碼,發現漏洞並提出修補建議。而「惡意電子郵件社交工程演練」,則是以最新時事或熱門話題寄出E-mail給受測企業的員工,看是否因好奇心而去點選裡面連結或附件,以提升人員資安意識,降低APT攻擊受駭機率。

最後的「滲透測試」,是一種模擬駭客攻擊的手法,對目標系統進行不擇手段的安全性測試,並把過程記錄下來,結合自家公司的一套測試SOP,融合了PTES、OSSTMM、OWASP等測試項目,極盡所能找出系統漏洞,為企業資安做好萬全的把關。

企業常見的安全謬誤  提早發現提早修正

他以之前做過的案例,列出企業常見的10種資安謬誤:
1. 開發者常因誤用黑名單字串過濾機制造成注入類漏洞修補成果不彰。
2. 編碼、加密、雜湊三者的誤用因而系統未發揮應有的保密性。
3. 利用Javascript進行防禦容易被繞過,提醒開發者伺服器端程式的防護不可少。
4. 加密?編碼的資料傳遞須更注意後端處理函式的安全性,像WAF網頁應用程式防火牆和IPS入侵防禦系統等產品,難以發現這類攻擊。
5. 企業誤以為買IPS或WAF等資安設備就能解決所有問題,但沒有專業人員調校、監控與分析,設備難以發揮其應有功效。
6. 外緊內鬆的防禦策略,因內網伺服器開放過多服務埠、系統弱密碼還有人性的脆弱,使得由內而外入侵的惡意郵件APT攻擊盛行。
7. 委外開發廠商共用的模組若存在漏洞,可能同時影響多家企業。
8. 行動應用程式安全需關注的面向更多,常被不小心忽略。
9. 形同對駭客友善機敏資料註解與備份程式碼常被遺留在正式系統上。
10. 商業邏輯漏洞。像是銀行、壽險、商城等網站的匯率轉換?紅利?積點?兌換券?特價品?臨時活動?試算表,常因計價與付款流程中名稱?金額?數量等變數可竄改,例如可輸入負值或竄改付款帳號等,造成金錢損失。

以上疏失都可能造成損害,該公司資安艦隊為全台最大資安防護服務網,技術能力已獲各方認可,具備雲端架構滲透測試與安全評估的能力,可幫助企業做最完整的IT健診,杜絕駭客攻擊。