網路駭客與資安廠商的攻防博弈
- DIGITIMES企劃
-
資安廠商與駭客之間的攻防,其實與博弈非常類似,網擎資訊產品管理部經理林家正指出,資安廠商在與駭客之間的博弈心態,應該是「不要想著贏,要想不能輸」,目標不是擊敗駭客,而是設法要避免客戶發生損失。
林家正更以Google(2010年3月被攻擊)、RSA(2011年3月被攻擊)、南韓銀行(2013年3月被攻擊)的資訊安全事件為例指出,利用所謂的社交工程或魚叉式釣魚信件進行攻擊,已經是駭客相當常用的手段。在Openfind的電子郵件威脅實驗室中,分析出來自於大陸的攻擊最多,超過一半以上,台灣目前則是第4名,也因此證明電子郵件已成為資安業者與駭客攻防的第一線。
一般而言,駭客利用電子郵件進行攻擊的方式,首先是仿冒。林家正指出,許多駭客會仿冒我們一般常使用的雲端服務業者並寄發通知信,值得注意的是,即使仿冒信件的破綻很多,如使用簡體字、大陸用語等,從寄件者資訊及Domain其實也可看得出來該信件為仿冒信件,但還是有人會上當。
不僅如此,透過沙箱連線到仿冒信件所附上的網站連結,會發現該偽造的網站都被仿冒的惟妙惟肖,駭客根本就是將整個原本的網頁拷貝一份,製作成一個相似度很高的假網站,用戶在點選網站連結後,很難察覺是仿冒網頁。林家正指出,有些駭客網頁會要求用戶登入網路硬碟下載檔案,過程卻只是回應「Server Busy」,但其實用戶的資料正在外洩中。
此外,還有些郵件會利用「拒收請按此」連結當陷阱,用戶點下去後,輸入E-mail來拒絕收到該信件,但其實卻已經被駭客收集到E-mail帳號。林家正指出,駭客之所以會這麼做,是因為以前使用的「字典式攻擊」,也就是利用各種字元組合透過退信來建立攻擊名單的方法,現在的郵件伺服器已經有能力加以防範,因此駭客手法便開始不斷的變形來達到取得攻擊名單。
林家正指出,其實位址都會直接顯示於信件的超連結中,用戶可立即察覺連結是否有經過偽造。但很多社交工程就是在賭用戶會一時衝動按下連結,因此林家正建議,只要Gateway端有協助防禦的機制,如將超連結轉成純文字,或是當使用者真的要連線到該網址時,可先偵測超連結是否會連到惡意網站並告警使用者,這樣便可大幅降低風險。
此外,近期的電子郵件威脅,還興起一種企業詐騙的方式,是利用買賣雙方彼此在進行聯繫時,駭客會在此時假冒賣方企業,發出一封新的電子郵件,通知收件者已經更改匯款帳戶,許多買方沒經查證就匯款,事後才發現已經被詐騙。
林家正指出,企業可以透過郵件稽核系統,如在Gateway端加入自動加印寄件人專屬PKI簽章,甚至可以將信件變成PDF檔,透過密碼或浮水印來保護,藉此全面杜絕企業郵件遭冒名的風險。
另一個避免電子郵件遭駭的重點,在於帳號及密碼的安全設定。儘管許多用戶都知道,帳號跟密碼被猜到時,系統就會有危險(被設定自動轉寄、POP3?IMAP?SMTP服務被打開等,導致機密外洩),但林家正指出,很多人到現在還是會用很多人都猜得到的密碼,由於郵件系統無法事前監督使用者設定密碼,後續如何監督就變得很重要。
如郵件系統要有能力定期巡視,有無那些不該打開的服務被打開,或是主動要求用戶設定較為複雜的密碼原則,系統的遠端連線(SSH)平常要關掉,有需要廠商遠端登入來定期保養或是異常狀況處理時再打開等,避免平常就開個入口讓駭客有機可趁。
另外一個要小心防範的對象,則是商業間諜。林家正指出,之前有很多商業間諜,都會透過電子郵件洩漏機密,這些內賊有的為躲避稽核,除了透過竄改副檔名的方法外,有的還會透過圖檔挾帶壓縮檔的方式,將機密文件藏匿在其中,表面上開啟此檔後,會發現的確是一張圖片,但實際上該檔案卻是可被解壓縮的Office系列檔案或是PDF文件。
面對如此令人防不勝防的手法,建議企業利用可抓出這些異常郵件的郵件歸檔系統來整理,彈性定義郵件稽核政策,只要出現異常行為,系統就能定期通報管理人員,還可藉統計報表來察覺那些使用者常常寄出不正常的信件,並進行適當的處置。
整體而言,企業只要能在部署時做好資安準備,包括建置郵件防護系統、郵件稽核系統、電子郵件系統(需含資安防護)及郵件歸檔管理系統,並在架構上把Gateway端的郵件防護系統與郵件稽核系統放置於DMZ區,那就算Gateway端被攻破,也可以降低風險,如果企業沒有建立相關的郵件資安防禦設備,也可以考慮採用雲端服務或是混合雲的架構搭配,除了可降低人力成本外,更可得到最新最好的服務。
林家正表示,資安威脅的攻擊已越趨多元化,但大部分的攻擊皆由電子郵件開始,在處於攻擊手法日新月異的時代,唯有企業唯有不斷的「更新」面對才是王道,如作業系統及應用程式都要不斷地更新,漏洞及風險才不會愈來愈大。
更重要的是,人的思維也要更新,如果能做好內部機制管理,並透過有經驗且在地化的電子郵件廠商提供完善的系統機制協助,那上述相關的資訊安全風險則皆可避免,並創造優質的郵件溝通環境。
