從檢測經驗談企業資安漏洞

中華電信資安監控中心滲透測試團隊負責人施汎勳。

中華電信資安監控中心滲透測試團隊負責人施汎勳先生，以自己取得CEH(道德駭客認證)、CHFI(資安鑑識調查專家認證)等證照，並從事資安相關領域5年的經驗，來說明近期重大資安事件與企業易犯的資安謬誤。

他首先列舉了近半年發生在國內外超過10起重大的資安事件，包括各種知名軟體、網站、服務、行動App受到駭客入侵，造成嚴重的個資外洩，甚至財產損失的事件。

駭客攻擊的目的主要還是為了獲利，透過入侵企業網站來撈取會員個資，一來可勒索企業給予金錢否則將洩漏其會員資料，二來可將個資賣給詐騙集團，或與其他駭客炫耀其戰果。根據賽門鐵克的統計，歷年來總共有5億多筆的個資外洩，資安問題不可輕忽。

預防勝於治療  為企業資安做健檢

施先生介紹大家可以去一個叫做ShouldIChangeMyPassword.com網站，將自己E-mail輸入進去，以查閱該E-mail在過去是否有發生帳號外流的疑慮，以便提早更換密碼，杜絕被盜用的機會。

基於上例，可知安全檢測的重要性。人有病該吃藥、系統也是如此。據美國國防部統計，企業往往需要花10倍的金額，來修補開發階段所遺留下來的漏洞。因此提早為資安做檢測，即可提早治療，在企業的財產或名譽損失前就把問題解決掉。

各種不同檢測項目  找出所有潛在危害

透過主機與網頁弱點掃描、網站安全監測、源碼檢測，惡意電子郵件社交工程演練與滲透測試，可分別找出系統、程式與人員的資安漏洞。

「弱點掃描」主要是透過自動化工具掃描已知的漏洞，另可透過弱點管理系統來做追蹤管理以掌握修補情形。「網站安全監測」則是透過網站存活檢查、網頁惡意關鍵字比對、網頁竄改、網頁掛碼檢測等方式，來檢測、監控網站是否遭駭。

「源碼檢測」則是建議在開發階段即導入，以自動化工具掃描程式碼，發現漏洞並提出修補建議。而「惡意電子郵件社交工程演練」，則是以最新時事或熱門話題寄出E-mail給受測企業的員工，看是否因好奇心而去點選裡面連結或附件，以提升人員資安意識，降低APT攻擊受駭機率。

最後的「滲透測試」，是一種模擬駭客攻擊的手法，對目標系統進行不擇手段的安全性測試，並把過程記錄下來，結合自家公司的一套測試SOP，融合了PTES、OSSTMM、OWASP等測試項目，極盡所能找出系統漏洞，為企業資安做好萬全的把關。

企業常見的安全謬誤  提早發現提早修正

他以之前做過的案例，列出企業常見的10種資安謬誤：
1. 開發者常因誤用黑名單字串過濾機制造成注入類漏洞修補成果不彰。
2. 編碼、加密、雜湊三者的誤用因而系統未發揮應有的保密性。
3. 利用Javascript進行防禦容易被繞過，提醒開發者伺服器端程式的防護不可少。
4. 加密？編碼的資料傳遞須更注意後端處理函式的安全性，像WAF網頁應用程式防火牆和IPS入侵防禦系統等產品，難以發現這類攻擊。
5. 企業誤以為買IPS或WAF等資安設備就能解決所有問題，但沒有專業人員調校、監控與分析，設備難以發揮其應有功效。
6. 外緊內鬆的防禦策略，因內網伺服器開放過多服務埠、系統弱密碼還有人性的脆弱，使得由內而外入侵的惡意郵件APT攻擊盛行。
7. 委外開發廠商共用的模組若存在漏洞，可能同時影響多家企業。
8. 行動應用程式安全需關注的面向更多，常被不小心忽略。
9. 形同對駭客友善機敏資料註解與備份程式碼常被遺留在正式系統上。
10. 商業邏輯漏洞。像是銀行、壽險、商城等網站的匯率轉換？紅利？積點？兌換券？特價品？臨時活動？試算表，常因計價與付款流程中名稱？金額？數量等變數可竄改，例如可輸入負值或竄改付款帳號等，造成金錢損失。

以上疏失都可能造成損害，該公司資安艦隊為全台最大資安防護服務網，技術能力已獲各方認可，具備雲端架構滲透測試與安全評估的能力，可幫助企業做最完整的IT健診，杜絕駭客攻擊。