本篇文章出處Information Security 資安人科技網

作者:編輯部 - 02/16/2009
本刊資安烽火台,定期披露受掛馬或惡意程式入侵的企業,經過1年的統計發現,某些單位似乎是榜上常客,一段時間即可看到「它」重出江湖!

隨著科技快速發展,越來越多駭客利用企業網站當跳板,植入網頁木馬、後門(WebShell)等惡意程式,藉此感染更多電腦,並滲透更多內部主機。資料庫中存放大量機敏資料,一旦受到淪陷,後續衍生的安全問題,其造成的影響及損失難以估計。美國零售業巨頭TJX資料庫遭入侵,造成4,500萬筆客戶信用卡資料不翼而飛;國內也發生5,000萬筆資料遭竊取的新聞。諸如此類的案件近年不斷上演,甚有惡化的趨勢。根據資安之眼網站淪陷資料庫統計,過去1年內約有2,000多筆網頁被掛馬、惡意程式等入侵,2年內總計4,000多筆,掛馬網站呈現倍數成長。雖然現已有防毒軟體、網頁應用防火牆,可阻擋部分病毒,但若面臨到如前陣子微軟IE 7零時差攻擊的威脅時,用戶一旦瀏覽該網頁,便可能遭惡意程式感染,基礎防護形同虛設。資安之眼站長Blue便指出,若不將源頭找出,問題仍會持續發生,其最終解決之道仍是要將漏洞修補,對症下藥。
儘管國內、外如資安之眼、大砲開講、Zone-H等網站,都會定期公佈網站遭到惡意程式入侵的企業單位,盡告知責任,但這些「榜上常客」或許是不知道遭攻陷的事實,亦或選擇眼不見為淨,它們一再成為駭客下手對象,屢屢刊登於上述資安網站。
許多較具有資訊安全概念的企業,紛紛陸續重視網站的保護,相反的,也有不少企業不曉得其網站遭入侵的嚴重性。究竟企業被入侵的真正原因為何?又為何遲遲不將問題解決?難道真是不見棺材不掉淚,等到出事才知道問題的嚴重性?為此,本刊探訪了這些「常客」,依其型態分為以下5類型,盼企業IT人員及管理階層能找出問題與解決之道,並投以百分百的重視。

個人化網站:提高網站架設標準
這類型網站是由個人經營,流量較低,僅有小眾族群使用,故危及層面不廣,情節較不嚴重,常見包括.idv網域的網站以及學校老師架設的個人網站。除了架設該網站的人員應具有基本的資安防禦觀念,也要於網站上公告資安相關訊息,以維護小眾使用者之權益。

小單位及無IT人員:委外仍需投身參與
這類型的特點是企業不知道網站漏洞對企業本身甚或網站訪客的威脅嚴重性為何,資安觀念薄弱。原因可能是公司規模小,無編制IT人員,系統的開發與後續維護交由委外,因此對於公司IT系統的架構與運作不了解,如提供線上開店軟體服務的168a摩藤網,對於筆者通報其被公佈遭入侵後,竟表示「會不會是有心人士故事造謠生事?」而另一家科技公司Cybertech則是將系統與維運工作皆交由委外,機房亦由外部廠商代管,該公司IT人員對於其網站從去年至今陸續遭受攻擊一事完全不知,並指出負責維運的廠商從未告知網站存有漏洞,他進一步表示,進入受入侵的網站,其畫面都能正常顯示,對於筆者告知的訊息,這名IT人員不敢置信,更直說「這些攻擊都並未造成任何損失阿!」
此外,另一提供討論網頁設計的交流論壇,網頁設計聯合國,平時是提供網友各種網頁設計的技術交流平台,但現在卻疏於自家的網頁安全,看上去真是格外諷刺。
以上案例,小型企業IT建置工作多半訴諸外部廠商,因而對自家公司IT環境不熟悉,安全問題自然不予重視,然而上述2家提供軟體相關服務的企業,推測其單位內應有IT技術人員,但竟以敷衍、不專業的語氣回應,難道是藉此粉飾太平,還是IT人員對資安認知也嚴重不足呢?筆者建議,企業在尋求委外時,除了要慎選信譽、品質優良的網站服務廠商,日後系統的維護作業,若無法親自參與也要對服務廠商提出要求,自家人對自己網站都不聞不問了,還寄望外人會小心呵護嗎?

IT人力少:應將問題找出,徹底解決病源
該類型是企業內約有1~3位IT人員,其網站屢登上烽火臺常客,有幾項原因,首先是遭入侵網站已停用,卻沒將出問題的網站伺服器關閉,導致網頁被長期掛馬、不斷被偵測出有惡意程式,而IT人員卻一無所知。如提供訂閱服務的華文電子書,該公司客服人員表示此項業務早已停止經營。對網站存有漏洞的消息,其IT人員表示,該網站非其開發,自從接手後根本不知道公司有該網站存在,自然不曉得網頁遭入侵。
再來,是網站問題治標不治本,IT人員只移除網站遭入侵痕跡,將表面漏洞修補,但治標不治本,未將出事原因找出,使其一再成為「榜上熟客」。華泰旅遊網網站由3~4位IT人員自行開發、維護,IT人員曉得公司網站曾存有漏洞,也於第一時間內修補,從積極處理的態度來看,稍稍值得嘉許,但其修補問題的手法則有可議之處,相同問題卻不斷上演,他們也不曉得根本問題到底在哪;該IT人員表示,未來倘若再發生類似事件,也許會考慮尋求滲透測試服務,徹底將問題解決。
最後,IT人力及資金預算的不足亦會有所影響。國際製造工程學會的IT人員表示,他們是向中華電信承租頻寬及代管服務,業者曾告知某台系統遭掛馬,但自己也已處理完畢,至於Zone-h所公佈另台系統被入侵的記錄則表示不清楚。然而現今IT預算大不如前,上級打算把委外合約停止,將網站系統拉回自己管。除了網站內容、系統功能維運外,IT防禦工作也全落在IT人員一人身上,對於外部的威脅能否及時發現並因應,令人擔憂。
以上事發原因,顯見IT人員常犯的幾項錯誤;建議IT人員應定期檢測網頁安全,並將已停用的網頁伺服器關閉,徹底將網頁漏洞找出並修補問題,以避免使用戶無心點選,引起不必要的損害。而對於網頁漏洞,也不要以為移除遭置換頁面等表面工夫就能達到百分百安全,倘若問題不斷發生,就代表了只治標不治本,企業可試著尋求專家進行滲透測試等服務,將問題根源找出,以一勞永逸。

IT人力多:首重擬資安政策
這類中型組織IT人力不少,但所需提供的IT服務也多,網站仍然漏洞百出,可能是高層不重視資安或是未訂定明確的資安政策。立德管理學院早已知道其網站出現問題,但IT人員指出,全校網站開發與後續維運僅由資訊中心2位人員負責,他們雖對已知的漏洞做了補救措施,但修補動作仍不及出事的速度,以致部份漏洞仍未見解決。
嘉南藥理科技大學學院由於各系所網站是獨立管理,各系所自行尋求IT廠商做系統開發與後續維護;網路資訊人員雖一再向出事系所提醒,但這類事件不斷發生,網站漏洞千瘡百孔,其中,有一被入侵的網站是全校師生都會點選的學生事務處,影響範圍廣大,但IT人員卻僅表示,「我們也知道,但只能盡量提醒,被入侵的網站單位要自行與其委外廠商進行溝通、修正。」
另一情況是系統管理與業務使用單位互踢皮球。第一產物保險被發現存有漏洞的網頁,只服務特定客戶,或許如此,該公司的IT人員知道該網站長期遭到掛馬,但由於危害程度不高,遲遲未見修補動作;資訊室人員表示,公司主網頁是交由他們負責,而出問題的網站則是該事業群的人員所開發,資訊室已盡告知的責任,後續的安全維護就不屬他們職責範圍;但該事業群的系統人員則指出,他僅負責系統開發,並將伺服器放置於此,後續的安全管理由資訊室負責。
對於企業內有心做好資安工作的IT人員,若是遇到高層的不重視或資金、人力緊縮的狀況,用「心有餘而力不足」來形容這心境最貼切不過了,倘若企業經營者都漠視網站漏洞可能帶來的威脅,豈能期望底下執行者將資安工作做好?而管理及使用單位相互卸責的態度,許多企業可能也有相似案例;倘若欲徹底解決上述問題,唯有管理階層重視資安,並明確訂定資安政策與各部門權責,一旦將責任清楚劃分,方能讓其謹守崗位,萬一不幸發生資安事件,也有可追究的管道。

網站流量大:應背負更大社會責任
其他影響層面較大的網站如全球華文網路教育研討會,其網站訪客多半屬上網頻率高的使用族群;Alfa Romeo Giulia Club Taiwan、知名車廠LEXUS網站等,係針對金字塔頂端社會人士;餐飲業者上閤屋則是一般廣大消費民眾;其中,高雄市政府與柏瑟音樂教育文化機構合作,凡欲參加活動的民眾,需進入該音樂教育網報名,但該網已存有漏洞,這樣的作法,不是要民眾自投羅網嗎?上述網站只是冰山一角,然而會瀏覽上述網站的使用者,若本身經常使用線上交易、服務,當電腦防護出現空窗期又遭受掛馬網站牽累時,其從事網站交易的信用卡資料、銀行帳號、身分證字號等機敏資料將會被一覽無遺,後續影響難以估計。
更令人汗顏的是本身從事資訊科技相關的單位,如建國、朝陽科技大學資訊相關系所網站,提供IT服務的泛太資訊科技開發、替Wii代工製造CMOS感測元件的原相科技及宏碁子公司建碁AOpen等,都是近期24小時內網頁掛馬問題未排除的知名企業網站。
上述案例可能因具有廣大瀏覽率及特定使用者,網站流量皆偏高,基於道德使然,它們理當負起更大的社會責任,相較於其他企業,他們應有更多IT技術或人力資源;流量大的網站是高度傳染媒介,若不幸遭攻陷,「駭客跳板」將相繼而成,長期而言,恐怕後端存有客戶資料的資料庫也難逃一劫。這些赫赫有名的企業,不論是為了建立良好形象或保護客戶資料,於情於理都應當投注較大的心力來維護網站安全,成為其他企業的表率。

觀點與建議
從上述內容看來,可發現幾種現象並提供些許建議:
(1)政府資安推廣工作應擴及民間
根據資安之眼站長Blue統計的資料顯示,政府單位網站皆未在公佈的名單上,反觀民間企業、教育單位卻仍是漏洞百出;顯見在研考會的協助與要求下,政府相關機關對於資安的防範工作已具有一定水準,但政府單位需深思,為何不將此範圍擴大至企業單位,明確要求需制定的規範,將資訊安全的觀念及其可帶來的效益受惠於大眾,以避免層出不窮的資安事件一再上演。
(2)制定網站架設標準
由於現今科技應用的發達,任何人都可於網路架設網站,架設網站人員除了應具備正確的資安防禦觀念,政府也應當有相關配套措施,如擬定網站架設資格標準,將制度建立,方能確保大眾的安全。
(3)建立IT與營運溝通橋樑
一般企業組織中,資訊部多半被定義為後勤、技術支援的單位,因此在企業營運決策過程中,資訊服務往往未被妥善納入考量。像「華文電子書」的案例,公司營運單位已停止該項服務,但卻未告知資訊人員,導致該網站成為無人管理的孤兒並淪為烽神榜固定常客。因此,企業應當將IT人員的角色重新評估。IT人員不僅是資訊技術支援,也應建立起與公司營運的溝通管道。
(4)做好資安安全防護
惡意程式與網站漏洞如同感冒流行病毒,為了強身健體,平時就要飲食均衡,生病就要看醫生;將這觀念運用到資安工作亦是如此,IT人員要定期檢測網站等IT系統是否正常運作,若發現有異常狀況,便要尋求「醫生」給予適當協助。沒有人從來不生病,資安也是如此,重要的是,要將基礎打好,降低生病的機率。
(5)強化中南部資安教育
最後,在訪談過程發現,烽神榜的常客也有地域性關係,在網站受入侵的企業中,不論產業別,以中南部比例偏高,而他們對於「惡意程式」的危機意識也較低;建議政府日後在宣導資安教育時,或許應當更針對該區域來努力加強。

其實在面對網頁漏洞所造成的威脅前,最重要的要先了解網頁遭入侵所造成的嚴重影響;不肖人士鎖定企業網站並植入後門程式,使用者一經點選含有病毒的網頁,其惡意程式便會修改使用者電腦初始設定或變更使用戶的瀏覽器設定等,再進而竊取使用者個人信用卡、帳號密碼等機密資料,造成巨額損失;大眾若具有正確資安觀念、採用資安防護產品或許可以降低危害,但不幸的是,仍有許多未安裝任何防護的使用者放任自己的電腦在一片網路毒窟當中裸奔。加上這些受入侵的企業單位,大多不曉得網站遭入侵的嚴重性,僅抱持著僥倖心態,見公司網頁正常運作,便以為天下太平;一些企業單位甚至擺出一付事不關己的態度,認為網站漏洞不會對自身產生威脅就好;這些企業難道真要等到資料被外洩,真正痛過才會稍作警惕?提醒企業主們,千萬不要再漠視網頁漏洞的存在,因為這是關乎你我的隱私及財產安全。
本文除了望呼籲企業高層能重視資安,並投注適當資源予資訊部門,以增進IT人員對網站問題的警覺能力外,更期盼政府對資安環境大力協助,立法院緊速通過個人資料保護法,藉由教育訓練等觀念提升,再輔以明確法令強制規範,讓政府機關及民間企業單位了解資訊安全的重要性,改善台灣網路治安惡化問題。
看完了企業用戶的案例後,接著聽聽專家怎麼說。
資安之眼站長Blue:「被掛馬時間久」暗藏深遠影響

在進行網站問題偵測的過程中,發現烽神榜上的名單可以分為「上榜次數多」及「被掛馬時間久」2類,若一定要判定問題的嚴重性,後者情節較為嚴重,因為次數多代表企業是有正視網站漏洞,只是不曉得問題源頭;然而,遭入侵時間較久的企業,則是將之視為「習慣」,對網站漏洞睜隻眼閉隻眼,代表了對問題根本的漠視。。
一般規模大的組織,在事件處理上就較為迅速,其關鍵在於網站是否具緊急應變機制,如果出事造成的成本高,自然就會投入足夠預防措施。但一些小公司由於資源不足,網頁鮮少異動,就我了解,有些企業竟是用Ghost來處理Web Server的問題,每次中毒或網頁被竄改時就將之還原,利用此方式解決問題,自然他們也沒有能力,甚至意願去發現問題的癥結。而對於企業IT人力、資安預算不足的狀況,其實有些並非資源不足,而是分配不到,高階主管的重視及支持是資安能否做好的關鍵,訂定完善的資安政策,方能降低資安事件的發生率。

大砲開講站長Roger:安全與投資成正比,不可忽視。

很多遭入侵企業的系統是委外開發,他們不曉得問題在哪,漏洞自然都不會徹底根除,尤其是學校單位。對於一些企業表示,其系統是分散管理,無法進一步管制,我認為那都是藉口,網站漏洞多半是source code出現問題,企業若有能力,網頁source code就會自行修改,沒能力者也可委託外部廠商,然而,現在大部份企業單位都不願付費,技術不足又不願花錢,導致網頁漏洞問題一直存在。
我過去會針對遭惡意程式入侵的企業單位各別進行通知,但現在已經不這麼做了,因為很多網站上都未提供網站管理者聯絡資訊,有問題要從何聯絡?而聯絡後,也多半是大公司會給予回應,其餘公司問題不斷惡性循環,仍無解決之道。
值得一提的是,剛開始公佈網站掛馬名單時,曾有部分企業試圖拿錢搪塞,希望我不要將自家網站於大砲開講上公佈,但後來不被接受後都因此做罷,現在這種狀況已未出現,希望企業主關心商譽的話,能真正重視資安。

全站熱搜

felix 發表在 痞客邦 留言(0) 人氣()