2009年12月29日 星期二

[觀點] 從境管當機事件談資安風險管理(上)

意外事件的發生,往往令人措手不及,如果又缺少適當的應變方法,一團混亂的結果更會造成危機的擴大。因此,最好的做法就是在事前設想可能的風險,並採取適當的控制措施來將衝擊降至最低,本文用簡單的範例說明,來協助你了解風險管理的過程

在2009年年初,桃園機場的境管電腦發生了當機事件,使得證照查驗工作必須採用人工方式進行,造成入出境的旅客大排長龍而抱怨連連。以往雖然也有類似情況發生,所幸資訊人員都能在很短的時間內搶修完成,讓服務可以迅速地恢復運作。但是,此次當機事件卻牽連甚廣,使得整個境管電腦系統停擺長達36個小時,更讓8名受到列管的人士得以入出境闖關成功。

此次當機事件,根據官方的聲明指出,主要發生原因是由於硬體過於老舊,導致硬碟與主機板發生故障,進而使得境管系統停擺。但是,在事件引起軒然大波之後,各家媒體和網友卻抱持著不同的看法,歸結起來大致可分為以下幾項原因:
  1. 硬體設備老舊未更新
  2. 相關人員應變力不足
  3. 備援與復原機制不足
  4. 缺少標準處理作業流程
個人認為這次事件的發生,不會只是由單一的因素所造成,因此可以從很多角度來予以探討,包括從系統開發與運作流程、備援作業程序、IT服務管理和營運持續管理等,但因缺少了相關直接證據,在此我們不去探討事件背後的真相如何,而是要來思考以上各個層面,都必須要考慮到的一個重點,那就是所謂的「風險管理」。

風險管理基本概念

風險是什麼?簡單的說,就是「你不想要發生的事件,當它發生的可能性和所造成的影響程度之組合。」舉生活中的風險為例,像是每年可能會發生兩次,當颱風來襲時會使住家所在的區域停電;或是一年左右會發生一次,因為路上的釘子刺破了輪胎,造成車子無法繼續行駛。若是以IT的例子來說,常見的風險則有每年大約發生一次,因為硬碟故障而造成檔案損毀;或是每半年可能發生一次電腦病毒造成系統當機等。

風險的存在與否,主要是視資產所處的環境及活動,要去考量它的嚴重性以及發生的機率,像以上這些事件所產生的風險,都會造成一些問題發生,假如沒有適當的因應作法,可能會讓事態擴大而產生更大的衝擊,所以若想要避免或是降低更多問題的產生,就必須要採取一些對應的風險控制措施,而這也就是風險管理過程中重要的工作之一。

風險管理的過程

風險管理的第一步,就是要先了解會產生風險的對象到底是誰?對企業而言,「風險來自於有價值的資產,所以必須要去識別企業內的重要資產有哪些,還有其所面臨的威脅與弱點是什麼,以便鑑別出各項風險組合。

以這次當機事件為例,它的資產至少包括了系統維護人員、運行系統的電腦主機、系統應用程式、儲存設備、備援系統等;可能的威脅則包括像是設備自然損耗和人員作業疏失;弱點則可能有維護支援服務不足、人員缺乏訓練、缺少應變程序等,如果以上這些資產的威脅和弱點同時發生的話,就會影響到所提供服務的正常運作。

因此,在了解風險的組成至少包括資產、威脅和弱點等三項要素之後,關於風險管理的過程,則可分為「識別資產」、「風險分析」、「風險評估」和「風險處理」等四個步驟來進行,以下是各項步驟的簡要說明。

識別資產
在資訊安全的範圍裡,我們所要探討的資產以資訊資產為主,也就是和資訊有關且彼此影響的事物。資產的種類通常可分為:
  • 人員 - 可分為內部和資訊作業有關的人員,例如管理階層人員、系統開發人員、系統維護人員、資訊處理人員、網管人員等;或是外部的約聘人員和承包商。
  • 文件 - 可分為紙本文件和電子文件,例如系統文件、使用手冊、網路拓樸圖、各式表單、合約、日誌、客戶資料等。
  • 軟體 - 資訊系統運作所需的套裝軟體,包括作業系統、資料庫、一般應用軟體、防毒軟體等,或是內部自行開發的應用軟體等。
  • 硬體 - 指存放、處理或支援資訊系統運作的硬體設備,例如個人電腦主機、伺服器、筆記型電腦、路由器、交換器、不斷電系統等。
  • 實體環境 - 指處理資訊所在的地點及建築物,例如機房、網管中心、備援中心、資訊作業中心等。
  • 服務 - 指對外連結或區域互動的網路,例如ADSL網路、光纖網路、數據專線、無線網路等;或是電力、水力等公共支援服務。
風險分析
在識別和資訊有關的資產並進行分類之後,接下來就要分析這些資產所面臨的威脅與弱點。所謂威脅是指會對資產造成損害的事物,可分為自然因素與人為因素。自然因素是指來自於天災或是設備的自然損耗,人為因素則包括有意破壞和無意的作業疏忽,目前常見的威脅包括:火災、水災、颱風、地震、電力中斷、駭客入侵、內部人員不當操作、人員惡意竊取、人員惡意破壞等。

至於弱點則是指存在於資訊資產本身,容易被威脅利用而造成損害的地方,要注意的是,「弱點本身並不會直接造成資產的損失,必須要伴隨著威脅一併發生,才會產生資安風險。」目前在資訊系統中常見的弱點有:作業系統未更新、病毒碼過期、缺少身份驗證、缺少存取權限控管、使用未加密的網路、人員缺少訓練、設備缺少維護等。

風險評估
在一一識別出資產所面臨的威脅與弱點之後,接下來就要進行風險評估,也就是計算出風險值,並依照風險值的高低來加以排序。當然,風險高的項目,一定是要優先去處理的。

至於風險的計算方式有很多種,礙於篇幅無法做詳盡的說明,在此僅提出一個最簡便的方法,可做為風險評估時的參考,應用時可依所處環境與管理要求來自行定義評價方式,本方法的計算公式如下:

風險 = 資產價值 x 威脅機率 x 弱點等級

關於資產價值可參考表一的說明,可分別依照資產的機密性、完整性與可用性的要求來給予評價,再取其平均值或是最大值;至於威脅發生的可能性,可用「每年發生一次」、「半年發生一次」、「每季發生一次」、「每月發生一次以上」等類別,分別給予1~4的評價;而弱點的等級,則可以區分為「很難被利用」、「難以被利用」、「容易被利用」、「很容易被利用」,同樣給予1~4的評價。

表一:資產評價說明

評價

機密性

完整性

可用性

1

公開,可對外界公布

資訊被竄改後對資產無害

資訊需要使用時,在24小時內需提供

2

一般,公司內部使用

資訊被竄改後對資產輕微損害

資訊需要使用時,在8小時內需提供

3

敏感,相關職務需要才能得知

資訊被竄改後對資產中度損害

資訊需要使用時,在4小時內需提供

4

機密,僅少數特定人士得知

資訊被竄改後對資產嚴重損害

資訊需要使用時,在2小時內需提供


在完成了資產、威脅與弱點評價之後,就可計算出各項資產現有的風險值,並可依風險值的高低,賦予風險等級,例如風險等級A為48~64、風險等級B為32~47、風險等級C為16~31、風險等級D為1~15。最後,企業的管理階層則要決定能夠接受的風險等級,假設為D的話,那麼只要是屬於風險等級ABC的資產,都是我們必須要去做風險處理的對象。表二是一個虛擬範例,僅供參考。

表二:各項資產之風險等級

資產類別

資產
名稱

威脅項目

弱點項目

資產價值

威脅機率

弱點等級

風險值

風險
等級

人員

資料備份人員

作業疏失

訓練不足

4

2

4

32

B

軟體

網站伺服器

駭客攻擊

未更新修補檔

3

4

4

48

A

硬體

網域伺服器

硬體故障

監控不周

3

2

3

18

C

---

---

---

---

--

--

--

--

--


小結

風險管理是一個持續性的過程,舉凡企業內部的組織變更、作業流程改變、資訊資產的變更,或是有重大的資安事件發生之後,都必須要重新進行風險分析和風險評估,以期能夠識別新的風險,才可及早採取適當的風險控制措施,降低可能的資安事件發生,下一次將會為你說明風險處理的相關做法。(本文刊載於2009年2月號網管人雜誌)

2009年12月28日 星期一

[觀點] 回顧過去,展望未來 - 資安工作重點提醒

面對全球不景氣的年代,隨著新的一年開始,究竟資安工作該如何加以落實與推動,將是一個值得重新思考的問題,尤其是在缺錢又缺人的情況下,企業該如何維持資訊安全的水準,同時達到預先設定的目標,本文所提出的建議可作為參考。

2008年底的金融海嘯,嚴重打擊了世界各國的經濟發展,也連帶使得台灣的失業人口數,因此一舉而突破了五十萬人,到底哪些企業在這一波海嘯中受害最深呢?從媒體的報導中看來,高科技製造業與金融產業應該佔了排行榜中的前二名,而無薪假的實施,更是這些科技新貴萬萬沒有想到的景況。不過,卻有一則新聞是讓人感到欣慰的,那就是在資訊安全方面,受創很深的金融業並沒有因此而減緩腳步,根據資策會MIC的調查指出,「強化資訊安全能力」仍是2009年金融業最重要的投資項目,而另外三項重點工作,包括「法規遵循需求」,「強化災難備援能力」、「提升風險控管能力」,事實上也都和資訊安全工作息息相關。

資安威脅的趨勢發展

個人認為,今日資訊部門有一項重要的任務,就是要確保企業發展必要的關鍵業務,能夠藉由資訊系統的協助而順暢運作,換句話說,如何去確保資訊系統的可用性,即是資訊安全重要的工作之一。因此,回顧過去的資安趨勢發展,可看出資訊安全已從風險管理的角度,演變成為在資安事件發生時,如何使企業能夠持續營運,這也代表著資訊安全、風險控管與災難備援,已具有密不可分的關係。

舉例來說,以往企業透過了風險管理的過程,即可鑑別出資訊安全方面可能的威脅與弱點,然後就能導入適當的控制措施,以降低所面臨的資安風險。可是,若萬一還是不幸發生了資安事件,那麼需要思考的角度就必須轉換成為如何在災難發生前,事先擬好各項應對的劇本,以便一旦災難真的發生時,就可以照著劇本的步驟來進行緊急應變,確保能夠在最短的時間內,盡快恢復企業的正常營運,並將對業務活動可能造成的營運衝擊傷害降至最低。

根據個人的觀察,病毒、蠕蟲與木馬等惡意程式,仍是讓目前大多數企業感到最為頭痛的資安威脅,尤其當惡意程式開始肆虐的時候,不只將造成企業的生產力降低,同時也讓資訊與網管人員疲於奔命,更嚴重的甚至會導致企業業務停擺,或是造成機敏資訊的外洩,這些都會是企業難以忍受的狀況,也應該列為優先預防及因應的目標。

資料與網站安全仍受關注

在新的一年,除了惡意程式之外,資料安全與網站安全也仍是資安的兩大主要議題。所謂的資料安全包括像是內部非法存取,行動裝置失竊和儲存媒體遺失等;而網站安全則包括網站主機系統強化、應用程式漏洞修補、網頁應用層防火牆部署等相關工作。

所以,針對資料安全我們該如何來因應呢,首先企業要識別的就是有哪些資料是需要受保護的?接著是這些資料究竟存放在哪裡?還有誰是資料的擁有者和使用者?唯有了解資料的所在位置與從屬的對應關係,我們才能進一步決定,應該要選擇何種控管措施。例如針對檔案伺服器,我們可以進行存取權限的審查與控管,而針對儲存資料的媒體如磁帶等,我們可以選擇以加密的方式來進行資料的保護,當它需要運送至異地存放時,也要選擇適當的保全方法。因此,建議大家可先從管理面的角度來出發思考,再根據本身實際的需求考量,就可以幫助我們更容易判斷應該導入哪一種資安控制技術。

除了確保資料安全無虞之外,截至目前為止,每天仍有許多網站不斷受到駭客入侵,當正牌網站被植入了惡意連結之後,同時也轉變成為危害一般民眾的幫兇。較令人憂心的是,對於有些企業或組織來說,網站遭到入侵仍是漠不關心的一件小事,即使得知自家的網站已被成功入侵,管理人員也不願或沒有採取任何的修補措施。因此,一般使用者必須要尋求自保之道,例如像是更新作業系統的修補檔、安裝最新的防毒軟體和病毒碼、安裝反間諜軟體等,這些已是使用者必要的基本配備,而留意已遭入侵的網站資料,避免連上這些已經淪陷的網站,也是降低感染惡意程式的好做法。

但是對於企業而言,資安人員除了協助使用者採行以上這些措施,還有一項技術是可以考慮導入的,那就是建置具備網頁過濾功能的Gateway端設備,此一裝置除了可阻擋內部使用者連線至惡意網址之外,對於釣魚網站的預防和非正當網頁的瀏覽,以及像是即時通訊軟體的傳送檔案管制,都可以收到不錯的管理效用,也能為資料內容安全做了一層更深的把關。

資安工作的重點提醒

以上的觀察與建議,除了提供給資安相關人員作為參考之外,還有幾項重點工作的提醒,也是未來可以規劃及運作的方向,分別說明如下:
  1. 進行資安解決方案的整合 - 為了確保資料不會遭到外洩,透過資安方案的整合,可以從端點安全開始,即針對重要的使用者電腦進行檔案加密,同時進行週邊設備控管;如果使用者經常需要存取內部的應用系統,可再藉由網路存取控管機制,當電腦一連接到網路,就馬上對它進行身份認證及系統安全掃瞄,在確認使用者電腦所安裝的軟體都已經更新,並且符合所設定資安政策的要求之後,才允許它連上企業內部網路。
  2. 資安管理仍是一帖良方 - 據了解,政府相關的B級單位,最遲須在2009年底通過ISO27001驗證,因此導入有效的資訊安全管理系統(ISMS),已是刻不容緩的工作。個人建議既然要做,就不可將拿到證書當作唯一目的,應該要抱著加強單位資安的心態來進行,因此在導入範圍的選擇上面,千萬不可避重就輕,仍要以關鍵的營運或服務系統為對象。
  3. 加強資安專才訓練 - 政府及民間企業的資安人力不足,仍是一項迫切需要改善的問題,根據資策會MIC在「台灣金融業資安投資現況與展望」調查報告中指出,以台灣的金融業為例,平均每一名資安人力,就需要負責221.4台電腦的資安工作,而1000人以上之金融業,每名資安人力更需要負責高達560.4位的員工。在這麼繁重的工作底下,非常需要專業的資安人員,並且要授權讓他們運用適當的工具,才能達到事半功倍的管理功效。
  4. 注意個資法的動態 - 未來一旦您所處的行業納入了新修正個人資料保護法中的規範,也就表示盡力保護儲存於企業中的個人資料,已是法律要求的必要做法。因此,企業若還是輕忽了個人資料的機密性,而將個人資料輕易地洩露出去,就必須接受法律所規範的罰則制裁,所以建議資安相關人員,請務必以「個人資料保護法」去Google一下,應該可獲得蠻多的資訊,可作為日後因應的參考。
隨著大環境的景氣不佳,許多企業單位皆進行組織整併或人事凍結,原來事多人少的資安工作,在此時此刻更顯得雪上加霜,不過,資安工作是一個持續性的過程,即使在景氣不佳的時候,其實也正是可以進行內部反省與檢討的時刻,因為既然花錢的事不太好說服老闆進行,但是檢討資安政策、落實資安規範、進行員工資安教育訓練,卻正是最好的運作時機,而所有資安工作的推動,仍有賴所有相關人員的共同努力,就讓我們彼此互相打氣加油!(本文刊載於2009年1月號網管人雜誌)

2009年12月21日 星期一

[專題] 電子商務資訊安全與法規遵循

網際網路的盛行,大幅擴展了資訊交換的領域,也改變了傳統的商業交易模式,對於現代企業而言,透過網路即可整合成一個上下游的供應鍊,能夠隨時採購所需要的各式原料與貨品;而對消費者來說,若是想要購買各種商品,已經不再需要攜帶現金跨出家門,也不需要在大賣場裡盲目地尋找想要購買的物品,更不需要一家一家去進行比價,花費太多力氣和時間來找出最值得購入的超值商品。

事實上,今天的消費者只要打開家裡的電腦,輕輕移動滑鼠連上網路,就可以連結販賣各種商品的網路商店,而且還可藉由商品比價的服務,輕鬆地找到想要購買的物品,然後把它們統統放到虛擬的購物車之中。一旦完成選購之後,接著只要按下「結帳」按鈕,再輸入商品送貨的地址和收件人資訊,透過信用卡來直接進行線上交易,短短幾十秒的時間內就可完成購物,有些物品甚至保證在24小時內就可送達顧客手中,若超過遞送時間的話,還會送上補償的現金折價卷,真是方便到令人難以想像。

不過,伴隨著「方便」而來的另一面,往往就會產生所謂的「安全」問題,因為消費者只要憑著信用卡號就能購買商品,那麼,商家要如何確保信用卡號不會在交易過程中被盜用,而造成個人的財務損失?如何去確保這些牽涉到金融交易的資訊,不會輕易落入惡意的第三者手中(例如駭客和公司內非經授權的員工),而被用來從事非法的行為,這些都是提供電子商務和線上交易的業者,必須要認真去面對的問題。

電子商務面臨的安全威脅

根據媒體的報導,從2007年下半年起,因為網路購物資料外洩導致的詐欺案件,已經成為詐騙手法的主流,每月發生件數佔各類詐騙案件的三分之一,警方指出,這些詐騙集團看準了時下年輕人大量使用網路購物,所以經常假借拍賣網站或網購平台業者名義,假冒網購服務人員來行騙。

回顧過去,有關信用交易和線上交易所發生的個人資料外洩事件,在國內外都時有所聞,例如:
  • 2005年6月,美國CardSystems電子付款資料處理公司,因為遭到駭客入侵被植入了惡意程式,導致4000萬筆交易帳戶資料外洩,成為當時規模最大的個人資料外洩事件。
  • 2005年7月開始,美國零售業者TJX公司,至少有一年半的時間,由於無線網路遭到駭客入侵,惡意人士可自由地進入TJX的資料庫,偷偷地盜取客戶的交易資料,造成了4,500萬筆以上的客戶信用卡資料外洩,損失所及包括後續遭到盜刷的各家發卡銀行。
  • 2007年1月,雅虎日本(Yahoo Japan)拍賣網站,出現了大量使用台灣信用卡卡號的異常消費,這些卡號都是事先被人側錄下來,然後集體在雅虎日本拍賣網站上盜刷,發卡單位包括了台灣數家知名銀行業者,約有數千名卡友被波及。
  • 2007年6月,歐洲更發生了大規模的網站遭受駭客入侵、竄改網頁程式碼的事件,受到影響的網站超過了一萬個,其中絕大多數是屬於旅遊、飯店、汽車製造與影音娛樂類等網站;同時間,全台灣也有984個網站被植入了惡意程式碼,包括了汽車、體育、商業和學術機構等網站,民眾只要瀏覽了這些被入侵的網站,就有可能不知不覺被安裝了木馬程式或病毒等惡意程式,竊取個人隱私資料。
  • 2007年12月,國內有八家購物和網路線上遊戲業者,疑似被竊取會員交易資料之後,再轉向購物網站會員進行詐騙,歹徒會以電話清楚告知被害人過去購物的內容明細,再謊稱因為作業疏忽誤將付款方式勾選為分期付款,進而要求消費者至ATM操作以便更正,誘使消費者不小心轉帳上當,預估被害人達五千多人;同時間,某知名線上購物平台業者,受到來自大陸的惡意入侵攻擊,在很短的時間內,被人大量地進行會員資料比對,不斷嚐試破解會員帳號密碼,藉此來取得進入會員登錄資料,有5400筆帳號和密碼因此被比對成功而外洩。
  • 2008年4月,某知名化妝品網站,也傳出會員帳號、密碼疑似遭到歹徒入侵破解,共有70多位會員資料外洩而被詐騙集團利用,要求會員需至ATM提款機前操作,以便更改已付款的訂單,暗中再趁機轉出存款。
以上的資訊安全事件,都是經由媒體所披露出來的,事實上,這些很可能只是冰山的一角而已,還有許多的電子商務業者,對於網站的安全,仍然沒有很好的防護措施,即使被惡意人士入侵竊取了資料,也還是一無所悉,受害的都是那些信用卡號和個人資料遭盜用的消費者而已。當然,也有許多業者,積極地想要加強電子商務的資訊安全,以維護網站的聲譽和消費者的權益,但是卻不知該從何作起,對於這些有心的業者,個人的建議是,不妨參考國際通用的資訊安全法規,從中去挑選適合自己營業項目型態的條款,從這些基本的安全要求開始做起。

認識資訊安全相關法規

對於電子商務業者而言,參考國際法規的規範要求,對於資訊安全防護工作將有莫大的幫助,事實上,有許多法規也已成為各個產業必須確實遵守的法律要求,如果沒有符合法規的規範,企業的負責人很可能會面臨法律刑責與罰款的處罰。

針對目前國際上與資安有關的法規,簡要說明如下:
  1. 美國Sarbanes-Oxley Act沙賓法案 - 要求美國公開上市公司必須做好內稽內控的資安工作,確保財報之正確及有效性,適用對象只限於在美國掛牌上市的企業,以及美國企業赴海外設立的分支機構及子公司,若是重要營運資訊遭到竊改或公佈,造成市場重大影響,將處以100萬美元或是對負責人處以20年以上刑期。
  2. 美國Gramm Leach Bliley Act (GLBA)金融服務法案 - 要求相關金融產業必須保障個人金融資訊隱私,確保資料的機密性、完整性,避免資訊遭到未經授權的存取與誤用,違反者將處1萬美元罰款,其目的在於提供審慎服務架構,考量銀行、證券商、保險公司及其他金融服務業的健全經營,全面提升金融服務業之競爭力。
  3. 美國Healthcare Information Portability and Accountability Act (HIPPA)法案 - 明文要求所有處理或持有健康醫療相關資訊的組織,都必須遵守「保護病患個人資料」的安全性規定。要求相關單位之醫療照護必須要確保個人醫療資訊的安全,具備良好的存取控制措施,並確保資訊在傳輸、處理、儲存過程中不會被竊取或竄改,未遵守者將處五萬美元罰款和一年徒刑。
  4. California Senate Bill 1386法令 - 要求企業在發生資料外洩事件時,必須要通知企業員工、顧客及可能受到侵害的個人,避免掩蓋事件而造成更大的傷害。
  5. Payment Card Industry(PCI)資料安全標準 - 由各家支付卡業者所發起,主要是針對個人的信用卡相關資料,要求銀行必須實行嚴謹的安全控管措施,以保護信用卡持卡人的資料安全。
除了法規之外,目前國際上通用的資訊安全管理標準ISO 27000系列,則是國際認可的資訊安全管理標準,標準內容主要分為兩個部份,ISO 27001是規範建立實施資訊安全系統的方式和文件化的要求,以確保資訊安全系統能夠有效的運作,並且可作為資訊安全管理系統的驗證標準,在全球已有超過4000個組織通過驗證,台灣目前有181個組織取得證書,位居全球第4位。

至於ISO 27002(前身為ISO 17799)則是資訊安全管理作業要點,內容涵蓋了11個章節以及133個安全控制措施,可作為建立一個標準的資訊安全管理系統的參考,管理人員在建立資訊安全管理系統時,建議可參照這個標準來進行。

在ISO 27001標準中提到,「確保資訊安全是一個管理過程,而不是一項技術導入過程,它是為了確保資訊安全所實行的各項措施,能夠有效保護資訊不會受到各種威脅,以使企業能夠持續營運,並且將可能受到的損失降至最低。」所以,維護資訊安全並不單只是資訊人員的責任,而是必須提高層級由企業組織的管理階層做出承諾,要求成為所有人員必須遵守的規範,也唯有人員都具備了資訊安全的警覺與防護知識,才能降低發生資訊安全事件的可能。

PCI DSS資料安全標準介紹

以上所介紹的資訊安全法規中,個人認為PCI DSS是電子商務業者可以參考的最佳指引,PCI DSS是由American Express、Discover Financial Services、JCB、MasterCard Worldwide、Visa International等五家知名的電子付款與信用卡業者所共同組成的PCI Security Standards Council組織所制定,要求所有提供信用卡服務的商店,和支付款有關的業者,在儲存、處理與傳遞持卡人資料時,必須要有符合標準要求的安全控制措施。

此一提供給全球產業共同遵守的資料安全標準,雖然主要是用來保護信用卡持卡人的資料,但其目的就是為了要保護個人敏感資訊,以確保電子商務的交易安全。因此,對於提供線上交易的業者而言,主動落實PCI DSS中所明訂的各項要求,將可有效保護網站交易的各項資料。

本文所參考的的版本是在2006年9月發佈的PCI DSS 1.1(2009/3/31已更新為1.2),一共分為6大目標和12項基本要求,內容涵蓋了技術、政策和程序,這些要求可用來審視業者的安全機制,用以保障持卡人的帳戶及交易資料安全。條文的要求內容說明如下:

(一) 建立並維護一個安全的網路
要求1:安裝並維護良好的防火牆配置,以保護持卡人的資料。
要求2:不使用設備出廠的預設值,例如管理密碼和其他安全參數


(二) 保護持卡人資料
要求3:必須妥善保護儲存的持卡人資料。
要求4:透過公共網路所傳送的持卡人敏感資料,必須加密。


(三) 維護一個弱點管理系統
要求5:安裝防毒軟體,並經常更新程式和病毒碼。
要求6:發展及維護安全的系統和應用程式。


(四) 實施強有力的安全存取控制措施
要求7:依據業務需求,限制對於持卡人資料的存取。
要求8:對於進行資訊存取的個人,只賦予一個唯一識別碼。
要求9:限制持卡人資料的實體存取。


(五) 定期監控並測試網路
要求10:追蹤並監控存取各項網路資源和持卡人資料的過程。
要求11:定期測試系統安全與流程。


(六) 維持一個資訊安全政策
要求12:實施並維護一個資訊安全政策。

PCI DSS對電子商務安全的要求

PCI DSS標準所要求的對象是支付卡相關產業,目的是為了要保護電子商務交易的資料安全,企業若想要達到PCI DSS標準的要求,必須依照營運規模或每年的交易筆數,透過自我評核問卷 (Self-Assessment Questionnaire)、弱點掃描(Vulnerability scan)和實地稽核(Onsite review)等三種方式來進行認證,以下說明各項要求中應該注意的重點事項:
  • 要求1:在要求1中,業者必須要建立起防火牆的配置標準,像是防火牆的建置拓樸圖、防火牆規則的建置說明以及DMZ區中的安全設定與網段區隔。基本上,除了必須的網路協定之外,其它不必要的網路服務與通訊埠皆不應開放,而且只要是含有儲存持卡人資料的系統,它和公用伺服器之間的任何連線,都必須建立起防火牆來加以區隔,並且藉由實施IP偽裝的機制(NAT)來避免內部主機位址暴露在網際網路上,以限制任何儲存敏感資訊的系統可以被外部公開地存取。
  • 要求2:業者若是透過供應商來安裝各式系統和網路元件,例如防火牆、路由器、無線網路基地台等,應該修改系統管理的預設值,並且針對所有的管理連線進行加密,以避免駭客直接以系統預設帳號及密碼,繞過防線直接危害到管理系統。另外,若是自行開發各項延伸的系統元件,應採取業界建議的安全開發配置標準。
  • 要求3:針對網站儲存的持卡人資料,業者應該秉持保留最少數據的原則,並且制定一個資料處理與儲存程序,來做好持卡人資料的控管。例如,若需要顯示持卡人主要帳號資料時,應採用前六或後四碼的隱蔽措施,如果需要將主要帳號資料儲存的話,也需要採取加密方式來確保資料不會任意被讀取。在實施了加密之後,用來加密持卡人的金鑰就成為重要關鍵,所以還要制定金鑰的管理流程和程序,來確保金鑰不會被洩露和濫用。
  • 要求4:若敏感資料需要透過公共網路來傳送,務必要採用強度難以破解的加密演算法和安全協定,以避免資料在傳遞的過程中遭到破解與竄改。因此,網站必須提供像SSL/TLS或IPSec等安全傳輸協定,並且針對所傳輸的資料進行加密。
  • 要求5:所有和持卡人資料有關的系統,都應該安裝防毒軟體,並且經常更新病毒碼,在防毒軟體的選擇上,建議最好同時具備防木馬與間諜程式的偵測功能。另外,更要確保所有的防毒措施都能及時更新,並且產生可供日後稽核的事件日誌。
  • 要求6:網站的主機系統和應用程式,應該在由供應商發佈修補檔的一個月內進行安裝更新,管理者可以用訂閱方式來接收最新發現的安全弱點。若是自行開發的應用程式,應該採行業界的最佳實務如Security Development Life Cycle(SDLC),將資訊安全與整個軟體發展生命週期相結合,而且要基於安全的程式編碼原則,以確保所有應用程式不會有已知的安全弱點,並且能抵禦已知的惡意攻擊。如果系統和軟體的配置需要更新或修改的話,也要事先取得管理階層的授權,依照所制定的變更控制流程來進行。
  • 要求7:在存取控制措施方面,只能允許工作上有需要的個人來存取電腦資源和持卡人資訊,也就是依據「僅知原則(need to know)」,除非有獲得授權許可,否則應該拒絕所有的存取行為。
  • 要求8:針對存取資料的使用者,必須賦予一個唯一的帳號,才能允許其存取和持卡人有關的資料,這樣做的目的在於一旦發生的非法事件,才能追溯相關責任。而針對採用遠端網路存取的員工或第三方合作廠商,也必須採用雙因素身份認證機制,也就是除了採用帳號和密碼之外,還需要使用如Token、憑證、或生物特徵(指紋)等方式來識別連線的使用者。PCI DSS要求,只要是在系統中需要使用的密碼,無論是儲存或傳輸,進行加密是必要的安全措施。
  • 要求9:針對持卡人資料的實體存取行為,必須採用監視系統和門禁管理等適當的控制措施,而針對所有含有持卡人資料的紙類或電子媒體,都應存放在安全的地點,並採行實體安全保護,無論是內部或外部,含有持卡人的資料都應該限制發送,而且儲存持卡人資料的媒體在離開安全區域之前,也都需要經過管理階層的核准才能放行,一旦含有持卡人資料的媒體不再需要保留時,也要按照一定的安全程序進行徹底銷毀。而針對員工與訪客,也必須有一套流程,像是採用訪客識別證或通行卡,確保對所有訪客都能被有效管理,在訪客來訪期間的日誌記錄,至少需保存三個月以上,以確保訪客的活動能夠被稽核。
  • 要求10:對於和持卡人資料有關的所有存取行為,必須建立一個識別程序,來記錄追蹤存取事件,所記錄的內容應包括使用者ID、事件類型、日期時間、成功或失敗、事件來源、受影響的資料、系統元件或資源的ID或名稱。對於這些事件,管理者應每天進行審查,並且妥善保護稽核軌跡,以防止日誌遭到竄改,所有的稽核記錄應至少保持一年。
  • 要求11:針對各項的安全控管措施,每年應定期實施測試,以確保控制的有效性,每季也至少進行一次內部和外部的網路弱點掃瞄,尤其是在網路發生重大變更之後也要執行一次。針對可疑的入侵事件,應建立警示和通報的機制,一旦發現網路或主機遭到入侵,或是關鍵系統或檔案被非授權的更改,都要能夠及時通報相關的人員。
  • 要求12:業者應建立、發佈、維護和宣傳一個資訊安全政策,並確保所有員工和合作夥伴,都能明瞭相關資訊安全的責任。在人員管理方面,對於待聘員工應進行背景資料的查核,對新進員工則應實施有關資訊安全意識的宣導,使所有員工都能了解保護資料的重要性,藉此將來自內部的資料外洩風險降至最低。如果不幸發生了資料外洩事件,業者應依照事先建立的事件回應計劃來處理,針對所有合作的供應商夥伴,在合約中也應該註明各項安全要求。
預先做好電子商務安全防護

電子商務業者除了參考PCI DSS標準的要求,來加強各項安全控制措施之外,在網站與資料安全管理方面也是相當重要的,尤其是一旦發現資料有可能遭到竊取而外洩時,就應該在第一時間內通知消費者,並盡快進行後續的補救措施,以避免事件一發不可收拾,而造成更大的損失。

另外,隨著新的弱點與攻擊手法不斷出現,業者必須要求系統接受定期的安全測試,以確保安全性不會隨著時間或是因軟體變更的關係而受到影響。換句話說,業者務必要定期進行安全稽核工作,以確保系統可能的漏洞都已修補,並且合乎本身所制定的資訊安全政策,至於資料本身,則要設定追蹤監控機制,以了解到底是誰在什麼時間、地點,存取了哪些資料。

最後,電子商務業者務必要建立一個有效的資訊安全政策,所謂的有效性是指唯有透過管理高層的正式發佈與重視,才能讓所有員工了解資訊安全的重要性,並且明白必須承擔的相關責任,這樣才有可能真正地落實資訊安全的各項工作。(本文刊載於2008工商時報電子資訊工業年鑑)

<參考資料>
1. PCI Security Standards Council網站
2. VISA的帳戶資料安全計劃

2009年12月8日 星期二

[專題] 資訊安全委外服務之分析探討

資訊安全的重要性,在今日的企業中佔有舉足輕重的地位,無論是市場情報收集、產品研發資訊、業務交易與財務資訊,對於企業的營運都是重要的關鍵因素之一。根據資策會MIC的調查指出,層出不窮的資料外洩事件,使得企業必須強化對於法規的遵循意識,也使得對於敏感資訊的管理,受到更嚴格的要求,因為一旦企業重要的資訊遭到不當洩露,不僅會直接影響企業的聲譽,很可能對於企業的經營與市場造成重大的影響。

目前不只是大型企業,包括中小型企業對於資訊安全與營運的重視度也不斷提升,如何去確保資訊的安全,已成為管理階層必須要去重視的課題。只是,資訊安全牽涉的層面很廣,不管是從管理面來建立資訊安全管理制度,到技術面的防禦機制與控制措施部署,都需要專業且專責的人才來協助,由於企業目前仍普遍缺乏資安專業人才來規劃執行各項資安工作,所以若把資安工作委由專業的資安服務廠商來協助,將是企業兼顧成本與效益的良好選擇。

資安委外服務的發展趨勢

根據資策會MIC的研究顯示,全球的資安市場以每年平均15%的速度穩定成長,其中資訊安全服務的市佔率已逐年增加,預計在2009年將會突破五成。以日本為例,目前由資安委外服務業者所提供的服務已非常地多樣化,包括了防火牆代管的應用管理服務、代管入侵偵測系統的不當存取監視服務,以及防毒軟體的病毒監視服務等。

現今企業所面臨的安全威脅日益複雜,加上政府對於資訊安全的要求,以及與民間業者共同合作的努力推廣,使得整個資安市場的熱度持續加溫,尤其是大型企業隨著經營規模與事業版圖的擴大,更要受到國外標準法規的要求規範。因此,針對資訊安全的實施運作更有迫切性需求,要如何進行適當的資源分配與管理,就需要專業的資訊安全業者來予以協助。

近年來,「資安即服務(Security-as-a-Service)」的風潮也開始興起,Gartner於2007年11月的研究指出,預估一直到2012年為止,全球Security-as-a-Service的市場規模,平均每年將有30%的高成長率。而Security-as-a-Service本身的優勢即在於能夠節省成本,並且加速建置的時程,因此對於需要對抗混合式資安威脅的企業,剛好能夠提供即時的協助,並且簡化整個資安產品購買、安裝、建置與管理的流程。

資安委外服務的範疇

一般而言,資訊系統相關的工作範圍很廣,並非所有工作都可採取委外方式來進行。基本上,大多數和資訊有關的委外工作都會傾向於非核心和非關鍵的系統為主,因此,在資訊安全委外方面,可能的項目包括:
  • 產品建置維護服務 - 針對企業所購置的資安設備,像是防火牆、防毒牆、入侵偵測與入侵防禦系統等,由產品供應商依照購買時的合約規範,提供各項售後服務,即使在保固期滿之後,仍可繼續與服務廠商簽署定期維護合約,以維持資安產品的各項功能都可正常運作。
  • 資安顧問服務 - 主要針對資訊安全管理方面,提供專業的顧問諮詢服務,例如資安法規遵循問題、ISO 27001資訊安全管理系統標準導入,以及員工的資安教育訓練等。
  • 資安事件監控 - 藉由服務業者所建置的資訊安全監控中心,可即時收集企業端的各項資安設備所產生的記錄檔,並且監控系統與網路上的各種活動,來提供異常事件診斷服務和資安事故應變處理,並定期產生各項安全統計報告,以協助企業內的管理人員來維持網路的正常運作,確保資訊的安全。
所以,從技術面的資安基礎建設的建置維護、產品的組態設定與參數調整、系統安全性監控、資安事件的處理與清除復原等,到管理面的資安政策諮詢、資安管理系統(ISMS)導入和資安教育訓練等,這些都包括在資安委外的服務範圍之內。

資安委外服務應注意事項

根據政府的資訊作業委外安全參考指引中指出,「針對各項委外作業,應建立事前規劃、事中招標和事後執行維運機制,將相關的規劃服務納入合約中,以確保各項服務之延續。而且為了提高資訊安全服務品質,應該將資訊安全計劃列為委外的必要工作項目,並且要求廠商必須依照主管機關所訂定的標準或規範來執行,提出可行的建議方案,才可確保委外作業的安全。」

此外,在進行資訊安全委外服務時,必須要求承包廠商遵守相關的法令規定,像是針對個人資料的部份,若涉及資料外洩等違法事件時,需依個人資料保護法中的相關法令來處理。換句話說,當企業與委外服務業者簽訂合約時,就應該在合約中註明,承包商在處理各項企業敏感資訊時,必須負有保護資料安全的責任與義務,若違反合約中所註明的各項要求,相關人員要負責相關的損害賠償及法律責任。

當企業在評選資安服務業者時,也要針對業者的各項專業資格進行審查,例如要求參與資安委外服務專案的相關人員,必須具備國際認可的資安專業證照如資訊系統安全專家認證(CISSP),或是要求業者本身需通過ISO 27001資訊安全管理系統的驗證。另外,在資安委外時亦可要求承包廠商不得再將專案外包,以避免來自其他無法控管的專案風險。

簽署資安服務水準協定

基本上,針對委外服務業者的服務品質,企業想要提出各項要求與規範,就需要有文件化的明確說明與指標,才能確保委外服務業者能夠提供一定的服務水準,而這部份就牽涉到要如何去建立一個雙方共同認可,並且可接受的服務水準協定(Service-Level Agreement;SLA)。因此,針對資安的委外服務規範,可以參考以下要點來作為執行時的依據,例如:
  • 服務時間
  • 事件回應速度
  • 系統可用率
  • 異常事件處理程序
  • 稽核作業
所謂的服務水準協定,即是指企業與委外服務業者彼此所認可的規範,其目的在於清楚描述委外服務業者所能提供的各項服務和企業所能接受的服務期望,所以它牽涉的範圍其實相當的廣泛,包括委外服務業者的工作責任、必要的保密安全機制、到場支援服務的時間,以及若業者造反服務水準之後所該採取的罰則等,另外可能還會有雙方個別的特殊約定,這些都需要包括在彼此所簽署的服務水準協定之中。

以網站弱點掃瞄服務為例,在服務水準協定中,即可明確要求每季必須執行一次稽核掃瞄,由服務業者至企業內部或外部針對網站伺服器進行弱點偵測,在掃瞄完成之後,再由擁有資安認證的專業人員進行報告解讀,說明目前網站應用系統所存在的弱點等級,並提出建議及改善的方法。另外,若企業或委外服務業者任何一方想要提出終止服務時,應依照合約的規範,將後續工作移交給企業本身,或是交接給後續承包廠商,這些也都務必要求在一定的期限內,以順利完成移轉或中止動作。

如何評估資安服務廠商

隨著駭客攻擊的手法日新月異,企業該如何去維護本身的資訊安全,確保企業的永續經營,都不斷地考驗著管理者的決心,為了降低企業的營運成本並提高效率,選擇將資訊安全交由專業的委外廠商協助,藉助外部專家的專業能力與資源,不失為一種提升應變能力的管理辦法。不過,要如何去選擇資安委外服務廠商,建議必須考量到以下幾個重點:
  1. 市場口碑 - 資安委外服務是一項長期互相配合的工作,因此選擇資安委外服務廠商時,務必選擇在市場上具一定的口碑名聲,擁有專業的人才與技術團隊,才可確保所提供的服務品質。
  2. 專業認證 - 選擇資安委外服務業者,應選擇通過政府認可或國際標準如ISO 27001驗證通過的公司,才能有效確保在資外服務作業時的資訊保密相關工作。
  3. 技術完整 - 資安工作層面廣泛,更牽涉到一定的專業技術,以及所採用的工具產品,企業可要求相關的資安產品均為知名品牌,並且要求服務業者需出示產品的原廠許可,或要求技術人員具備原廠所頒發的專業證照。
資安服務業者的機會與挑戰

依據個人的觀察,台灣的資安委外服務市場雖然一直存在,但卻沒有呈現大幅度的成長,推測其可能原因在於市場的實際需求並沒有很迫切,尤其是缺少國內相關資安法規的要求。尤其對業者而言,除了建置資訊安全監控中心(SOC),提供資安事件管理服務外,其他的資安服務並沒有一個很完整的方案。

不過,資安服務仍然存在著可運作的機會,首先,許多國內的中小型企業,在資安人力方面嚴重不足,加上資訊安全涵蓋的層面非常廣,從管理制度的建置到技術面的佈署支援,單一企業組織很難完全靠一己之力來完成,勢必要尋求資安服務業者的協助。其次,目前許多企業對於資訊安全應變能力仍然不夠,尤其是在事件處理方面,會是資安服務業者能夠施力的地方,像是目前的SOC資安監控服務,在找出可疑事件的人、時、地、事之後,後續事件處理該交由「誰來做」、「怎麼做」,是否有完善的事件處理流程或是標準作業程序(SOP),將是未來資安服務業者可以思考的方向。

至於資安服務業者所面臨的挑戰,主要有以下三個:

第一,企業對於服務業者的信任度不足,一旦資安服務牽涉到企業的業務關鍵活動,在委外方面就會有很多層層的考量與要求,這方面需要花很多時間來協調溝通,讓企業能夠認同並對業者產生信任,才能夠接受所提供的服務。

第二,所謂的服務品質本身不易量測,雖然彼此可以簽署服務水準協定,依照協定的內容來執行,但是委外服務的品質,也牽涉到業者願意且能夠付出的人力物力成本,因此如何去量測有效的服務品質,提出適當的證明,將會是業者的一大挑戰。

第三,服務有價的觀念不足,也是推展資安委外服務的一大障礙。根據個人的觀察與經驗,目前在台灣市場,多半企業比較能夠接受的模式還是以購買資安產品附加資安服務的方式,比較不會考慮純粹購買所謂的「專業資安服務」;但是在國外,對於付費接受專業服務的觀念卻是相當普遍,這是國內外存在的一個很大差異性,更是資安服務的業者會碰到的實際問題,這方面可能還有待時間來蘊釀,才能進一步讓企業能夠認同服務價值並接受服務。

制定法規以推動資安委外服務

資安是需要長期推動的一項工作,個人認為法令的制定與相關產業規範要求,以及資安種子人才的培育,對於資安服務產業的發展將會有更好的影響。舉例來說,國外有許多像是沙賓法案、GLBA法案、HIPPA法案等法令,除了要求金融、政府、醫療和一般企業要更加重視資訊的安全之外,也間接促進了資安服務業者在法規遵循的技術能力改進和服務專業度,所以也才會有整個資安市場被重視的變化,進而帶動資安產業的蓬勃發展,只要政府推動適合國內的資安法規,業者便可依照法令規範來建立服務的SOP,推展各項協助企業的資安服務。

此外,對一個產業或企業而言,人才、技術與資金是推動資訊安全不可或缺的要素。目前,資安人才的獲得是一個很大的問題,像是國內各大專院校幾乎沒有和資訊安全相關的科系,即使有相關的資安學程,這些人員在畢業之後,還是需要2~3年實際的市場經驗才會逐漸成熟,如果一般的資訊人員甚至是資訊主管都沒有資安觀念的話,台灣的資安市場要發展也很困難,所以提升整體的資安意識也是目前迫不及待的重要工作。

最後,呼籲政府單位應該結合民間資安業者的力量,以有計畫的組織、具體扶植資安業者的作為,以及共同舉辦一些大型的資安宣導活動等,來引起社會大眾的重視與注意,企業才能選擇國內真正專業和成熟的資安業者,一起來為資訊安全工作努力推動和發聲,如此也可間接提升台灣在國際社會的資安貢獻度與國家競爭力。(本文刊載於2008工商時報電子資訊工業年鑑)

<參考資料>
1. 資策會資訊市場情報中心─資訊安全市場發展趨勢前瞻
2. 政府資訊作業委外安全參考指引

2009年12月3日 星期四

[專題] 網站面臨資安威脅的因應與挑戰

隨著Web 2.0的時代的來臨,許多網站都提供了更豐富多樣的互動式功能,像是部落格、討論區、留言板、影音播放,還有應用最新AJAX技術和Flash的即時動態網頁等,在這些功能的背後,最大的功臣來自於網站伺服主機與應用程式之間的相互運作,這也是提供使用者各項應用服務的重要關鍵。

一旦應用服務如果運作得宜,網站可以吸引大量人潮、激發商機,更達到傳播資訊的主要目的,但是萬一在網站主機與應用程式上出現了漏洞,又被惡意人士發現並加以利用,相對就會造成非常嚴重的問題,因為此時損害的將不只是網站經營管理者,廣大的一般網路使用者也都會深受其害。

近年來,網站惡意入侵事件不斷增加,日前歐洲即爆發大規模的網站遭到駭客入侵事件,根據資安業者的統計,當時受到影響的網站將近有一萬個左右;而根據Google的調查指出,全球平均每10個網站,就有一個網站曾經被入侵,台灣已知至少也有984個網站已遭到惡意的駭客入侵,還被評為全球惡意活動密度第二高的地區。

這些被入侵的網站,在網頁上多半被植入了惡意程式碼,使得上去瀏覽網頁的民眾,在無法察覺的情況下就被植入了木馬程式,更進一步造成個人的帳號與密碼等隱私資料外洩。

網站攻擊手法的演變

早期網站所面臨的攻擊威脅,大都是以針對網站伺服器的蠕蟲病毒和阻斷服務手法為主,像是聞名一時的Code Red紅色警戒病毒,它會自動去搜尋具有相同弱點的微軟IIS Server,找到之後就馬上進行感染動作並且植入木馬,受感染者也會繼續去攻擊別人,這種一傳十、十傳百的傳播特性,在很短的時間之內就造成了網路世界嚴重的災情。

然而,在大多數企業已佈署網路防火牆與入侵偵測系統,加上作業系統業者不斷推出安全修補檔之後,抵擋此一類型的攻擊行為的能力已經大幅提升。不過,隨著攻擊手法不斷的演進,單單依靠網路防火牆與入侵偵測系統等設備,已抵擋不了今日針對網路應用程式的攻擊,因為這一類型的攻擊,是採用合法的網路通訊協定與連接埠,經由防火牆所認可的正常連線管道進入網站,一般防火牆並無法辨識出所經過的網路流量內容,更別談可以看出其中是否夾帶著惡意的攻擊指令。

以往駭客入侵網站之後,最常使用的手法是採取置換網頁的方式,來顯示出其高超的入侵技巧,並未帶著強烈的破壞意圖,可是現在的惡意駭客,已經不再以此作為滿足,而是為了獲得更多的金錢利益,透過植入惡意程式的方法,讓瀏覽網站的使用者在不知情的狀況下安裝了木馬程式,進而去竊取個人隱私資料或是控制使用者電腦,以作為其他攻擊的跳板之用。

另外,針對提供網路應用服務的網站,像是網路銀行或具會員功能的網站等,多半則是遭受到所謂的「網路應用層攻擊」,也就是惡意駭客透過正常瀏覽網頁的連線方式,但是卻附加了惡意指令或參數,利用作業系統或是程式撰寫上的漏洞,來達成其入侵攻擊的目的。例如SQL Injection和Cross Site Scripting (XSS)等,一直都維持在最常見的十大網站攻擊手法的排名之內,這一類型的攻擊能夠成功,最主要的原因是來自於當初程式設計者,並沒有做好安全程式碼的檢測動作。

埋藏惡意威脅的正牌網站

過去,許多惡意人士常會利用大量散發的假冒銀行電子郵件,要求使用者點選信中的連結,連上冒牌的網站來更改帳號與密碼,藉此來騙取使用者的帳戶資料,使用者會不小心掉入這種網路釣魚的陷阱,通常是因為歹徒利用和正牌網站相近的網址,以及偽造一模一樣的網頁外觀,來讓使用者深信不疑,再加上信中所強調更改帳號與密碼的重要性,更讓使用者一時不察而點選連結,連至惡意駭客所建立的冒牌網站,落入詐騙的陷阱之內。

不過,目前新的駭客手法,已不再只是被動地等待使用者點選連結,而是直接入侵正牌的網站,在網頁中植入惡意的程式碼,當使用者一連上網站,惡意程式碼就會自動執行,然後下載木馬程式安裝至使用者的電腦中,這整個過程可說是神不知鬼不覺,這些木馬程式一旦啟動之後,就會偷偷記錄使用者的各項資料,像是信用卡號、線上遊戲帳號和密碼等,然後再回傳給散佈木馬程式的惡意駭客。

當正牌網站被植入了惡意程式,間接造成使用者受害,到底誰該負責任呢?對於網站經營者而言,由於表面上看不出有任何的損害,所以有許多經營者就加以漠視,也不願採取任何修正行動,進而造成更多人受害。但是對網路使用者來說,連結網站只是為了上去瀏覽網頁資訊,若因為經營者的疏忽而讓電腦被偷偷安裝了木馬、病毒等惡意程式,並且造成了個人的權益受損,這種情況一旦發生,相信是誰都無法接受的。

雖然目前國內仍沒有法令明訂因網頁被植入惡意程式,若造成了使用者的損失,網站經營者必須對使用者負起相關的賠償責任,但可以肯定的是,網站經營者務必要善盡管理維護之責,因為一旦被公佈成為惡意網站,就會損及企業或是組織的聲譽,更何況一昧的忽視只會讓更多的人受害,這也絕對違反企業組織的營運目標與政策。

管理不當是容易受駭的原因

網站容易遭受惡意駭客攻擊利用的原因,除了因為網頁伺服器本身所存在的軟體漏洞之外,絕大多數都是來自於管理不當,歸結出的主要原因如下:
  • 主機系統設定不當 - 系統管理人員直接使用預設的目錄路徑,或是採用太簡單或是預設的管理密碼,另外就是檔案的存取權限設定錯誤,使得歹徒有機可趁。
  • 系統漏洞未更新修補 - 由於系統管理人員疏忽,在作業系統業者發佈修正檔案之後,並沒有經常地更新系統修補檔,使得網站主機一直存在著既有的漏洞,讓惡意人士不費吹灰之力,即可透過破損的門窗而擅自登堂入室。
  • 應用程式碼撰寫不當 - 許多網站的應用程式,在開發時並未經過安全性的原始碼檢測,即正式啟用上線,因此一些常見的程式漏洞,像是未限制可輸入的字串,或是未檢查輸入的內容,都讓惡意駭客得以利用這項弱點,而順利執行惡意程式指令,取得網站資料庫的各項資料。
除了管理面的問題之外,目前網站也可能因為遭受零時差攻擊(Zero-Day Attack)而受害,所謂零時差攻擊是指一些已遭揭露的系統漏洞,在業者卻尚未推出修補程式的這段空窗期,惡意駭客即利用此項弱點來進行網站入侵,像是之前微軟的Windows動態游標(.ani)漏洞,即造成許多知名的電視台、大學、政府機構等,紛紛遭受攻擊而被植入病毒等惡意程式。

如何進行網站安全強化

想要降低網站遭受攻擊與植入惡意程式的風險,我們可以採取一些適當的安全控制措施,以避免可能遭受的惡意攻擊,例如:
  1. 導入應用程式安全開發流程(Security Development Life Cycle) - 建議程式開發人員,在應用程式開發初期即導入安全開發流程,從一開始的規劃、需求分析、系統設計、程式軟體到完成測試,務必做到安全性的要求,而不僅僅是應用程式的功能要求而已。過去,由於程式撰寫人員多數缺少安全的概念,所以導致程式出現安全上的漏洞,若藉由導入安全的開發流程,在各個階段都以安全作為驗證的要求,並且在應用程式正式上線前,再透過第三方的工具,來進行黑箱(Black box)與白箱(White box)的安全性測試,即可有效確保應用程式的安全。這裡所指的黑箱測試是使用Web應用程式掃瞄工具,模擬各種駭客可能的攻擊手法,來找出存在的安全性弱點,而白箱測試則是採取分析原始碼(Code review)的方式,來檢驗程式是否有撰寫上的問題。
  2. 建置網頁竄改即時還原機制 - 惡意駭客在入侵網站之後,會擅自修改網頁以插入一段惡意的程式碼,若企業或組織擁有網頁即時復原機制,可在網頁遭修改的第一時間內,將原始網頁還原回去,並且透過email或簡訊等方式,通知管理者網頁已經遭到更改,管理者便可以盡快地來予以處理。不過,網頁即時還原機制是治標不治本的工具,只能協助管理者針對事件即時反應,並無法根絕網站漏洞問題,管理者仍必須仔細檢驗並加強各項安全機制。
  3. 建置網路應用層防火牆:如果電子商務是企業的營運重心,那麼建置網路應用層防火層會是最好的選擇,因為它與一般的網路防火牆不同,可以針對網頁存取的流量進行深度檢測,也能夠即時阻擋隱含的惡意指令。另外,網路應用層防火牆還可以隱藏網站的敏感資訊,並且保護使用者輸入的個人隱私資訊,像是信用卡號和身份證字號等,對於每日有大量網頁存取連線,以及提供金融交易服務的企業組織,網路應用層防火牆除了可以發揮安全功能之外,對於高流量的網頁存取連線,也有加速以及負載平衡的功用。
  4. 建立資訊安全稽核機制:在應用程式上線提供網路服務之後,仍需要定期進行弱點掃瞄,並且針對已知的弱點進行修補動作,若企業或組織已在閘道端佈署了網路應用層防火牆,應針對所有的網路連線流量加以檢查監控,並且保存可疑的攻擊記錄,確保惡意攻擊能夠被阻檔,也可做為調整防禦對策與存取控製清單(Web ACL)的參考。在了解針對應用服務的攻擊風險之後,企業或組織也需要適時地調整資訊安全政策,定期分析各項記錄檔並進行資安稽核,以確保漏洞皆已被修補,降低可能遭受攻擊的風險。
總結

過去,大家都以為只有上一些非法網站像是賭博色情,或是下載安裝非法軟體,才有可能被植入木馬、病毒等惡意程式;如今,很可能只要上網查詢目前正在上映的電影,看看熱門的體育影片,或是瀏覽週末假日想要去旅遊的網頁資料,就有可能成為下一位受害者。

因此值得注意的是,這些埋藏著危險威脅因子的網站,已不再是以往被視為危險性較高的賭博或色情網站,而是一般使用者都會經常上去瀏覽,像是電影、音樂、汽車、旅遊和飯店網站,還有許多商業、媒體和學術機構網頁等。

換句話說,今日網站所面臨的各項威脅,已是所有網站經營者都需要去重視的課題,因為當網站本身未做好安全防護,受害的將不只是經營者的商譽與民眾的信心,如果網站本身還牽涉到金融與電子商務的交易,一旦出了差錯,企業還必須要承擔巨額的賠償與復原成本,更會成為一項重大的營運損失。

所以,與其在網站被入侵之後再來忙著亡羊補牢,倒不如事先未雨綢繆,確實做好各項網站安全防護工作,以降低資安問題發生的風險。(本文刊載於2007工商時報電子資訊工業年鑑)

2009年11月30日 星期一

[專題] 談網路鑑識與行為分析系統

人生在世,總難免要經歷各種疾病與意外的打擊,這是每個人都會面臨的生活風險,而在資訊網路化的時代,隨著企業的電腦一一連上了開放式的網際網路,也就代表企業已成為惡意人士潛在的攻擊對象,必須面對網路入侵與犯罪事件,所帶來的資安風險。

根據CSI/FBI 2006電腦犯罪與安全調查顯示,企業遭遇惡意攻擊的型態,除了電腦病毒感染以65%排名第一之外,內部不當網路存取與未授權資訊存取也各佔42%和32%。另外,調查中也指出,未來兩年最受重視的前十大資安議題,以資料保護與應用軟體弱點達到73%的比例最高。

由此可知,電腦病毒的感染與不當的資料存取,皆是透過網路這個管道而來,而資料透過網路洩漏的問題,更是企業相當重視的問題。為了降低各種惡意威脅與網路弱點所形成的資安風險,許多企業紛紛投資建置了防火牆、入侵偵測系統等安全設備,不過當企業發生了網路入侵事件,身為管理者的您,如何能在最短的時間內找出問題發生的原因?當企業發生資料洩密事件,老闆詢問您到底是誰、用了什麼方法、外洩了那些機密檔案時,如何能夠馬上找出答案?

入侵偵測系統的盲點

所謂「前事不忘,後事之師」,為了降低可能的風險與損失,企業必須懂得從過往的歷史教訓中,學習正確的防範方法,因此對於企業而言,從網路流量記錄來分析駭客的入侵攻擊手法,或是在網路攻擊或洩密事件發生之後,找出入侵和洩密的管道,並且保全數位證據來進行訴訟,是企業管理階層應該思考的方向。

目前企業所建置的入侵偵測系統,雖然可以依照特徵比對的方式,來警示網路攻擊事件的發生,但是一旦出現了新的病毒或是攻擊手法,在特徵資料庫尚未更新之前,網路仍存在著相當高的安全風險,而且也無法評估究竟有哪些系統已遭受到攻擊,更無法得知可能造成的損害範圍。

舉例而言,當年發生的Nimda病毒攻擊事件,在入侵偵側系統能夠辨識之前,就已經感染了為數眾多的企業網路,並且造成了企業營運中斷,估計損失高達上百萬美元。雖然當時的入侵偵測系統已發出可能危害安全的警報,但是在資訊不足的情況下,卻無法提供管理人員進行調查或即時處理的方法,也無法提供管理人員可用的分析工具,來確認遭受病毒攻擊的網路區段。

換句話說,即使入侵偵測系統在企業中扮演了重要的守門人角色,卻仍然無法提供更進一步的事件調查與事件還原工具,來找出資安事件發生的真正原因,尤其是面對愈來愈多駭客使用了混合式的攻擊手法,此時,唯有運用網路鑑識與行為分析系統(Network Intrusion Forensic System,NIFS),才可以藉由完整的網路使用過程記錄,運用科學化的分析方式將迷團一一地解開。

網路上的監視攝影機

談到安全問題,在傳統安控的設備方面,監視器一直是具有良好嚇阻性與記錄犯罪過程的利器,它能夠事先提醒歹徒不要輕舉妄動,更可以記錄所有監視範圍內的人事物。而網路鑑識與行為分析系統,就像是網路上的一台監視器,能夠針對所有的網路應用程式進行效能與流量進行分析,並且透過資料採擷的技術,快速精準地搜尋並重組關鍵的重要資訊。

不過,網路鑑識與行為分析的目的並不是為了要監視員工在網路上的一舉一動,或是想要侵犯員工的隱私權,而是希望藉由保留各項網路使用記錄,提醒員工以預防不當行為的發生。

由於網路鑑識與行為分析系統可以提供非入侵式(non-intrusive)、持續性流量記錄和即時的流量分析功能,藉由複製所有流經網路的資料來加以分析,並且加入精確的時間戳記(timestamp),因此可以偵測出各種入侵或異常行為,並且完整保存相關記錄以作為法律訴訟的證據。

所以,企業可以事先依據可能面臨的資安問題,像是針對異常流量等事件,或是針對電子郵件內容設定關鍵字過濾,利用主動警告的機制使管理人員可以即時處理,協助企業在資安事件發生之前,即產生嚇阻作用並先行掌握各項徵兆,同時也能在事件發生過程中,即時監控惡意攻擊與不正常的流量,最後再透過網路鑑識方式,來找出駭客入侵與商業機密外洩的管道,作為法律或內部處置的依據。

保存證據重建現場

我國刑事訴訟法第154條規定:「犯罪事實應依證據認定之,無證據不得推定其犯罪事實。」當犯罪事件發生的時候,企業勢必要面臨相關的民(刑)事訟訴問題,也需要協助相關的司法調查。因此,要如何在過程之中舉證,能夠提出強而有力的犯罪證據,是企業管理階層與法務部門應該要留意的事項,而所謂的資料收集與鑑識分析,並非只是司法單位的工作,若事件發生時的相關人員,能夠協助保持事件紀錄與資料的完整性,將有助於後續的司法調查工作。

一般而言,當企業發生網路攻擊或犯罪事件,應該要記錄的重點有:
  • 發生的日期、時間與地點
  • 事件發生的來源與牽涉的資訊系統
  • 事件發生過程
  • 犯罪所使用的工具、設備
  • 事件所造成的損害
當然,企業內的各項安全設備,也都會存有系統的記錄檔(log),但是現今高手級的駭客都很了解「偷吃要懂得擦嘴」這個掩飾罪行的道理,因此在入侵成功之後,都會試著修改各項log記錄檔,以躲避安全人員的查核。不過,駭客並不能修改網路鑑識系統針對入侵過程的資料記錄,所以仍舊難逃鑑識人員的法眼。

藉由網路鑑識與行為分析系統的協助,在資安事件發生時,可以針對來自內部和外部的入侵來進行調查,透過了特徵比對、異常行為與分析工具,若經過確認這是一種網路犯罪行為,就可以藉由系統所收集保存各項事件記錄,做為事後追捕與檢討工作之用。

而除了偵測攻擊行為與異常流量來發出警示之外,系統還提供了安全事件重現的功能,可藉由長時間完整地儲存原始的封包與連線記錄,回溯至事件發生當時的狀況,一旦企業遭受到網路攻擊,或是懷疑機密資料經由網路傳送出去時,就可以檢視當時所留存的完整記錄,透過現場重建方式來進行完整的鑑識調查,更讓執法機關能夠藉此來進行犯罪事實的認定,並進行下一步的法律行動。

網路鑑識系統的部署建議

今日的企業面對來自內外眾多的威脅,為了防止未經授權的存取、非法入侵與網路攻擊,更應該考慮以多重防禦的方式,來加強網路安全,以便盡快能夠從資安事件中快速復原,因此建議企業採取以下的三層式架構,來保護網路與資訊安全:
  1. 事前避免(Avoidance):建置安全防禦裝置,例如防火牆、VPN、加密裝置和身份認證系統,以預防未經授權的存取或入侵攻擊行為的發生。
  2. 事中偵測(Detection):透過事件記錄檔(log)的稽核與入侵偵測系統,來偵側入侵事件的發生。
  3. 事後調查(Investigation):當資安事件發生之後,利用鑑識分析工具在可能受害的範圍內進行調查,並且收集和記錄與事件相關的各項資訊,以預防事件的再度發生,並提供司法機關必要的協助。
企業想要確保網路安全的第一步,就是必須建置適當的安全設備來避免資安事件的發生,因為只要系統連結上了網際網路,就可能成為惡意攻擊的對象。一般而言,在部署了入侵偵測系統之後,即可透過特徵比對(signature-based)或異常流量(anomaly detection)的偵測方式,來發現警示網路入侵事件,而網路鑑識與行為分析系統除了具備了入侵偵測的功能之外,還能更進一步藉由記錄與分析網路流量,具備了「事件重建還原」的功能,就像一台錄影機一樣,隨時可以回溯時間來呈現事件發生時的原貌。

另外,網路鑑識與行為分析系統更可作為新的安控措施的檢驗工具,藉由重播曾經發生過的入侵手法,來確認新的防禦設備能夠發揮應有的作用,而在事件發生之後,透過鑑識工具的運用,可以找出問題的真正發生原因,並且將網路回復到可信任的安全狀態,能夠大幅縮短弱點修補的時間,也讓系統管理人員能瞭解駭客所運用的入侵手法,以提供網路補強或程式撰寫上的安全建議。(本文刊載於2007年資安人雜誌)

2009年11月28日 星期六

[閒聊] 做資安,讓我們一起Nike Nike!!

在今年年初的時候,和雜誌社的編輯朋友談起,受到全球金融風暴的影響,大多數企業都會節省支出,藉此渡過不景氣的寒冬。

「那麼原本預算就不多的資安工作,這時候究竟該怎麼辦呢?」他問。因此,也就醞釀了這一篇「談企業如何省錢做資安」的文章。

其實我相信所談的內容,大多數的管理人員都知道,只是平時缺少了動力去執行而已,這也點出了資安管理工作常犯的一項疏失,那就是「知而不行」。

例如:IT人員知道系統存有一些安全漏洞,但就是遲遲不去作更新;員工知道公司的上網安全規範,但就是不願意去遵守。

等到發生了資安事件之後,大家再來互推責任,然後隨著時間一久,一切又恢復照舊。這樣下去,想要做好資安,往往只是白費功夫。

到了年底,如果你負責的資安工作,還在原地踏步的話,那麼也該加緊腳步了。套用一句以前老師常用來勉勵學生的話,那就是做事學習都要記得「Nike Nike」,做資安,當然也要讓我們一起「Just do it~!!」。

2009年11月25日 星期三

[專題] 談企業面臨的十大網路存取問題

在國際共同遵循的資訊安全管理系統標準ISO 27001中提到,「資訊是企業的重要資產,因此無論資訊以何種型式存在,都必須要加以適當的保護。」當網路成為企業營運重要核心的今天,維護網路運作與資訊存取的安全,已是企業IT部門的重要任務,也是無法卸下的職責。

根據資策會MIC的調查指出,在2007年企業所發生的資安事件類型,以「電腦病毒感染」的比例最高,佔了五成左右,也因為病毒感染容易持續發生,加上電子郵件與即時通訊普遍使用的推波助瀾,使得病毒的擴散速度與感染規模更快更廣,讓企業不得不去重視資訊內容的安全。

過去,企業多半著重在防禦外部的攻擊,而忽略了來自於內部的攻擊,將造成更大的破壞與影響,無論是內部登入的使用者,或是遠端採用VPN連結內部網路的裝置,若系統本身帶有惡意程式像是病毒、蠕蟲、木馬等,很容易就會對整個網路系統造成危害。

另外,目前無線網路幾乎已成為筆記型電腦的標準配備,加上無線網路基地台(AP)的產品愈來愈輕薄小巧,架設容易且隨插即用,使無線網路的不當使用比率也持續攀升,所以該如何防堵非法的網路存取,防止商業機密的外洩,已成為了資訊管理人員另一個頭痛問題。

從資料外洩看網路存取問題

回顧近年來國內外發生的重大資料外洩事件,可以讓我們了解資訊存取控管的重要性,最著名的例子是從2005年7月開始,美國零售業者TJX公司,因為內部的無線網路遭到入侵,至少有長達一年半的時間,歹徒可自由地進出TJX的資料庫,任意竊取客戶的個人資料,造成至少4500萬筆以上的客戶信用卡資料外洩,連帶使得銀行信用卡部門也蒙受巨大的損失。

在日本,根據JNSA的調查資料顯示,2006年日本共有2223萬筆個人資料外洩,其中外洩件數以金融保險業最多,洩漏人數最多的則為製造業、資訊通信業和服務業,其資料外洩的原因除了人為遺失之外,其次是遭竊以及透過P2P檔案交換軟體而洩漏。同年,國內某半導體廠商,也曾因資料存取控管疏失,遭到合作夥伴竊取IC設計資料。

賽門鐵克的「全球網路安全威脅研究報告」則指出,資料外洩導致個人資料遭竊取的原因,其中「不安全的政策」佔了34%,從這些過去發生的事件,我們可以發現,資料外洩多半與非法裝置入侵和不安全的政策有關,尤其是隨著企業組織的成長,面對成千上百個可能連結內部網路的裝置,究竟我們該如何去監控與管理?

依據個人的觀察分析,目前企業組織普遍面臨的網路存取問題,有以下十點:
  1. 使用者身份不明 - 難以識別到底是誰(Who)、使用什麼樣的裝置(What)、從何處連上內部網路(Where)。
  2. 連線設備的安全性 - 難以確保連上內部網路的裝置,不帶有惡意攻擊程式,如病毒、蠕蟲、木馬等。
  3. 缺少嚴謹的授權程序 - 難以規範使用者依照其身份執行應用程式,並且僅能存取符合其權限的資料。
  4. 合法使用者的攻擊 - 難以防範已通過身份驗證的使用者,不會成為駭客的跳板,伺機攻擊企業內部網路。
  5. 病毒爆發 - 一旦病毒疫情爆發時,缺少有效的控制措施,預先加以防範並隔離。
  6. 資料外洩 - 無法完全封鎖可能的資料外洩管道,尤其是針對無線網路設備和USB裝置的使用,缺少有效的管理。
  7. 網路環境複雜 - 隨著時間愈久,在疊床架屋的情況下,導致網路架構太過複雜,而且相關網路設備過於老舊,無法支援新的管理模式。
  8. 資安政策不明 - 企業普遍有IT人力不足的現象,缺少專業資安人才的協助,不知如何去制定一個適用的資訊安全政策。
  9. 預算有限 - 在每年有限的IT預算之下,難以規劃並導入適當的網路存取控制方案。
  10. 控管困難 - 隨著分點、使用者人數與裝置作業系統種類繁多,難以有效進行部署控管。
網路存取控制的管理原則

以上所談到的十大問題,其實業界提供了可用的解決方法,可以藉由導入適合的網路存取控制方案(Network Access Control;NAC),來解決以往面臨的種種難題。

根據國外NWC Analytics的調查指出,驅使企業想要部署網路存取控制方案的前三大原因為:
  1. 為了符合網路安全法規的要求。
  2. 需針對特定網路資源強制執行存取控制措施。
  3. 針對合作夥伴、合約商等難以管理的使用者,加以適當的存取控制。
基本上,網路存取控制的原則就是要確保「只有合法且安全的裝置才能連上內部網路」,因此在制定管理政策方面,有以下幾個重點必須要把握:
  • 連線前,先要證明你是誰 - 使用者和其所使用的裝置,在能夠存取企業網路和相關資源之前,必須要通過身份的驗證,並且確保使用者作業系統的安全性,例如是否安裝了防火牆及防毒軟體、是否更新了系統修補程式(Patch)。
  • 連線中,賦予適當的權限 - 在通過身份驗證之後,依據預先設定的角色(Role)或群組,給予適當的存取權限,限制使用者只能存取符合其角色所需要的資源。
  • 連線後,監控、記錄與稽核 - 管理人員能夠持續監控使用者是否有不當的攻擊行為,在發現攻擊行為時能即時加以阻斷,並且定期稽核歷史記錄,並提供事件回應報告。
網路存取控制的導入建議

一個良好的網路存取控制方案,必須具備三個特質,分別是「簡單、完整、彈性」,它必須能夠將所有不符合安全管理政策的裝置加以隔離,並且拒絕或限制其連結內部網路,直到使用者的裝置更新之後,重新檢測其符合了安全政策的要求,才會允許它連結並使用內部網路。

此外,網路存取控制還必須能夠整合現有的網路環境,減少必須的網路架構變更,以避免不必要的風險與成本,並且能夠在事件發生時,盡快地通報管理人員。換句話說,它對於管理人員最大的幫助,就是能夠簡單掌握用戶端裝置使用網路的現況。

因此,企業在選擇導入網路存取控制方案時,首先需要思考的重點有:
  • 網路存取控制的Agent要如何佈署?是否支援不同作業平台?所支援的防毒軟體與防火牆有哪些?
  • 與企業原有網路架構的相容性?是否支援802.1x?是否支援Windows AD和Radius身份認證?是否需要重新分割VLAN?與IDS/IPS的整合度?能否控管使用者的應用程式(Layer 7)?
  • 隔離之後的處置方式為何?如何引導使用者更新系統?如何重新進行驗證?
現今的網路存取控制方案,可以應用在針對使用者端點安全的要求、訪客裝置的安全管理、VPN使用者連線管理,以及無線網路使用管理等範疇,而且有能力和企業既有的管理政策相結合,以符合未來的成長與法規的要求。所以導入之後所產生的效益,在於能夠保護資訊資產、降低可能的風險、符合法規與稽核要求、改善與維護網路的可用性,以及降低人為的操作疏失。

法規對網路存取控制的要求

近年來,資訊安全已成為世界先進國家重視的焦點,國內政府也大力推動重要的部會單位,需要依據ISO 27001的實施步驟,建立符合標準要求的資訊安全管理系統(ISMS)。

事實上,網路存取控制方案,可協助企業達成ISO 27001中,「A.10通訊與作業管理」和「A.11存取控制」二大控制目標,只要妥善部署了解決方案與安全作業規範,即可達到ISMS驗証與稽核的要求。

另外,如何去評估因網路存取控制不當,造成機密資訊外洩之後,對於企業可能產生的風險與衝擊,也是不可忽視的重要工作,企業應該針對重要關鍵的營運流程,進行營運衝擊分析(Business Impact Assessment),來評估是否可承受資安事件發生後所造成的營運損失。這一部份可參考最新的營運持續管理標準BS 25999,將資安事件拉高到經營層面來看,對於IT人員在尋求高層人員的支持,以及爭取相關預算,會有實質上的幫助。

總結 - 化被動為主動

在孫子兵法中提到,「困敵之勢,不以戰,損剛益柔。」意思是指堅守住自己的陣地,來讓敵人陷入困境之中,使得原本被動的防守變為主動,網路存取控制的精神,倒是相當符合兵法所隱藏的含意。

面對今日來自四面八方的混合式攻擊與威脅,IT管理人員也必須不斷提升自己,從政策面著手規劃,再搭配適當的技術來加以控管,將非法的或是發動惡意攻擊行為的裝置,即時加以隔離,堅守好內部網路的防護堡壘,以避免可能的資安事件發生。(本文刊載於2008年iThome資安專刊)

[Q&A] 網頁上的威脅不斷增加,在使用者的瀏覽器上我們可以找到哪些免費外掛工具,協助他們判斷連上的網站是否安全?

隨著電子商務服務愈來愈多,網路拍賣交易的風潮亦盛行不已,各項網路詐騙犯罪事件也層出不窮,其中尤以釣魚網站與含有惡意程式的不安全網站,危害一般的使用者的情況最為嚴重,根據資安業者的統計,目前台灣已成為亞洲區最多網路釣魚網站的城市之一。

日前,刑事警察局科技犯罪防治中心的清查也發現,網路釣魚的詐騙行為已經發展成為集團式的犯罪型態,這些惡意駭客都是有計畫且不斷密集地架設假網站,包括了假冒網路銀行、航空公司、旅行社、人力銀行與理財網站等,目的即是為了竊取使用者的帳號、密碼與個人隱私資料。

面對每天不斷產生的惡意網站,或許你會說我已經有安裝防毒軟體了,為什麼還會感染病毒和惡意程式呢?其實,目前的防毒軟體仍須依賴不斷更新的病毒碼與行為特徵,才能有效攔截惡意程式,但是當你連上那些因為缺少安全管理,而被入侵並植入惡意連結的正牌網站時,在不知不覺之間就會被偷偷安裝了木馬程式,這種不斷翻新的手法往往令人防不勝防,因此,為了避免不小心落入網路上的釣魚陷阱,使用者還是應該有所警覺,並且積極尋找自保之道。

免費網頁安全外掛工具

為了防止使用者掉入網路釣魚的陷阱,微軟已經在Vista的Internet Explorer 7.0瀏覽器裡內建了防網路釣魚的功能,不過,若你是Windows XP或Windows 2000的使用者,在沒有升級最新的瀏覽器版本之前,則可以利用廠商免費提供的瀏覽器外掛工具,來獲得惡意威脅的提示與預警功能。

目前由業者所提供的免費外掛工具,像是McAfee SiteAdvisor和TrendMicro TrendProtect,都已支援了IE和Firefox兩大知名瀏覽器,並且整合了Google、MSN、Yahoo等搜尋引擎的搜尋結果,會以燈號顏色來顯示連結網站的安全性。使用者只要透過此一外掛工具,就可得知該網站的安全評等訊息提示,而且也能在尚未點選連結之前,即可獲知該網頁是否含有惡意程式和間諜軟體,以及在註冊登記之後,會不會濫發各式垃圾郵件給你。所以,藉由外掛工具的幫助,就可以有效降低誤入惡意網站的可能風險,以避免個人資料遭到竊取或非法利用的機會。

McAfee SiteAdvisor介紹

McAfee SiteAdvisor是一個免費的瀏覽器附加工具,可以幫助我們透過Google、Yahoo、MSN等搜尋引擎的搜尋結果,來分辨這些網站是不是含有間諜軟體、垃圾郵件與網路釣魚的惡意威脅,它的分析技術主要是根據網站名譽、使用者網站註冊後被濫發信件的頻率,以及個別使用者回報等指標來評等網站,然後會用最簡單的燈號來告訴我們:綠色代表安全,可以放心瀏覽網站;紅色代表危險,顯示網站已有不良記錄;黃色則是提醒大家,它有潛在的一些問題,瀏覽時一定要小心注意。

SiteAdvisor的安裝方式其實一點也不困難,使用者只要直接連接到McAfee SiteAdvisor首頁,點選「立即下載SiteAdvisor」按鈕,在下載完成之後直接執行安裝檔案,接下來只要依照提示依序點選「下一步」即可。安裝完成之後,瀏覽器就會自動連線到McAfee網站,並且出現「感謝您安裝」的畫面,然後會提醒你在右上角的工具列中已多了一個小按鈕,如果瀏覽的網站是安全的,它會顯示綠色,若是不安全的網站,它就會用紅色來警告你。

當你安裝了SiteAdvisor之後,只要使用瀏覽器連到搜尋引擎像是Google,再輸入關鍵字去搜尋網站,所顯示出的搜尋結果旁邊都會出現代表安全與否的燈號,如果把滑鼠移到燈號上面,並且按下「更多資訊」連結,它還會出現更進一步的詳細說明,讓你在瀏覽之前,即可了解此網站是否有任何安全上的問題。

McAfee SiteAdvisor的安全性評等是依靠網站的自動安全測試,包括像是網站快顯視窗數量、安全網站連結、下載檔案評估、網站表單註冊後被濫發郵件的機率,再經由使用者所提供的意見及McAfee自己的人工分析來判斷,SiteAdvisor同時希望藉由偵測傳統安全性產品常常遺漏的威脅,像是間諜軟體攻擊、網路詐騙及垃圾郵件網站,來加強使用者瀏覽網頁時的安全。

TrendMicro TrendProtect介紹

TrendMicro在併購了HijackThis這家公司之後,緊接著推出了TrendProtect網頁評等外掛工具,可分別支援Internet Explorer和Firefox兩款瀏覽器,幫助使用者在瀏覽網頁時,避免瀏覽到不安全的網站。TrendProtect主要是依據四項資料來進行網頁評等,分別是內容分類、網釣詐騙偵測、網站名譽與網頁名譽,同時也會分析每一個獨立的網頁,察看其中是否含有惡意的連結,對於那些被惡意駭客入侵,並且植入惡意程式連結的網頁,可以即時地發出警告。

TrendProtect的安裝方式也非常地簡單,只要連結到TrendProtect下載網頁,依照使用者所使用的瀏覽器來下載,接著依照安裝說明指示,就可一步一步順利完成。在TrendProtect安裝完成之後,會在瀏覽器的工具列上新增一個「TrendProtect」按鈕,這個按鈕會藉由改變它的顏色,來顯示出目前所瀏覽的網頁的狀態是安全、不安全、可信任或未評等,以及是否含有不當的內容。

TrendProtect使用綠(安全)、紅(危險)、黃(不確定)、灰(未知)的燈號顏色來標示網站的安全等級,若是使用Google、MSN和Yahoo搜尋引擎,也會針對搜尋的結果,提供燈號顏色的安全評等功能,只要將滑鼠移動到燈號標示上,就會顯示出關於網頁評等的更多資訊,也可以點選連結到TrendProtect的HouseCall首頁,執行免費電腦掃描服務。

另外,只要點選工具列上的「TrendProtect」按鈕,並且選擇「Option」項目,使用者還可自訂顯示、信任網頁和內容分類的樣式,若是點選了「Check your Computer's Security」,也會馬上啟動免費的線上掃毒服務HouseCall,來掃瞄你的電腦。

外掛工具優缺點與安全建議

SiteAdvisor與TrendProtect兩者同樣都是免費好用的瀏覽器工具,在功能方面當然也有一些不同,例如:
  1. SiteAdvisor是針對整個網站的內容做評比,而TrendProtect則是分析個別的網頁為主。
  2. 當滑鼠移到燈號上面時,SiteAdvisor顯示的資訊比TrendProtect來得詳盡。
  3. SiteAdvisor提供使用者網站安全評比功能,TrendProtect則提供一個「Content Categories內容過濾」的功能,裡面可以自行勾選想要過濾的網頁內容。
  4. SiteAdvisor的操作介面都是中文,而TrendProtect雖然只有英文介面,但卻結合了免費的HouseCall線上的掃毒服務。
基本上,這兩個瀏覽器外掛工具,都是可以幫助你在瀏覽網頁與搜尋過程中,避免進入惡意的網站,但若是想要完全避免網路釣魚的陷阱,最好還是要養成不要點選任何來路不明、看不懂或是覺得可疑的網路連結,尤其是來自垃圾郵件或是由不明人士轉寄來的電子郵件。

如果你還是不小心進入了可疑且內容不明的網站,請立即關閉瀏覽器離開網頁,千萬不要按照該網站上的指示,作出任何的回應動作,以免感染惡意程式,而且也要記得經常更新防毒軟體的病毒碼,並且啟動作業系統的防火牆功能。(本文刊載於2007年iThome資安專刊)

[Q&A] 目前各國政府的資安法規中,網站安全通常與哪些議題相關?

談到網頁安全,讓我們先來回顧一下過去所發生的重大資安事件,在2005年,美國的CardSystems Soultions電子付款資料處理公司,因為遭到駭客入侵植入了惡意程式,導致4000萬筆帳戶資料外洩,引起了一陣軒然大波,成為史上規模最大的個人資料外洩事件;在2007年6月,歐洲更發生了大規模的網站遭受駭客入侵、竄改網頁程式碼的事件,受到影響的網站超過了一萬個,其中絕大多數是屬於旅遊、飯店、汽車製造與影音娛樂類等網站;而根據刑事局科技犯罪防治中心的統計指出,目前惡意網頁也已成為台灣排名第一的網路犯罪手法,主要受害的不再只是提供服務的網站業者,而是可能上網瀏覽網頁的一般民眾。

以上這些採用各種惡意攻擊手法,入侵具有系統漏洞或是根本沒做好安全防護的網站,並在網頁中植入惡意程式,伺機竊取個人資料的手法,已經成為新一代的網路犯罪型態,例如以旅遊產業而言,在網站上大都提供了線上訂購旅遊行程等付款服務,如果業者沒有妥善的安全防護機制,在網頁中被植入了惡意程式連結,當使用者利用瀏覽器進入了網站,查看旅遊行程並且利用線上刷卡付款時,很可能就會被偷偷地安裝了木馬程式,而導致個人資訊像是帳號、密碼和信用卡號等資料外洩。

PCI-DSS資料安全標準簡介

有效維護網頁安全,對於提供線上交易服務的業者而言,絕對是責無旁貸的必要工作,因為一旦發生資料被竊事件,除了嚴重打擊業者商譽之外,如果消費者因此而對網路交易機制失去信心,受害的將是所有提供電子商務服務的業者。

目前,由American Express、Discover Financial Services、JCB、MasterCard Worldwide、Visa International等五家知名的電子付款與信用卡業者所共同組成的PCI Security Standards Council,即制定了「支付卡行業資料安全標準(PCI Data Security Standard;PCI-DSS)」,此一提供給全球產業共同遵守的資料安全標準,要求所有提供信用卡服務的商店,在儲存、處理與傳遞持卡人資料時,必須要有符合要求的安全控制措施。

在PCI-DSS V1.1版中,一共分為6大類12項基本要求,這些要求可用來審視網站的安全機制,用以保障持卡人的帳戶及交易資料安全,條文內容說明如下:

一、建立並維護安全的網路
  • 要求1:安裝並且維護防火牆配置以保護持卡人資料
  • 要求2:不可使用供應商提供的原廠設定值作為系統密碼及其他的安全參數
二、保護持卡人資料
  • 要求3:保護儲存的持卡人資料
  • 要求4:將透過公共網路傳送的持卡人資料及敏感資料加密
三、維護一個弱點管理程式
  • 要求5:使用防毒軟體並應經常更新程式及病毒碼
  • 要求6:發展及維護安全系統和應用程式
四、實施強而有力的安全存取控制措施
  • 要求7:根據業務需要限制對於持卡人資料的存取
  • 要求8:對於進行電腦存取的每一個人只賦予唯一的ID
  • 要求9:限制對持卡人資料進行實體存取
五、定期監控並測試網路
  • 要求10:追蹤並監控對網路資源及持卡人資料所進行的所有存取
  • 要求11:定期測試安全系統及流程
六、維護一個資訊安全政策
  • 要求12:實施並維護一個資訊安全政策
PCI-DSS標準對網頁安全的要求

雖然,PCI-DSS標準所要求的對象是支付卡相關產業,目的是為了要保護電子商務交易的資料安全,但是個人認為目前全球適用的資安標準法規中,以PCI-DSS標準和網頁安全最為相關,因為PCI-DSS除了具備廣泛的資訊安全要求之外,更可作為網站服務業者加強網頁安全的實施參考,其中尤以標準中的第4項與第6項要求,可用來檢驗並加強網頁安全。

在第4項要求中,PCI-DSS要求必須針對透過公共網路傳送的持卡人資料及敏感資料加密,以防止資料在傳輸的過程中被截取竊聽,因此,網站必須提供SSL/TLS或IPSec等安全傳輸協定,並且針對所傳輸的資料進行加密,在這裡所指的公共網路,範圍包括了網際網路Internet、WiFi無線網路、行動電話GSM系統與GPRS無線傳輸服務。

另外,在第6項「發展及維護安全系統和應用程式」要求中,PCI-DSS標準條文對於網頁安全還有以下的細項要求:
  1. 必須確保所有系統與軟體都已安裝了最新的安全更新程式,在軟體供應商發布了安全修補檔(Patch)之後,最遲必須在一個月內完成安裝各項更新。

  2. 業者必須建立一套流程來確認及發現安全弱點,例如接收軟體供應商最新的安全預警訊息,根據其所發布的弱點進行系統相關的更新,而此一流程需要有完整的文件記錄。

  3. 要求業者必須根據安全業界最佳實務,來發展應用系統安全開發流程,例如在開發流程中導入Security Development Life Cycle(SDLC),以確保在應用程式開發過程之中,每個階段都能結合安全性的要求。

  4. 一旦系統或軟體的配置需要更改,所有變更必須要遵循變更管理流程,像是已獲得高層的授權、經過回復測試,並且有完整的過程記錄。

  5. 依據OWASP發展安全的網頁應用程式(Web Application)指引,必須確保應用程式碼沒有常見的安全弱點問題,像是無效輸入問題、跨網站腳本攻擊(XSS)、緩衝區溢位、SQL Injection資料隱碼攻擊、不當的錯誤訊息處理、DOS阻絕攻擊和不安全的系統配置等。

  6. 必須確保網頁應用服務足以防護已知的入侵或攻擊手法,例如通過滲透測試(黑箱測試)與原始碼審查(白箱測試)的驗證,以及在網路伺服器前安裝應用層防火牆(Application firewall)等。
企業必須建立資訊安全政策

除了以上針對網頁應用安全的要求之外,隨著新的弱點與攻擊手法不斷出現,PCI-DSS標準中也要求系統必須接受定期的安全測試,以確保安全性不會因為時間或是軟體變更的關係而受到影響,換句話說,針對網頁安全,至少每年都必須要執行一次滲透測試,以確保系統的安全無虞,而且也要部署常駐的關鍵檔案監控軟體,一旦發現網頁檔案遭到竄改更動,就能立即主動發出警訊通知,使相關管理人員可以在第一時間內進行處置,以避免重大資安事件的發生。

最後,無論是在PCI-DSS標準或是資訊安全管理系統的最佳實務ISO 27001標準中,都強調企業組織必須要建立一個資訊安全政策,只有透過管理高層的發布重視,讓所有員工了解資訊安全的重要性,以及必須承擔的保護責任,才能真正地落實資訊安全;也唯有妥善運作的安全團隊和明確的資訊安全責任定義,才能將企業組織可能面臨的營運風險降至最低,並且保障所有使用者的權益。(本文刊載於2007年iThome資安專刊)

[Q&A] 若想定期了解網站安全,甚至是整個網站安全的趨勢,有哪些網站發布的統計資料或白皮書是值得參考的?

隨著各種網站攻擊事件不斷的發生,網頁安全的攻擊與防禦已經到了白熱化的地步,對於企業內的IT人員而言,面對傳統的網路攻擊與病毒防範,想必已經不會陌生,可是對於近幾年來新興的網站攻擊與入侵手法,卻經常感到難以招架。追究其原因,多半是來自於相關資訊安全知識的不足,尤其是對於網頁應用攻擊的手法更感到陌生,所以也就不太了解究竟該如何去防範入侵,並且加強維護網頁安全。

幸好,目前網路上已有許多開放的團體與非營利的機構,針對網頁應用安全議題,提供了很多豐富專業的資訊,可供我們來學習與效法,以下則為各位介紹,個人經常去補充資安知識,值得推薦的網頁應用安全資訊網站。

推薦一:WhiteHat Security

WhiteHat Security是由前Yahoo的資安長Jeremiah Grossman所創辦的公司,主要提供了各種有關網站安全的解決方案與服務。在WhiteHat Security網站的新聞專區中,收集匯整了來自世界各個媒體有關網頁應用安全的文章,讓你不必再花費力氣去一一瀏覽各個媒體所刊登的訊息。

WhiteHat的部落格是由Jeremiah親自執筆,主要分享他個人的網站安全防護經驗,其中一系列的「How to」文章,像是「如何加強網站防護避免被駭」、「如何檢查你的WebMail帳號是否被入侵」、「如何評估你的網站價值」、「如何找到你的網站弱點」等,是非常實用的經驗分享。

個人最喜歡WhiteHat Security網站的一點,是在於它的安全資源中心,提供了為數眾多的Whitepaper還有簡報檔,讓使用者可以免費下載閱讀。雖然WhiteHat Security的Whitepaper有些頁數並不多,但是字字珠璣且淺顯易讀,以下幾篇推薦給有心想了解網站安全的朋友們,可以到網站下載瀏覽的文章:
  • Ten Things You Should Know about Website Security
  • WhiteHat Security Web Application Security Risk Report
  • The Top Five Myths of Website Security
  • Website Security 101
推薦二:Web Application Security Consortium

Web Application Security Consortium (WASC)是由許多專家、業者和開放資源的代表所共同組成的國際性社群,WASC透過這些會員們的意見交換,不斷地產生各項網頁安全技術資訊、文章和安全指引等,可提供給來自世界各地的商業組織、學術團體、政府機構與資安專家們,協助他們面對不斷變化的網頁應用安全的挑戰。

雖然WASC的創辦者之一是WhiteHat Security的Jeremiah,但是WASC秉持著中立自主,並不偏向任何營利組織,它主要的目標是創造一個開放性的論壇,讓所有對於網頁應用安全有興趣的人,都能共同參與討論,促使各界更加關注各項有關網頁應用安全的事件與議題。

WASC網站提供了Mailing List討論服務,使用者可以用e-mail方式來訂閱,參與各項網頁應用安全的主題討論,另外,也可以透過RSS Feed來訂閱,相當地方便而且不會漏失任何的訊息。WASC也設立了許多有關網頁應用安全的計劃,如果你願意參與並且貢獻自己的專業,可以主動與各個Project Leader聯絡。

WASC網站同樣也有很多豐富的參考資料,在你點選Library連結之後,就可以看到有關網頁安全的書籍介紹,以及它收集自各個知名網頁安全業者,所免費提供的Whitepaper,雖然資料有一段時間未更新了,但仍然具有參考價值。

推薦三:Cgisecurity

Cgisecurity是目前最早建立,內容有關網頁應用安全的網站,它的創建者同時也是WASC的核心創辦者之一,如果你是想要從事網頁應用安全研究的學生,那麼Cgisecurity是你不可錯過的網站,因為它提供了相關的期刊paper,可作為研究的參考之用。

Cgisecurity網站最大的特色,就是將網頁應用安全的相關主題,分門別類地排列,使用者可以很快地一網打盡同一類型的參考資料,像是以研究Phishing主題為例,當你點選連結進入內頁之後,即可得知有關Phishing的網站、相關的工具與軟體、技術文章、新聞連結、犯罪案例,以及如何自我防護等相關資料;如果你想了解什麼是SQL Injection,也只要輕鬆按下一個連結,就可以在這個網站內獲得問題解答、相關的參考文章與網路連結指引。總之,這個網站資訊相當豐富,肯定會花掉你不少時間。

推薦四:World Wide Web Consortium

World Wide Web Consortium(W3C)是由全球資訊網(WWW)的發明人Tim Berners-Lee所創立的組織,其成立的宗旨是為了推動全球資訊網的相關技術,並鼓勵各項合作與討論。同時,W3C也致力於各種網際網路標準的研發、制定與推廣,使業者的對於全球資訊網的應用發展,能有一個可供遵循的標準。

W3C針對網際網路的各種應用,建立了一些工作小組,像是Web Security Context Working Group就專注在研究使用者部署安全技術時,可能會面臨的問題,尤其是在企業部署了安全機制之後,惡意駭客可能會採取規避的方法來欺騙過關,在這部份W3C工作小組能提供一些因應之道。

在網頁安全方面,如果你是網頁應用程式的開發人員,可以參照網站上所提供有關資安的文件,像是XML Security的規格說明、XML簽章與加密,以及金鑰的管理等。至於目前最熱的AJAX網頁技術,W3C也有一個工作小組,產出許多可供開發人員參考的文件,同時也提供Email List給有興趣的人員訂閱討論。

推薦五:Open Web Application Security Project

OWASP(Open Web Application Security Project)開放Web軟體安全計畫,是一個全球開放的社群,也是一個非營利的組識,長期致力於改善有關網頁應用服務的安全性,以提供給政府和業界參考。OWASP的主要目標在於協助建立網頁應用安全的標準、工具與技術文件,以減少應用程式在開發過程中可能會產生的弱點,防止惡意駭客利用這些弱點來進行破壞。

在台灣分會會長Wayne的努力之下,OWASP台灣分會已於2007年正式成立,並且開放給各界人士參與,目前,每年由OWASP所公布的十大Web資安漏洞資料,已成為業界人士用來加強網站安全與修補漏洞的參考指標,也被政府機關列為網頁應用安全必要的檢測項目之一。

在OWASP網站上,除了十大Web資安漏洞說明資料外,你還可以找到目前正在進行的相關計劃說明,歷年研討會的簡報資料與影音檔案,而對於下一代網頁Web2.0有興趣的研究者,也可在此找到可供參考的paper文件。另外,OWASP的部落格也持續不斷地在更新,對於網頁應用安全有興趣的人,相信在此可以獲得很多有用資訊。

總結

以上是幾個相當不錯的國外網站,在此分享給各位作為參考,由於網頁攻擊的手法日新月異,對IT人員而言,唯有不斷地補充相關知識,才能有效做好資訊安全防護工作。但比較可惜的是,國內目前還相當缺乏有關網頁安全的開放組織與中文參考資訊,大多只能依賴國外網站所提供的內容,這點大家要一起加油了。(本文刊載於2007年iThome資安專刊)

2009年11月18日 星期三

[專題] 從ISO 27001談實體安全管理

許多企業在規劃如何去加強資訊安全時,首先想到的都是如何去防護網路安全,以為添購了防火牆、設置入侵偵測系統或是安裝防毒軟體等,就做好了資訊安全防護工作,不會受到駭客入侵而造成企業損失。但是,這樣真的就安全了嗎?我們不妨看看以下媒體所報導過的真實事件:
  • 美國飛機製造商波音公司一部含有38萬名現職及退休員工的資料,因為員工一時疏忽放置在車上而遭竊;美國退伍軍人事務部,也因不小心遺失筆記型電腦,而造成2600萬退伍軍人資料的外洩。
  • 美國大型家電連鎖商Circuit City,因信用卡公司不慎將含有持卡人資料的電腦磁帶當成垃圾丟棄,遺失了260萬名信用卡持卡人資料。
  • 日本三井住友銀行倫敦分行,因數名竊賊假扮成清潔人員,而偷偷在處理國際轉帳事務的電腦內,安裝了鍵盤側錄程式,差點順利竊走4億美元的存款。
  • 巴西中央銀行因竊賊花了三個月時間挖掘地道,而被搬走約21億台幣的現鈔,但是金庫內的攝影機與偵測器,卻完全沒有發揮任何作用。
  • 今年3月美國國稅局存放納稅人資料的26個電腦磁帶,竟在市政府大樓內遺失。
從以上事件可以看出,因為設備的不當使用與人員的未經管制,加上實體環境缺乏防護管理,所造成的資安問題更加嚴重,值得所有組織與企業來予以警惕注意。

識別對實體與環境的威脅來源

如何去加強實體及環境的安全管理,已成為資訊安全工作中不可或缺的重要一環,除了防範經由網路滲透入侵的資安事件之外,天災與人禍更是我們需要去關切及預防的,此處所謂的天災,是指企業面對週遭環境的天然威脅,而人禍則是泛指因為人為管制的疏忽所造成的資訊安全危害。

因此,企業進行實體與環境安全的管理的目的,即是為了消除這兩項重大的威脅,並將可能發生危害的風險降至最低。從以上的角度來看,威脅又可概分為:
  1. 自然因素:指颱風、水災、火災、雷擊、地震等。
  2. 非自然因素:指電力、空調系統等。
  3. 人為因素:指偷竊、惡意破壞及門禁管制疏失等。
針對自然因素的預防,我們可以先從自然災害的威脅評估著手,像是調查所在區域的颱風、地震頻率,以及救援單位能夠及時到場協助的時間。另外,對於建築物本身的設計整建,是否使用防火建材、強化玻璃等,可以進一步要求對大樓結構進行強化,以抵擋自然災害的侵襲。

至於非自然因素的預防,主要是為了維持設備的正常運作,企業必須具備主要電力與備援電力獨立配電系統,另外像是針對突波與瞬間斷電的預防、總開關防護、發電機安置地點及供油儲存,也要有良好的規劃。在空調系統方面,在機房內需要有恆溫、恆濕的溫濕度控制與空氣濾清裝置,對於大樓出入風口也要有妥善保護。

最後在人員作業方面,具敏感性的職務在人員錄用前需進行的背景調查;重要處所進出必須做到人員識別與門禁管制;機房人員也須做好消防演練、疏散及消防設備的使用測試。

企業的實體與環境安全若沒有做好,所造成的損失有兩種,一種是資產設備的失竊或損毀,會造成直接的財務損失;另一種則是資訊資產的遺失,例如重要的設計資料、公司人事資料或是重要商業機密等,輕則使商譽受損,重則甚至造成整個企業營運的中斷。

ISO 27001的實體安全控制措施

在ISO 27001:2005的附錄A控制措施中,「A9實體與環境安全」項目清楚規範了實體與環境安全此一控制項目,可做為企業在進行實體與環境安全管理時的最佳參考。

在「A9.1安全區域」控制項目中,其目標即是為了防止企業或組織所在的場所,遭到未經授權的實體存取與侵害,而要求必須劃分安全的邊界,將關鍵或敏感的資訊置放於安全的區域,並且給予妥善的保護。

而「A9.2設備安全」,目標是防止因資產的遺失、損害或竊盜,而造成組織營運的中斷。本文則以ISO 27001的規範為基礎歸納出以下幾點,提供企業在執行實體及環境安全管理時的參考。

一、設定實體安全邊界 - 針對實體邊界的保護,必須依照週邊設施,根據其資產價值來決定保護措施的設置程度,以達到安全控管的目標,要注意的事項有:
  • 建築物週圍可設立圍牆等人工屏障或實體隔離設施,並且加強燈光照明系統,另外還可設置重點監視設備或保全人員巡邏。

  • 對於邊界進出口須設置警衛、檢查哨,並且進行人員及車輛進出管制,識別方式可採取識別證、磁卡、生物辨識(指紋、掌紋、虹膜、聲紋)等。在人員識別方面,需注意辨識準確度、速度及設置成本,必要時可採取人員陪同或搭配可錄音錄影之監視系統。

  • 對於無人門窗應予以上鎖,無人區域與重要設施,宜定時派人巡邏,或安裝防盜與監視系統。
二、進出人員管制措施 - 在ISO 27001的「4.3.3紀錄管制」條款中要求,對於資訊安全管理的運作,所建立並維持的各項記錄,必須加以保護與管制,所以像是人員進出登記表,都必須妥善加以保存,建議可採取的人員管制措施如下:
  • 來訪人員應要求出示身份識別,配載身分識別標示,並且記錄進出的日期與時間。

  • 人員進出區域與動線需妥善規劃,來訪人員不應直接進入作業區域,若需進入作業管制區,須經由授權或專人陪同才能進入。

  • 技術支援或維護服務人員,需事先取得授權才能進行作業,並視管理需要由專人陪同監督。

  • 未經適當申請程序之人員,應禁止留在辦公室單獨作業。

  • 調職與離職人員,禁止其進入原工作之區域。
三、設備安全管理 - 對於企業內所使用的相關資產設備,應放置在予以適當保護的地點,以避免因不安全的環境而造成設備本身的損壞,或是未經授權的存取使用。另外,攜出場外使用的設備,也應該實施管制與保護措施,需要注意的事項有:
  • 存放或處理敏感性資料的設備,應放置在可以監控的地點,並且提供足夠的電源供應,如不斷電系統與防火、水災的保護,尤其是需要特別保護的設備,務必採取獨立區域與其他設備分開。另外,對於設備所使用的通訊線路,必須採取如隱藏或地下化的保護措施,以避免遭到資料截取與破壞。

  • 設備的維護必須由授權的維護人員來進行,若是委由廠商維護,針對維修人員必須通過身份識別或是陪同進行。在維護的過程中,必須將所排除的錯誤或是變更進行完整記錄,若需送回廠商處維修時,也必須按照設備攜出之規定進行,設備攜回或送修,應清除內含所有的敏感性資料。

  • 在敏感區域,所有未經授權之資訊設備,像是筆記型電腦、儲存設備、數位相機、照相手機等,皆不可攜入或攜出,需要攜入或攜出辦公室之設備則必須加以記錄檢查。

  • 外勤人員所使用的筆記型電腦,必須安裝防毒或個人防火牆,並且提供適當的資料保護措施,像是設定開機密碼或硬碟及檔案加密,並且要求不可將設備置於可能發生偷竊之地點,像是汽車等。

  • 企業內之無人設備(例如印表機、影印機、傳真機等)需有使用保護機制(如設置密碼),所列印之資訊應要求立即從印表機上取走,敏感資訊則應採用受管制監控之設備來列印。

  • 人員離開座位或是下班時間,應實施桌面淨空政策,將文件與儲存媒體置於上鎖之櫃子,電腦螢幕應啟用螢幕保護程式。

  • 需要報廢與再使用之資訊設備,必須針對其內含之儲存媒體,進行如低階格式化的資料刪除與覆寫,以確保資料能完全清除,所列印出的敏感資訊,若不需保存或是印壞丟棄時,應按照規定之銷毀程序處理。
四、機房之安全管理 - 屬於企業核心運作之電腦機房,在設置時應考慮地點及建築防護是否足夠,以減少天災或人為因素所造成的安全威脅,其安全管理注意事項如下:
  • 機房設置地點需考量天災發生頻率之問題,並且應避免鄰近火源、水源和交通頻繁之地點。

  • 機房之安全設計需考慮採用如高架地板、隱藏佈線、地板承重度及排水、防火功能等。

  • 機房應擁有獨立與備援之電力支援,對於重點設備應考慮優先供電設施及UPS不斷電系統。

  • 機房內應裝置適當的煙霧偵測器、溫度感知器等火警設備,並且設置滅火器材(考量使用乾粉及在無人區域使用二氧化碳減火器)以防止火災的發生。

  • 危險及易燃性之物品,絕對不可存放在機房中。

  • 機房之位置,應該盡量避免過於明顯的標示,以避免成為侵入和攻擊的目標。

  • 機房使用之備援設備,應存放一定之安全距離,以避免災害發生時一併遭到損毀。

  • 機房人員應熟悉緊急應變程序,並且實施定期演練及測試;非機房人員需取得授權,並由相關人員陪同監控始可進入。

  • 機房應具備門禁管制設備或上鎖,並視情況設置監視設備,人員出入需取得授權並登記日期時間。
小心實體安全的資安漏洞

其實,大多數企業皆重視的網路安全工作只是資訊安全的其中一環,而企業最容易輕忽的,卻是最基礎的資安防護工作,像是實體與環境的安全管理等。請試著想想,當惡意人士能夠輕易進入企業環境之中,將整台主機、儲存設備,甚至是員工的筆記型電腦偷走,此時企業所設置的網路安全設備將是無法發揮任何作用的,而且資料損毀或竊盜所造成的傷害與損失,很可能會遠大於經由網路入侵系統所造成的危害。所以,如果企業對於實體與環境沒有採行適當的防護管理,當遭遇所謂的天災或人為的惡意破壞,很可能會讓重要的營運資訊毀於一旦。

在ISO 27001中,已針對實體及環境的安全管理,提供了明確的指引與實作建議,可以避免關鍵設備或機密資訊受到不當的存取、損害與干擾,企業能夠藉由落實各項控制措施來降低可能發生的風險。另外,在難以避免的天災部份,建議還可透過保險或委外管理等風險轉移措施,為企業提供更深一層的保障。(本文刊載於2007年iThome資安專刊)

2009年11月10日 星期二

[專題] 無線網路入侵手法與防禦對策分析

隨著無線網路設備成本的降低以及相關無線應用服務的普及,許多企業都紛紛建置無線網路系統,藉由無線網路相互連結的方便性與行動優勢,來提升企業員工的工作效率。不過,也因為使用上的方便所造成的疏忽,加上先天上存在的一些弱點,使得無線網路容易被惡意駭客所利用,而產生了危害資訊安全的問題。

根據CSI/FBI 2005 Computer Crime and Security Survey的統計,在病毒、非法存取資訊、詐騙、偷竊等所有電腦犯罪行為中,無線網路的威脅傷害,是唯一每年都在持續增加的。而Gartner的研究也指出,在2006年仍有8成企業的無線網路系統,存在易受駭客入侵的弱點,這種未受安全防護的無線網路,等於是為駭客大開了一個方便之門,使企業花費大量金錢所投資建置的防火牆、入侵偵測系統和VPN等安全設備,完全處於無用武之地。

所以,若是啟用了一個沒有安全防護的無線網路,將會嚴重危害到整個企業的網路傳輸、資訊安全與營運持續狀態。

企業無線網路面臨的資安風險

過去,當無線網路一開始發展時,企業通常只會在特定的區域,像是在會議室、小型辦公室等地設置無線網路基地台,透過人工方式來管理設定一到數個無線網路設備,這其實是相當容易的,而且只要藉由IT人員設定好網路連線認證機制,僅允許已通過申請驗證的使用者才能使用無線網路,即可解決大部份無線網路的管理問題。如今,隨著無線網路擴充至整個企業,甚至是開放的公共空間來使用,面對這些數十到數百的無線網路基地台及連線設備,在安全管理上就會形成一個重大的問題,一不小心,很容易就會造成危害資訊安全的事件。

對企業而言,面對駭客日新月異的入侵攻擊手法,資訊安全所面臨的挑戰,已經不只侷限在如何管理合法的連線上,而是必須針對包括無線溢波問題、無線設備管制、惡意連線、意外連線、阻斷攻擊等問題,都需要一套有效的管理機制,才能確保無線網路的使用安全。

從技術與管理的角度來看,今日無線網路面臨的安全弱點,大致可分為以下幾點:
  1. 無線溢波問題 - 無線網路不像傳統有線網路需要透過實體線材傳輸資料,並且利用各項網路設備來層層把關監控,而是以無線電波訊號在空中傳輸,讓人看不到也摸不著,很難如同有線網路一般進行管理控制。尤其是隨著大功率天線的應用,所形成的溢波範圍都有可能成為惡意駭客的入侵點,駭客也藉此輕易地延長了可以攻擊的距離,往往令人防不勝防,使得無線網路也可能被用來作為入侵內部有線網路,作為駭客進行攻擊的跳板。

  2. 不當的無線網路設定 - 若管理者因為疏忽,而將無線網路設備一律使用出廠的預設值,或是未開啟無線加密設定,也就等於是打開大門歡迎駭客的光臨。舉例來說,像是每一個無線網路基地台,都需要提供一個網路服務職別名稱(SSID),使用者必須設定相同的SSID才能連線。但是許多的無線基地台,在出廠時即預設了default或any等名稱,若未經過更改,很容易會遭到入侵盜用。另外,一般無線基地台都會讓管理者透過Web介面來進行相關網路設定,若管理者在第一次登入設定畫面之後,沒有更改預設的密碼,也很容易會被以猜測密碼的方式來盜用。

  3. 駭客工具隨處可得 - 目前在網路上,只要在搜尋引擎中輸入「駭客工具」關鍵字,各種針對無線掃瞄、竊聽、WEP破解、Soft AP軟體工具幾乎唾手可得,許多非駭客級的惡意玩家,根本不必細心研究無線加密演算法或認證流程,只要應用這些工具,即可輕易入侵他人的無線網路。

  4. 意外連線問題 - 藉由安裝網路上下載的免費Soft AP軟體,任何一台筆記型電腦都可變成一台移動的無線基地台,並且支援Infrastructure和Ad-hoc連線模式,使用者稍一不慎,即有可能被引導連線至駭客偽裝的非法基地台,遭到騙取個人帳號和密碼,或是被偷窺側錄私人的通訊內容等。另外,在Windows XP中已內建了Ad-hoc無線點對點連線功能,可以讓筆記型電腦的使用者透過無線網路以點對點的連線方式,來分享或傳送檔案資訊。因此,利用這項弱點,惡意駭客還能夠透過病毒或木馬程式來修改相關設定,讓使用者在無意間啟動了Ad-hoc連線,不小心也就造成了個人資料外洩。
常見的無線網路入侵手法

對於有線網路的安全,企業通常都能採取有效的實體防護措施,以及使用各種網路設備來進行監控管理,但是一旦企業內部建置了無線網路系統,隨著無線網路基地台的啟動,若是缺少適當的入侵防禦措施,也就形同是將實體大樓的牆壁拆除,讓惡意駭客得以輕鬆而入。

因此,針對以上提到的無線網路所面臨的安全弱點,經常被惡意駭客用來入侵無線網路的攻擊手法有以下幾種:
  1. 封包竊聽(Sniffing) - 只要是在無線網路涵蓋的訊號或是溢波範圍之內,駭客就可以利用一些偵察工具,啟用雜亂模式(Promiscuous mode)來監聽無線網路的封包,接收所有傳送的資料。若管理者未啟用無線網路加密機制,那麼從這些沒有加密的封包中,駭客即可輕鬆獲得像是SSID、來源及目的IP Address,甚至是帳號密碼,或是MSN等即時通訊的傳輸內容。

  2. 偽冒基地台攻擊(Rogue AP & Evil twin) - 一般公開的無線網路連線程序是,當電腦開機之後,會透過無線網路卡發送Probe的連線請求,當週遭存在可用的無線基地台時,即會回應BEACONS給使用者的電腦,而系統就會根據最佳的訊號強度、品質、干擾程度等條件來連接至最佳的無線基地台。因此,惡意駭客可以架設高功率的無線基地台,冒用相同的SSID名稱,來誘導使用者連線至偽冒的基地台,偷取使用者的登入帳號及密碼。另外,駭客還可以透過軟體將筆記型電腦模擬成軟體的無線基地台(Soft AP),發送回應給發出連線請求的使用者,讓使用者的電腦被引導連線至惡意駭客的偽冒無線基地台,竊取使用者的個人資訊。

  3. MAC偽冒攻擊(MAC Address Spoofing) - 目前無線網路的安全機制上,可以藉由管制使用者網路卡的MAC Address來過濾合法及非法的使用者,但是,惡意駭客可以透過駭客工具,以監聽無線網路封包的方式,來取得合法使用者的MAC Address,然後再修改其網路卡的MAC address,冒充成合法使用者來騙過AP,達到成功連線的目的。因此,透過鎖住特定MAC address來限制連線,已經不是很安全的管理方式。

  4. 無線網路阻斷服務攻擊(WLAN DOS) - 既然有線網路會遭遇阻斷式攻擊,無線網路也是難以避免,無線網路的阻斷攻擊,通常可分為以下三類:(1) 攻擊無線基地台:對基地台發動封包攻擊或發送反認證封包,阻止其他無線使用者與無線基地台進行連線。(2) 攻擊使用者電腦:阻斷特定使用者的電腦,使其無法與其他無線網路設備連線。(3) 攻擊無線網路頻道:針對所使用的無線通訊頻道,進行癱瘓攻擊(RF Jamming),造成所有使用此一頻道的無線網路設備皆無法順利連線。

  5. 中間人攔截攻擊(Man in the Middle Attack) - 所謂中間人攔截攻擊其實是結合偽冒基地台以及阻斷服務攻擊的方式,指攻擊者冒充無線基地台,對於目前使用者發送中斷連線和反認證封包,藉此來中斷使用者和無線基地台之間的連線。然後,攻擊者重新再和使用者建立連線,並且另一邊也同時和合法無線基地台連線,扮演著使用者和無線基地台的中間人,趁機從中攔截並竊取傳輸的資訊。
無線網路防禦的對策分析

面對在任何時間及地點都可能發生的駭客入侵事件,企業想要安心地使用無線網路並確保無線網路的使用安全,建議可以從「作好無線網路的風險管理」、「列管所有無線網路設備」、「部署無線網路入侵偵測防禦系統」等三項對策來著手。

首先,針對無線網路的風險管理,我們可以把握住以下原則,來檢視評估企業面臨了哪些可能的無線網路風險,藉此來導入相關的風險控制措施,即可防止大部份的竊聽及偽冒攻擊:
  • Who - 無線網路誰可以連結使用,是否經過身份認證?有哪些裝置連結了無線網路?
  • What - 使用者連線允許連線至哪個無線設備?具有什麼連結權限?可供無線網路連結使用的系統或服務是什麼?
  • When - 何時能使用無線網路?連線的時間多久?
  • Where - 從哪個地點來連結無線網路?
  • Why - 企業為何需要使用無線網路?
  • How - 使用者如何連結無線網路?使用無線網路上傳及下載了多少資料?
第二項對策是,企業必須要列管所有的無線網路設備,針對這些設備制訂出對應的管理政策(Policy),以確保使用無線網路的裝置,在進入企業時都已受到良好的防護,應該列入控管的設備包括了:
  • 硬體無線基地台(Hardware AP)
  • 軟體無線基地台(Soft AP)
  • 特殊無線裝置:例如無線條碼掃瞄器
  • 裝置無線網路卡的PC及筆記型電腦
  • 內建無線網路的手機、PDA、Pocket PC
這一部份除了採取人工列管之外,也可以利用無線網路入侵偵測防禦系統來自動識別各項裝置,透過安全政策(Policy)的設定,可阻止不當裝置的連線使用。

至於第三項對策,則是部署「無線網路入侵偵測防禦系統」,從使用者端的無線安全防護,到無線網路設備連線的集中式安全監控,能夠阻絕像是封包竊聽、偽冒MAC位址、偽冒基地台、阻斷服務攻擊和中間人攔截攻擊等各式駭客攻擊手法,同時還可針對非法外部裝置的企圖連線,以及避免使用者因為意外連線至鄰近公司等問題,皆能加以有效防範。

目前針對無線網路的偵測監控,主要可以分為「行動式監控」與「固定式監控」兩種,所謂行動監控是指透過在筆記型電腦或Pocket PC上安裝無線網路偵測軟體,由管理者攜帶至企業各個角落遊走,來找出在偵測範圍內是否有非法訊號的出現。使用行動監控的優勢是可以藉由手持裝置四處巡邏,找出妨礙無線訊號的死角,以及躲在安全角落的非法無線設備,但缺點則為無線網路卡本身的功率太小,涵蓋範圍不足,很有可能發生掛一漏萬的狀況。

固定式監控則是透過安裝訊號感應器(Sensor),採取24小時持續不斷地監控所有無線網路設備與無線訊號,並將各個感應器偵測所得的資料回傳給主控端伺服器,由伺服器來進行裝置識別、連線封包分析,並且根據使用者或預設的安全政策來鎖定非法裝置或進行無線訊號阻斷,讓非法裝置無所遁形,最後還會自動產生資安事件報告以供管理者參考。即使企業有多個分散據點,同樣只要在使用無線網路的分點來佈署感應器,就可以透過主控端來統一監控,並且針對整個企業的無線網路,隨時作出診斷分析,判斷哪些地點容易遭受攻擊、可能攻擊手法類型及建議的反制措施。

此外,在使用者的電腦上,還可以個別安裝無線個人防護系統,透過常駐軟體程式,集中監控Windows PC/Notebook的無線網路設定與連線活動,並且偵測與反制違規使用行為及安全威脅。

所以,從管理者的角度而言,佈署集中控管的無線網路入侵防禦系統,能夠大幅減輕管理者的工作負擔,並且能夠時時清楚掌控目前企業無線網路的使用狀態,因此建議企業在選擇一個有效的無線網路入侵偵測防禦系統時,必須考慮能夠保護以下三個面向:
  • 能夠識別並確保無線裝置的安全,像是無線基地台、筆記型電腦、無線條碼掃瞄器、PDA等。
  • 能夠監控通訊連線的安全,包括安全的加密與身份驗證,並且阻斷非法連線。
  • 能提供24x7即時監控,提供管理者安全政策的佈署及營運上的支援報告。
採取適當防護即可降低風險

或許有人會認為,既然無線網路存在著入侵風險,那企業乾脆不要使用就好,但是其實無論有線、無線,使用網路本身就存在著一定風險,實在不必因噎廢食。尤其無線網路的應用,已是世界各國在為提升科技服務而努力的目標,而企業朝向行動工作化的目的,也是為了提升更高的工作效率與品質,因此對於無線網路安全的議題,只要做好適當的資安防護工作,就能將可能的資安風險降至最低。

在傳統有線網路的管理上,網路管理者可以透過路由器、交換器等流量管制設備,或是IDS入侵偵測系統來偵測監控網路上異常的流量,雖然目前也有針對無線網路的集中式交換器,可以控管所有的無線網路基地台,並且進行使用者身份驗證和監控流量,但是對無線網路而言,當訊號在離開基地台之後,是經由空中傳遞到連結的使用者,這時像是無線溢波等可能發生的入侵問題,光憑有線的網路設備是絕對無法偵測預防的。

因此,面對可能的無線網路入侵攻擊,企業必須思考除了管理合法的連線之外,仍必須搭配佈署24小時持續不中斷,能夠針對來自空中的訊號予以監控的無線網路入侵偵測防禦解決方案。但是,如果一個所謂的入侵偵測防禦系統,只能週期性或短暫性地偵測監控,無法即時反應來阻絕非法連線,那也絕對稱不上是一套安全的入侵偵測防禦系統,所以,企業所部署的無線網路入侵偵測防禦系統,還必須能夠即時判別連線或關連的產生、鎖定非法無線裝置的位置,以及評估資料交換與可能損害大小,如此才能有效防範各種危害無線網路安全的行為發生。(本文刊載於2007年iThome資安專刊)