[觀點] 防範網路大軍的惡意入侵

資安的防禦工作和攻擊手法比較起來，事實上難度更高，也很難全面地加以兼顧。在網路攻擊氾濫的今天，網管人員只要稍有鬆懈，很容易就會受到來自四面八方的惡意入侵，一旦使用者電腦或服務主機受到操控成為跳板，隨之而來的就是更多令人頭痛的問題。

相信大多數六年級生和更年長的朋友，都曾經歷過殭屍電影的熱潮，在電影中道長只要憑藉手中的符咒，一一黏貼在殭屍的頭上，然後一搖手中的法鈴，就能操控所有殭屍行走跳躍的方向。在這個網路盛行的年代，也有所謂的殭屍網路(Botnet)出現，它是指一群受害者的電腦受到操控，成為受人擺佈的「殭屍」，可以被惡意人士利用來發動大規模的網路攻擊，或是從事散布垃圾郵件或病毒的惡意行為，而且這些攻擊往往難以追查到幕後的真正控制者。

為什麼電腦會變成「殭屍」？可能的原因有很多，但比較顯而易見的原因則有二個，一是管理人員平時未做好管理工作，讓電腦缺少適當的防禦機制，例如未安裝防毒軟體、未修補作業系統漏洞等，造成使用者的電腦具有容易入侵的弱點，進而感染了木馬或病毒等惡意程式。另外一個原因則是使用者本身缺少了資安意識，喜歡點選開啟來路不明的電子郵件或檔案，或是濫用電腦去下載非法軟體，導致電腦很快就變成殭屍大軍中的一員。

殭屍網路危害的情況

過去，殭屍網路大多被用來作為癱瘓他人網站的利器，只要透過同一時間操控大量的殭屍電腦，發動分散式的阻斷服務攻擊，往往就會造成企業的網站難以招架而停擺，網管人員也很難在短時間內就能找出攻擊的源頭並加以阻擋。殭屍網路也能被用來作為發送垃圾郵件的工具，藉由不斷轉換不同的受害電腦當做發信主機，就可使得過濾郵件黑名單的功能容易因此失效。

隨著網路廣告服務的盛行，殭屍網路更被用來和地下經濟做結合，利用操控分散在各地的電腦，針對特定線上廣告進行點擊，就可以獲得廣告的收入，此一類型的手法，被稱之為「點擊詐欺」。換句話說，殭屍們已不再像以往只具有單一功用，而是會隨著情境設定的轉移，即可成為駭客們手中操弄的不同角色，而探究其目的，多數都是為了獲得不法利益才來進行。

如今，殭屍的行為模式也變得更加有組織，除了以廣告點擊方式來獲利外，目前最新的手法是可以竄改Google的搜尋結果，以假的廣告連結來加以替代，每當不知情的使用者一點擊，也就成為幫忙駭客賺錢的工具之一。殭屍網路還能夠幫助駭客蒐集各項有價值的資訊，例如個人電腦上的使用者身份資料、帳號密碼，以及信用卡號等，根據加州大學的研究人員指出，在短短十天內，殭屍網路即有能力獲得高達70G的使用者資訊，藉此可獲得高遠數百萬美元的不法利益。

至於目前很流行的社交網路，使用者若一不小心，也很容易成為殭屍網路中的一份子。根據希臘Foundation for Research and Technology機構的研究顯示，只要透過在社交網路上的應用程式，分享圖片給使用者瀏覽，透過此應用程式中所隱藏的框架，就可以驅使使用者的電腦向特定的主機傳送網路流量，除了可用來當作實行阻斷攻擊的跳板，還能夠竊取其他使用者帳號並散播惡意程式。

從殭屍網路到鬼網間諜

除了殭屍網路之外，如今更出現了一個新名詞，叫做「鬼網」。根據加拿大的研究人員指出，在最近兩年之內，包括台灣等世界共103個國家，有1295台政府和民間企業組織的電腦，都曾經遭到間諜滲透，一旦這些電腦被植入了惡意軟體，駭客就能在遠端監控使用者的行為，還能夠開啟電腦上的網路攝影機，監視四周的環境動態，許多包括國家級的機密文件，恐怕也已經遭到竊取。

以往要滲透他人的電腦，往往會採取網路釣魚等社交工程手法，透過發送內含惡意軟體或惡意連結的郵件來引誘使用者上鉤。但是研究人員表示，鬼網的運作主要是有系統地針對特定目標，以便可獲得一開始即鎖定的機密資訊，而且它極有可能是透過國家的力量發起，儼然成為一種新型態的資訊戰爭。

這樣的手法，是否也會被運用在商業環境中，仍有待觀察。但依照以往經驗，商場如戰場，各種商業間諜的案例仍然層出不窮，相信只要是有利可圖，惡意人士應不會輕易放過這塊大餅，所以相對的，這也是給企業的一道警訊，在未來的商業競爭中，很可能也會面臨這種非法的手段，是否該及早作好準備，也考驗著企業經營階層的反應能力。

網路威脅的應對之道

一開始即提到，防禦這件事在資安工作中，可能遠比入侵他人的難度要高出許多，所以企業要如何因應，在千頭萬緒中究竟該如何做起？個人的建議是盡量以簡御繁，先從簡單能做的著手，也就是先回頭檢視企業現有的環境，擬定防禦策略，並及時修補可能的安全漏洞。

因此，企業可以從管理面開始，首先擬定網路的安全政策與規範，不過在擬定之前，需要全面檢視現有的網路架構，建議可以由外向內，一層一層地確認目前的安全設備，是否已處於正確位置並發揮作用，同時也要進行服務主機的強化，然後再到使用者端進行弱點補強。網管人員可以進行的工作，包括：

1. 檢測防火牆的存取政策是否適當，是否開放了企業不允許的網路服務和通訊埠，當需要變更存取政策時，應依照企業擬定的變更管理程序來進行。
2. 檢視入侵偵測防禦系統的特徵比對是否能持續更新，並確認封包本身的檢測深度是否合理有效，同時可評估是否進一步與網路安全設備連動，以進行聯合防禦。
3. 檢視相關的網路設備所使用的作業系統和韌體是否為新版，以避免可能存在的安全漏洞，必要時可請設備廠商協助予以更新。
4. 確認網路設備的管理帳號和密碼，是否有一定的控管程序，避免使用預設的管理帳號，並要求密碼具備一定的強度(例如大小寫數字混合，長度8碼以上)。
5. 定期檢視網路設備的活動監控記錄，並進行網路設備的效能評估，以確保相關設備不會因特定連線或流量的增加，導致無法負荷而停擺。
6. 確保網路防禦機制能夠持續運作，因此適時的備份與回復演練是絕對必要的，當大量的網路攻擊和新攻擊手法出現時，若能和外部資安專家或維護廠商在平時就建立良好的聯繫管道，在戰時就能適時的尋求外部支援。

總結

網路安全的攻防之間，似乎是一項永無止盡的工作，但是藉由基礎防禦機制的強化，就能獲得相對的安全保障。當然，在此也要提醒網管人員，千萬別一昧地追求技術上的控制，而忽略了適時的管理手法反而簡單有效。所以在使用者方面，除了透過技術機制協助使用者更新防毒軟體及病毒碼，修補作業系統的安全漏洞之外，更需要讓使用者具備一定的資安認知，包括了社交工程的防範、電子郵件的應用安全、上網瀏覽的安全注意事項等，因為使用者的教育訓練，往往就是有效且成本最低的防禦策略，可藉此來大幅降低日常作業所面臨的資安風險。(本文刊載於2009年6月號網管人雜誌)