网络黑客与网安厂商的攻防博弈
- DIGITIMES企划
-
网安厂商与黑客之间的攻防,其实与博弈非常类似,网擎信息产品管理部经理林家正指出,网安厂商在与黑客之间的博弈心态,应该是「不要想着赢,要想不能输」,目标不是击败黑客,而是设法要避免客户发生损失。
林家正更以Google(2010年3月被攻击)、RSA(2011年3月被攻击)、韩国银行(2013年3月被攻击)的信息安全事件为例指出,利用所谓的社交工程或鱼叉式钓鱼信件进行攻击,已经是黑客相当常用的手段。在Openfind的电子邮件威胁实验室中,分析出来自于大陆的攻击最多,超过一半以上,台湾目前则是第4名,也因此证明电子邮件已成为网安业者与黑客攻防的第一线。
一般而言,黑客利用电子邮件进行攻击的方式,首先是仿冒。林家正指出,许多黑客会仿冒我们一般常使用的云端服务业者并寄发通知信,值得注意的是,即使仿冒信件的破绽很多,如使用简体字、大陆用语等,从寄件者信息及Domain其实也可看得出来该信件为仿冒信件,但还是有人会上当。
不仅如此,透过沙箱连线到仿冒信件所附上的网站连结,会发现该伪造的网站都被仿冒的惟妙惟肖,黑客根本就是将整个原本的网页拷贝一份,制作成一个相似度很高的假网站,用户在点选网站连结后,很难察觉是仿冒网页。林家正指出,有些黑客网页会要求用户登入网络硬盘下载档案,过程却只是回应「Server Busy」,但其实用户的数据正在外泄中。
此外,还有些邮件会利用「拒收请按此」连结当陷阱,用户点下去后,输入E-mail来拒绝收到该信件,但其实却已经被黑客收集到E-mail帐号。林家正指出,黑客之所以会这麽做,是因为以前使用的「字典式攻击」,也就是利用各种字元组合透过退信来建立攻击名单的方法,现在的邮件服务器已经有能力加以防范,因此黑客手法便开始不断的变形来达到取得攻击名单。
林家正指出,其实位址都会直接显示于信件的超连结中,用户可立即察觉连结是否有经过伪造。但很多社交工程就是在赌用户会一时冲动按下连结,因此林家正建议,只要Gateway端有协助防御的机制,如将超连结转成纯文字,或是当使用者真的要连线到该网址时,可先侦测超连结是否会连到恶意网站并告警使用者,这样便可大幅降低风险。
此外,近期的电子邮件威胁,还兴起一种企业诈骗的方式,是利用买卖双方彼此在进行联系时,黑客会在此时假冒卖方企业,发出一封新的电子邮件,通知收件者已经更改汇款帐户,许多买方没经查证就汇款,事后才发现已经被诈骗。
林家正指出,企业可以透过邮件稽核系统,如在Gateway端加入自动加印寄件人专属PKI签章,甚至可以将信件变成PDF档,透过口令或浮水印来保护,借此全面杜绝企业邮件遭冒名的风险。
另一个避免电子邮件遭骇的重点,在于帐号及口令的安全设定。尽管许多用户都知道,帐号跟口令被猜到时,系统就会有危险(被设定自动转寄、POP3?IMAP?SMTP服务被打开等,导致机密外泄),但林家正指出,很多人到现在还是会用很多人都猜得到的口令,由于邮件系统无法事前监督使用者设定口令,后续如何监督就变得很重要。
如邮件系统要有能力定期巡视,有无那些不该打开的服务被打开,或是主动要求用户设定较为复杂的口令原则,系统的线上连线(SSH)平常要关掉,有需要厂商线上登入来定期保养或是异常状况处理时再打开等,避免平常就开个入口让黑客有机可趁。
另外一个要小心防范的对象,则是商业间谍。林家正指出,之前有很多商业间谍,都会透过电子邮件泄漏机密,这些内贼有的为躲避稽核,除了透过窜改副档名的方法外,有的还会透过图档挟带压缩档的方式,将机密文件藏匿在其中,表面上开启此档后,会发现的确是一张图片,但实际上该档案却是可被解压缩的Office系列档案或是PDF文件。
面对如此令人防不胜防的手法,建议企业利用可抓出这些异常邮件的邮件归档系统来整理,弹性定义邮件稽核政策,只要出现异常行为,系统就能定期通报管理人员,还可藉统计报表来察觉那些使用者常常寄出不正常的信件,并进行适当的处置。
整体而言,企业只要能在部署时做好网安准备,包括建置邮件防护系统、邮件稽核系统、电子邮件系统(需含网安防护)及邮件归档管理系统,并在架构上把Gateway端的邮件防护系统与邮件稽核系统放置于DMZ区,那就算Gateway端被攻破,也可以降低风险,如果企业没有建立相关的邮件网安防御设备,也可以考虑采用云端服务或是混合云的架构搭配,除了可降低人力成本外,更可得到最新最好的服务。
林家正表示,网安威胁的攻击已越趋多元化,但大部分的攻击皆由电子邮件开始,在处于攻击手法日新月异的时代,唯有企业唯有不断的「更新」面对才是王道,如操作系统及应用程序都要不断地更新,漏洞及风险才不会愈来愈大。
更重要的是,人的思维也要更新,如果能做好内部机制管理,并透过有经验且在地化的电子邮件厂商提供完善的系统机制协助,那上述相关的信息安全风险则皆可避免,并创造优质的邮件沟通环境。
