从检测经验谈企业网安漏洞

中华电信网安监控中心渗透测试团队负责人施泛勳。

中华电信网安监控中心渗透测试团队负责人施泛勳先生，以自己取得CEH(道德黑客认证)、CHFI(网安监识调查专家认证)等证照，并从事网安相关领域5年的经验，来说明近期重大网安事件与企业易犯的网安谬误。

他首先列举了近半年发生在国内外超过10起重大的网安事件，包括各种知名软件、网站、服务、移动App受到黑客入侵，造成严重的个资外泄，甚至财产损失的事件。

黑客攻击的目的主要还是为了获利，透过入侵企业网站来捞取会员个资，一来可勒索企业给予金钱否则将泄漏其会员数据，二来可将个资卖给诈骗集团，或与其他黑客炫耀其战果。根据赛门铁克的统计，历年来总共有5亿多笔的个资外泄，网安问题不可轻忽。

预防胜于治疗  为企业网安做健检

施先生介绍大家可以去一个叫做ShouldIChangeMyPassword.com网站，将自己E-mail输入进去，以查阅该E-mail在过去是否有发生帐号外流的疑虑，以便提早更换口令，杜绝被盗用的机会。

基于上例，可知安全检测的重要性。人有病该吃药、系统也是如此。据美国国防部统计，企业往往需要花10倍的金额，来修补开发阶段所遗留下来的漏洞。因此提早为网安做检测，即可提早治疗，在企业的财产或名誉损失前就把问题解决掉。

各种不同检测项目  找出所有潜在危害

透过主机与网页弱点扫描、网站安全监测、源码检测，恶意电子邮件社交工程演练与渗透测试，可分别找出系统、程序与人员的网安漏洞。

「弱点扫描」主要是透过自动化工具扫描已知的漏洞，另可透过弱点管理系统来做追踪管理以掌握修补情形。「网站安全监测」则是透过网站存活检查、网页恶意关键字比对、网页窜改、网页挂码检测等方式，来检测、监控网站是否遭骇。

「源码检测」则是建议在开发阶段即导入，以自动化工具扫描程序码，发现漏洞并提出修补建议。而「恶意电子邮件社交工程演练」，则是以最新时事或热门话题寄出E-mail给受测企业的员工，看是否因好奇心而去点选里面连结或附件，以提升人员网安意识，降低APT攻击受骇机率。

最后的「渗透测试」，是一种模拟黑客攻击的手法，对目标系统进行不择手段的安全性测试，并把过程记录下来，结合自家公司的一套测试SOP，融合了PTES、OSSTMM、OWASP等测试项目，极尽所能找出系统漏洞，为企业网安做好万全的把关。

企业常见的安全谬误  提早发现提早修正

他以之前做过的案例，列出企业常见的10种网安谬误：
1. 开发者常因误用黑名单字串过滤机制造成注入类漏洞修补成果不彰。
2. 编码、加密、杂凑三者的误用因而系统未发挥应有的保密性。
3. 利用Javascript进行防御容易被绕过，提醒开发者服务器端程序的防护不可少。
4. 加密？编码的数据传递须更注意后端处理函式的安全性，像WAF网页应用程序防火墙和IPS入侵防御系统等产品，难以发现这类攻击。
5. 企业误以为买IPS或WAF等网安设备就能解决所有问题，但没有专业人员调校、监控与分析，设备难以发挥其应有功效。
6. 外紧内松的防御策略，因内网服务器开放过多服务埠、系统弱口令还有人性的脆弱，使得由内而外入侵的恶意邮件APT攻击盛行。
7. 委外开发厂商共享的模块若存在漏洞，可能同时影响多家企业。
8. 移动应用程序安全需关注的面向更多，常被不小心忽略。
9. 形同对黑客友善机敏数据注解与备份程序码常被遗留在正式系统上。
10. 商业逻辑漏洞。像是银行、寿险、商城等网站的汇率转换？红利？积点？兑换券？特价品？临时活动？试算表，常因计价与付款流程中名称？金额？数量等变量可窜改，例如可输入负值或窜改付款帐号等，造成金钱损失。

以上疏失都可能造成损害，该公司网安舰队为全台最大网安防护服务网，技术能力已获各方认可，具备云端架构渗透测试与安全评估的能力，可帮助企业做最完整的IT健诊，杜绝黑客攻击。