就是資安

McAfee 於日前公布了最新一季 (2011 Q1) 的威脅報告，內容包含下列觀察結果：

安全廠商 eEye Digital Security 在上個月 (5月) 發表了一份報告，內容針對去年度 (2010年) 微軟所發佈的安全通告進行分析。在報告中，提出了幾項在組態上建議採行的控制措施，以避免或減少安全問題的危害：

• 避免使用 WebDAV – 對許多使用者而言，WebDAV 並不是日常工作所需的功能。然而在較新的微軟作業系統中，這些協定卻是預設開啟的，因而造成了安全問題的發生。關閉 WebDAV 的使用可以透過 GPO 將 WebClient 這個服務加以停用，或者是利用網路設備 (如IPS) 將 WebDAV 的封包加以攔阻。唯在進行 WebDAV 使用的封鎖之前，應確實了解內部有哪些 WebDAV 協定的使用是必須的，以免影響原有作業之進行。
• 避免使用 Office 的 Converter 功能 – Office 的 Converter 功能主要是用來提供 Office 程式開啟不同版本的 Office 文件(包含開啟舊版的文件，或者是新版的文件)。同樣的，這樣的功能也不是大多數使用者在進行日常業務時所需的。關閉 Converter 的功能可以透過 GPO 或是機碼的方式對使用者進行設定，唯需特別注意的是每一個 Office 功能 (如 Word 或 PowerPoint) 需分別設定。
• 使用代理伺服器 - 雖然代理伺服器本身不能阻隔攻擊行為的發生，但是卻可以有效避免被成功攻擊後所產生的危害，這些危害包含與控制中心的溝通、或者是相關機密資料的外洩。必須注意的是，這些代理伺服器不僅需針對 HTTP 的協定，更應該包含所有的網路協定。
• 採用 VLAN 與 IPSec - 採用 VLAN 不但可以避免封包的偷窺 (Sniffing) 或修改攻擊，更可以藉由分析 VLAN 間的流量找出可疑的網路行為。如果再加上 IPSec 的使用，即使是同一個 VLAN 之內的封包也無法進行偷窺或修改的攻擊。
• 避免使用 NTVDM – NTVDM 是用來模擬 16 位元程式執行環境的子系統，此對大多數的使用者而言同樣並非所需的功能。
• 使用最新版本的應用程式 - 這裡講的不是安裝最新的更新檔 (Patch 或 Service Pack)，而是安裝最新的版本，例如使用 Office 2010 取代 Office 2007。根據實際的數據顯示，新版的應用程式確實擁有較少的安全問題，而這主要歸功於微軟不斷地致力於提昇軟體安全。只是微軟在提昇軟體安全的同時，卻忘了把舊的軟體一併改進，所以才會造成此一現象。當然，這點建議在採行上還有其他因素需要考量，包含轉換成本以及相容性等。

對原始報告內容有興趣的讀者，可以在這裡下載完整的內容。

每次一有機會跟從事軟體開發的朋友聊天時，我就會問一下他們有關軟體安全的問題。當然，我問的問題很簡單，就是他們的軟體有考慮安全的問題嗎？嗯，其中一種蠻常聽到的回答就是：「有啊，我們的資料在傳輸時有加密。」或者是「沒有耶，我們的資料都沒有做任何的加密。」

噹！這樣的答案聽起來好像很有理，卻是對軟體安全有著極大的誤解。對於軟體安全而言，從需求面可以分成兩大類型，第一類是安全性功能 (Security Feature)，像是資料在儲存時要進行加密就是屬於這類需求。另外一類需求我們稱為安全軟體的需求 (Requirements for Secure Software)，也是大家比較不熟悉的部份。舉例來說，避免程式受到跨網站腳本攻擊就是屬於安全軟體的需求。