就是資安

McAfee 於日前公布了最新一季 (2011 Q1) 的威脅報告，內容包含下列觀察結果：     Android 躍居為行動裝置平台中最受惡意程式青睞的第三名，僅次於 Symbian OS 與 J2ME。因為 Android 的開放性以及高佔有率，預計針對 Android 的威脅將持續增加。在感染的方式上，大多將惡意程式注入合法程式中並誘使使用者加以安裝。當使用者一旦安裝這些受到感染的程式後，除了可能將機密資料(例如 IMEI 或是手機號碼) 傳遞出去外，也有可能成為殭屍網路的一員。 因為多個組織聯合起來對付 Rustock Botnet，所以 Botnet 的數量呈現下降的現象，連帶的使得透過 Botnet 發送的垃圾信件數量也持續呈現下滑的趨勢。不過這場與 Botnet 的戰爭，誰輸誰贏還有待後續的觀察。 竊取銀行帳號/密碼或其他機密資料的程式持續發威，並且隨著技術的成熟，這些惡意程式 (如 Zeus、SpyEye) 可以透過模組化的方式動態地新增功能，提升所引起的威脅。 搜尋引擎關鍵字的濫用，這些關鍵字包含新聞時事 (如日本地震) 以及熱門話題 (如 Android 手機)。駭客可以透過搜尋結果的呈現，將使用者導向惡意網站，並對其進行攻擊 (如偷渡下載)。除了對使用者進行攻擊之外，也有可能誘使使用者進行捐款 (如針對日本地震) 以獲取金錢上的利益。 在非法檔案 (如受版權保護的軟體) 分享方面，美國是主要的地區，其次分別是德國與中國。 Adobe 產品 (主要為 Flash 與 PDF) 的弱點數量大幅超越 Microsoft 的產品弱點。Adobe 成為弱點最多的廠商，也順勢成為最受駭客青睞的的廠商。 Botnet 衍生出 Botnet as a Service 的形式。對 Botnet 的使用者而言，可以用更低廉的成本取得相關服務 (如寄送垃圾信件或發動 DDoS 攻擊)。 Hackvitism 利用網路進行串連，發起了許多世人關注的活動。埃及、摩洛哥、敘利亞、土耳其等國家或地區，人民透過網路串連後，聚集在一起以表達出人民的心聲。

安全廠商 eEye Digital Security 在上個月 (5月) 發表了一份報告，內容針對去年度 (2010年) 微軟所發佈的安全通告進行分析。在報告中，提出了幾項在組態上建議採行的控制措施，以避免或減少安全問題的危害： 避免使用 WebDAV – 對許多使用者而言，WebDAV 並不是日常工作所需的功能。然而在較新的微軟作業系統中，這些協定卻是預設開啟的，因而造成了安全問題的發生。關閉 WebDAV 的使用可以透過 GPO 將 WebClient 這個服務加以停用，或者是利用網路設備 (如IPS) 將 WebDAV 的封包加以攔阻。唯在進行 WebDAV 使用的封鎖之前，應確實了解內部有哪些 WebDAV 協定的使用是必須的，以免影響原有作業之進行。 避免使用 Office 的 Converter 功能 – Office 的 Converter 功能主要是用來提供 Office 程式開啟不同版本的 Office 文件(包含開啟舊版的文件，或者是新版的文件)。同樣的，這樣的功能也不是大多數使用者在進行日常業務時所需的。關閉 Converter 的功能可以透過 GPO 或是機碼的方式對使用者進行設定，唯需特別注意的是每一個 Office 功能 (如 Word 或 PowerPoint) 需分別設定。 使用代理伺服器 - 雖然代理伺服器本身不能阻隔攻擊行為的發生，但是卻可以有效避免被成功攻擊後所產生的危害，這些危害包含與控制中心的溝通、或者是相關機密資料的外洩。必須注意的是，這些代理伺服器不僅需針對 HTTP 的協定，更應該包含所有的網路協定。 採用 VLAN 與 IPSec - 採用 VLAN 不但可以避免封包的偷窺 (Sniffing) 或修改攻擊，更可以藉由分析 VLAN 間的流量找出可疑的網路行為。如果再加上 IPSec 的使用，即使是同一個 VLAN 之內的封包也無法進行偷窺或修改的攻擊。 避免使用 NTVDM – NTVDM 是用來模擬 16 位元程式執行環境的子系統，此對大多數的使用者而言同樣並非所需的功能。 使用最新版本的應用程式 - 這裡講的不是安裝最新的更新檔 (Patch 或 Service Pack)，而是安裝最新的版本，例如使用 Office 2010 取代 Office 2007。根據實際的數據顯示，新版的應用程式確實擁有較少的安全問題，而這主要歸功於微軟不斷地致力於提昇軟體安全。只是微軟在提昇軟體安全的同時，卻忘了把舊的軟體一併改進，所以才會造成此一現象。當然，這點建議在採行上還有其他因素需要考量，包含轉換成本以及相容性等。

IBM X-Force 上個月發表了 2010 年的年中報告，報告中有幾項重要趨勢值得特別注意：



攻擊者使用更多的隱匿技術來進行攻擊，例如像是 JavaScript 混淆　(Obfuscation) 的手法，而這些技術已經對 IT 安全專家造成相當程度的困惱。
被發現的安全弱點數量持續成長，與去年同期相比成長了 36%，創下歷史新高點。
利用 PDF 的攻擊行為隨著攻擊手法的翻新持續增加。PDF 攻擊被大量採用的原因在於其攻擊目標為防禦能力較差的終端設備 (如個人電腦)，一旦入侵成功就可以作為其他入侵手法的跳板。
Zeus botnet 持續對企業產生莫大的影響，而新版的 Zeus 甚至開始提供攻擊者更新的功能。

SpiderLabs 的顧問 Ryan Jones 於日前表示，根據他實際檢驗過許多資料中心後的經驗顯示，僅管這些資料中心花了大把的銀子做好網路的安全防護，但是在實體方面的防護仍舊存在許多明顯可見且容易被有心份子所利用的安全漏洞。 他列出了五項最容易進入資料中心進行破壞的手法，包含 從建築物的空隙爬進去 (Crawling through void spaces)。

• 當高架地板與懸吊式天花板在規劃或安裝時沒有仔細考量，就很容易形成一個能夠輕易進出的管道。
• 為了避免產生此一問題，需要盡可能使用實體的牆壁延伸於整個高架地板與天花板之間，不然至少應該使用石膏牆板 (dry wall) 加以封閉。

撬開或破壞安裝不正確的門扉或窗戶 (Jimmying open improperly installed doors or windows)。

• 使用實心材質的門板。有些門板使用空心夾板的材質，很容易受外力的破壞。另外像是玻璃 (非強化玻璃) 材質的門板，也存在類似的缺點。
• 確定鉸鏈的安裝方向是否正確。一旦鉸鏈安裝在錯誤的方向，那麼有心份子就可以將門扉卸下以達到破壞的目的。這個問題可以透過實際動線的模擬來加以防範。

打開門鎖 (Lock-picking the door)。

• 除了門板本身的安全外，門鎖也是很重要的一環。事實上，一般門鎖除了可以利用專門的工具加以破壞之外，有些門鎖甚至只要使用一張卡片就可以加以解除。
• 使用高安全性的門鎖或者生物識別的系統，可以減少這類問題的產生。

尾隨 (Tailgating)。

• 因為人們通常熱於幫助別人，而且也不願意與他人產生無謂的衝突，因此往往會協助他人通過受管制的門扉。例如當我們看到一個人雙手抱著重物時，會很自然地幫他擋住即將關閉的門扉以協助其進入。如果再搭配一些肢體動作或是外型偽裝 (如制服、識別證)，其成功率將更為提高。這部分需要透過教育訓練以提升員工的危機意識。
• 此外，如果門扉的關閉動作較為緩慢，有心份子甚至可以在沒有人注意到的情況下偷溜進去。對於此一問題，可以將門扉的關閉時間加以縮短。而 man trap 可以進一步減少這類問題的發生。
• 除此之外，聘用安全人員檢驗所有人員的進出也是一個可行的方法。

假冒合約廠商或其他服務人員 (Posing as contractors or service repairman)。

• 屬於社交工程的手法。
• 除了強化員工相關的教育訓練外，同時必須制定明確的識別機制與作業規範，以避免員工無所適從、甚至誤解所產生的安全危機。

根據  Kaspersky 最近針對 2010 年第一季垃圾郵件 (Spam) 的分析報告顯示，Facebook 一躍成為釣魚攻擊目標的第四名 (5.7%)，排列在 Paypal (52.2%)、eBay (13.3%)、HSBC (7.8%) 之後。攻擊目標的前三名多與金流有關，Facebook 則以社交網站的身分獲得青睞，其比例甚至高於名列第五名的搜尋引擎龍頭 Google (3.1%)。 儘管釣魚攻擊通常並不是利用被攻擊目標的安全漏洞加以進行，但是目標網站依舊有教育其使用者如何避免遭受釣魚攻擊的義務。在這方面，Facebook 似乎並沒有任何作為。隨著 Facebook 的持續成長，針對 Facebook 的釣魚攻擊 (與其他類型的攻擊) 只會越來越多。身為使用者的我們，既然不能改變網站的設計，能夠做的就是更加小心，不要讓自己成為釣魚攻擊的下一個受害者。 在這份報告中還有另外一個值得注意的變化，那就是垃圾郵件的來源地區中，因為中國政府加強管理網域註冊政策，因此減少了垃圾郵件散佈的數量。這個做法，或許值得其他國家做為借鏡。   相關連結：

OWASP (Open Web Application Security Project) 每三年一次的 Top 10 報告，於日前 (2010/04/19) 正式定案。這次報告的副標題由 2007 年的 The Ten Most Critical Web Application Security Vulnerabilities 變成了  The Ten Most Critical Web Application Security Risks，顯示 OWASP 試圖跳脫以純技術眼光來看待 Web Application 議題的思考模式，而是以整體的風險來加以評估。當然，風險其實是很”個人化”的，所以 OWASP 所謂的風險依舊是以”一般性”的眼光來加以評估，在實際的應用上必須自行重新評估。 在獲選入榜的項目中，除了排名因為評估方式改變而有所變化外，還有下列幾項的變更： 新增第六項為不正確的安全設定 (Security Misconfiguration)。 新增第十項為未驗證的重新導向與轉發 (Unvalidated Redirects and Forwards)。 移除第三項惡意程式的執行 (Malicious File Execution)。 移除第六項資訊洩漏與不適當的錯誤處理 (Information Leakage and Improper Error Handling)。

在評估雲端運算時，對於資訊安全的影響是很重要的一個因素。事實上，根據 ISACA 最近公布的一份問卷調查顯示，有高達 45% 的受訪者表示他們認為導入雲端運算所產生的風險是高於所帶來的效益，顯見現今雲端運算的導入對於資訊安全的潛在威脅是很大的。對照另一份由 Ponemon Institute LLC 與 Symantec 所共同發表的研究報告顯示，有高達七成的組織在使用雲端運算前並沒有對廠商進行相關的安全評估。在這些進行評估的組織中，有 65% 採用口頭的方式加以評估，其他評估方式依序是 合約規範 (26%)、檢查表或問卷 (25%)、安全相關的規範 (23%)、內部安全團隊 (18%)、第三方的安全專家或稽核員 (6%)。兩份報告的結論，或許可以看作是因果關係。因為 IT/IS 部門在導入雲端運算時並沒有參與其中的安全評估作業，所以對於其潛在風險自然較為擔憂。另外一方面，這也可以看出現今組織對於雲端運算所產生的安全威脅在認知與作為上仍是相當不足。當然另外一個有可能的原因是組織在面對雲端運算的決策時顯得太過於急躁了。雲端運算來勢洶洶，但是組織在面對這樣的技術與運用時，卻不能被沖昏了頭，以免未受其利而先受其害。研究報告的標題是 Flying Blind in the Cloud，講的正是這種貿然而進的風險，或許一開始馳騁的快感很吸引人，但是一旦出事後其後果可是很嚴重的。

大家都常聽到選用甚麼樣的作業系統、應用程式可以比較安全而不容易被駭。不管這些論述是否公平與公正，但是至少其與安全的關連性並不會讓人產生過於突兀的感覺。但是說如果安全與否跟你所在的區域有關，可能就不是那麼令人能夠直接聯想了。根據 Symantec 日前所公布的一份報告顯示，在美國的 50 個城市中西雅圖  (Seattle) 是最容易發生網路犯罪行為的地區，其次則是波士頓 (Boston) 與華盛頓 (Washington, D.C.)，而最安全的城市則是底特律  (Detroit)。在公布的訊息中並沒有詳細地解釋這樣的排名是如何加以決定，不過就結果來看網路化程度越高的地區排名就愈前面。這樣的數據老實說有些無聊，因為網路化程度越高本來就有更多受害的機會，所以自然產生的網路犯罪事件就多。對使用者而言，不管居住在哪個區域，都必須做好有關資訊安全的防護，畢竟駭客 (通常) 可不會因為你的國籍而改變心態。   相關連結： The Norton Top 10 Riskiest Online Cities Report Reveals Who’s Most Vulnerable to Cybercrime

CSA (Cloud Security Alliance) 在這個月 (2010 年 3 月) 初發布了一份研究報告，標題是 “Top Threats to Cloud Computing V1.0”，列出了目前雲端運算所遭遇的七大安全威脅。必須特別注意的是排列順序跟威脅本身的危害程度沒有關係，而且使用者必須依據自身所處的環境決定這些威脅的影響並採取適當的控制措施。這些威脅分述如下： 濫用或利用雲端運算進行非法的行為 (Abuse and Nefarious Use of Cloud Computing)
此一威脅主要是針對雲端運算服務的供應者而言。雲端運算服務供應商 (尤其是 IaaS 與 PaaS 供應商) 為了降低使用的門檻，通常並不會要求使用者必須經過嚴格的資料審查過程就可以直接使用其所其提供的資源，有些服務供應商甚至提供免費使用的功能或試用期。這些做法雖然可以有效推廣雲端運算的業務，卻也容易成為有心分子利用的管道。事實上，已經有包含殭屍網路、木馬程式下載在內的惡意程式運行於雲端運算的系統內。 不安全的介面與 APIs (Insecure Interface and APIs)
使用者透過使用者介面或是  APIs 與雲端運算服務進行互動，因此這些介面與 APIs 是否安全直接影響到雲端運算服務本身的安全性。像是使用者介面的驗證與授權功能是否安全，APIs 的相依性與安全性，都是必須特別注意的地方。此外，如果有使用第三方的加值服務，這些服務的介面與 APIs 的安全性也必須一併加以考量。 惡意的內部人員 (Malicious Insiders)
內部人員所造成的問題，這幾年來已經成為許多組織關注的重點，採用雲端運算將會讓內部人員所產生的問題更形嚴重。一個最主要的因素在於使用者無法得知雲端運算服務供應商如何規範與管理內部員工，甚至連招聘的條件與流程也屬於非公開的資訊。以安全的角度來說，”未知”絕對不是一種幸福，而是一種芒刺在背的威脅。更何況以雲端運算的業務性質而言，絕對是有心分子眼中的肥魚，所以內部惡意員工的比例應當會比一般組織來的更高。 共享環境所造成的議題 (Shared Technology Issues)
雖然使用雲端運算的服務 (尤其是 IaaS) 時使用者好像擁有獨立的環境，但是這些環境都是從共享的實體環境中透過虛擬化的技術所產生出來的。這些虛擬化的平台能否將不同的使用者進行有效地隔離，以避免彼此之間相互干擾其服務的正常運算，甚至是避免彼此之間可以存取對方的資源，對雲端運算的安全來說是一個嚴格的挑戰。 資料遺失或外洩 (Data Loss or Leakage)
資料遺失與外洩對於一個組織的影響不只在於實際上的金錢損失，更在於如企業形象之類的無形損失。雲端運算因為其特定的緣故，使得資料遺失或外洩的議題面臨更加嚴峻的考驗。包含是否擁有足夠的 AAA (驗證、授權、稽核)、是否採用適當且足夠的加密技術、資料持續性的需求、如何安全地刪除資料、災難復原、甚至是司法管轄的問題，都是必須認真加以考量的問題。 帳號或服務被竊取 (Account or Service Hijacking)
儘管帳號或服務被竊取的問題由來已久，但是這類問題對於雲端運算來說更具威脅性。首先因為雲端運算不像傳統的 IT 架構般擁有實體的東西，因此一旦帳號或服務被竊取後，除非有其他的方式加以證明，否則惡意分子可以完全取代原先使用者的身分。在傳統的 IT 環境中，因為使用者至少還擁有硬體的控制權，所以即使發生帳號或服務的竊取行為，使用者還是可以進行一些事後的補救措施，但是這些補救措施在雲端運算的架構下可能無法執行。此外，對於那些公開的雲端運算服務而言，直接暴露於網際網路上也讓這些竊取行為更加容易發生。 未知的風險模型 (Unknown Risk Profile)
如我在前面所述，以安全的角度來說，”未知”絕對不是一種幸福，而是一種芒刺在背的威脅。以雲端運算來說，不管是 IaaS、PaaS、SaaS 都是將服務包裝成一個使用者不需了解也無法了解的系統，讓使用者專注於如何”使用”該系統。但是這樣的方便性，也讓使用者無法了解這些服務所使用的網路架構、安全架構、軟體版本等等各式各樣的重要資訊。這些資訊對於評估安全狀態是很有幫助的，欠缺這些資訊將使得這樣的評估行為無法被有效地進行。

根據一份由 Absolute Software 與 Ponemon Institute LLC 在前一陣子所發表的研究報告中顯示，人依舊是筆記型電腦安全的最大危害來源。儘管各式各樣的資安新聞事件已經讓越來越多的人注意到筆記型電腦對於資料外洩所產生的重大危害，甚至也導入了一些防範措施 (如加密技術)，但是問題依舊存在，很多安全的使用規範並沒有被確實地加以了解或是遵守。 在這份長達 24 頁的報告中，提出了下列幾項主要的發現： 高達 95% 的 IT 人員表示在他們的組織中曾經發生過筆記型電腦遺失或遭竊的事情，因而造成資料外洩的比例則為 72%。僅有  44% 的 IT 人員可以確認這些筆記型電腦有使用加密機制保護其中的資料。由這些數字交互比較後可以發現，即使經過加密技術的保護，依舊會導致資料外洩的資安事件發生。 33 % 的 IT 人員相信加密技術就可以完全保護筆記型電腦中的資料，而不再需要其他的防護措施。針對業務經理而言，有這樣錯誤認知的比例更高達 58%。有時候對於一個工具過分的加以信賴，反而會帶來更大的危害。 針對業務經理而言，有 36% 的人仍舊對於加解密的密碼沒有做好足夠的保護措施。像是把密碼寫在便利貼或是與其他人分享密碼，都使得加密技術的保護作用大大地減低。IT 人員在這方便的表現，明顯優於業務經理們。由此可見很多基本的資訊安全概念 (例如如何保護密碼)，不但不可或缺，其重要性更不會因為採用新技術而降低。 60% 的業務經理表示他們關閉了筆記型電腦的加密功能，其中 48% 更明白表示這樣作已經違反了組織的安全政策。顯見政策的規劃一定需要搭配適當的資訊安全教育訓練與查核機制，方能確保政策的有效落實。 高達  55% 的業務經理在外使用筆記型電腦時，會將筆記型電腦留在陌生人附近而離開至其他地方。