就是資安

McAfee 於日前公布了最新一季 (2011 Q1) 的威脅報告，內容包含下列觀察結果：

安全廠商 eEye Digital Security 在上個月 (5月) 發表了一份報告，內容針對去年度 (2010年) 微軟所發佈的安全通告進行分析。在報告中，提出了幾項在組態上建議採行的控制措施，以避免或減少安全問題的危害：

• 避免使用 WebDAV – 對許多使用者而言，WebDAV 並不是日常工作所需的功能。然而在較新的微軟作業系統中，這些協定卻是預設開啟的，因而造成了安全問題的發生。關閉 WebDAV 的使用可以透過 GPO 將 WebClient 這個服務加以停用，或者是利用網路設備 (如IPS) 將 WebDAV 的封包加以攔阻。唯在進行 WebDAV 使用的封鎖之前，應確實了解內部有哪些 WebDAV 協定的使用是必須的，以免影響原有作業之進行。
• 避免使用 Office 的 Converter 功能 – Office 的 Converter 功能主要是用來提供 Office 程式開啟不同版本的 Office 文件(包含開啟舊版的文件，或者是新版的文件)。同樣的，這樣的功能也不是大多數使用者在進行日常業務時所需的。關閉 Converter 的功能可以透過 GPO 或是機碼的方式對使用者進行設定，唯需特別注意的是每一個 Office 功能 (如 Word 或 PowerPoint) 需分別設定。
• 使用代理伺服器 - 雖然代理伺服器本身不能阻隔攻擊行為的發生，但是卻可以有效避免被成功攻擊後所產生的危害，這些危害包含與控制中心的溝通、或者是相關機密資料的外洩。必須注意的是，這些代理伺服器不僅需針對 HTTP 的協定，更應該包含所有的網路協定。
• 採用 VLAN 與 IPSec - 採用 VLAN 不但可以避免封包的偷窺 (Sniffing) 或修改攻擊，更可以藉由分析 VLAN 間的流量找出可疑的網路行為。如果再加上 IPSec 的使用，即使是同一個 VLAN 之內的封包也無法進行偷窺或修改的攻擊。
• 避免使用 NTVDM – NTVDM 是用來模擬 16 位元程式執行環境的子系統，此對大多數的使用者而言同樣並非所需的功能。
• 使用最新版本的應用程式 - 這裡講的不是安裝最新的更新檔 (Patch 或 Service Pack)，而是安裝最新的版本，例如使用 Office 2010 取代 Office 2007。根據實際的數據顯示，新版的應用程式確實擁有較少的安全問題，而這主要歸功於微軟不斷地致力於提昇軟體安全。只是微軟在提昇軟體安全的同時，卻忘了把舊的軟體一併改進，所以才會造成此一現象。當然，這點建議在採行上還有其他因素需要考量，包含轉換成本以及相容性等。

對原始報告內容有興趣的讀者，可以在這裡下載完整的內容。

IBM X-Force 上個月發表了 2010 年的年中報告，報告中有幾項重要趨勢值得特別注意：

• 攻擊者使用更多的隱匿技術來進行攻擊，例如像是 JavaScript 混淆　(Obfuscation) 的手法，而這些技術已經對 IT 安全專家造成相當程度的困惱。
• 被發現的安全弱點數量持續成長，與去年同期相比成長了 36%，創下歷史新高點。
• 利用 PDF 的攻擊行為隨著攻擊手法的翻新持續增加。PDF 攻擊被大量採用的原因在於其攻擊目標為防禦能力較差的終端設備 (如個人電腦)，一旦入侵成功就可以作為其他入侵手法的跳板。
• Zeus botnet 持續對企業產生莫大的影響，而新版的 Zeus 甚至開始提供攻擊者更新的功能。

至於在網站應用程式安全方面，有下列幾個重要的現象：

SpiderLabs 的顧問 Ryan Jones 於日前表示，根據他實際檢驗過許多資料中心後的經驗顯示，僅管這些資料中心花了大把的銀子做好網路的安全防護，但是在實體方面的防護仍舊存在許多明顯可見且容易被有心份子所利用的安全漏洞。

他列出了五項最容易進入資料中心進行破壞的手法，包含

根據  Kaspersky 最近針對 2010 年第一季垃圾郵件 (Spam) 的分析報告顯示，Facebook 一躍成為釣魚攻擊目標的第四名 (5.7%)，排列在 Paypal (52.2%)、eBay (13.3%)、HSBC (7.8%) 之後。攻擊目標的前三名多與金流有關，Facebook 則以社交網站的身分獲得青睞，其比例甚至高於名列第五名的搜尋引擎龍頭 Google (3.1%)。

儘管釣魚攻擊通常並不是利用被攻擊目標的安全漏洞加以進行，但是目標網站依舊有教育其使用者如何避免遭受釣魚攻擊的義務。在這方面，Facebook 似乎並沒有任何作為。隨著 Facebook 的持續成長，針對 Facebook 的釣魚攻擊 (與其他類型的攻擊) 只會越來越多。身為使用者的我們，既然不能改變網站的設計，能夠做的就是更加小心，不要讓自己成為釣魚攻擊的下一個受害者。

OWASP (Open Web Application Security Project) 每三年一次的 Top 10 報告，於日前 (2010/04/19) 正式定案。這次報告的副標題由 2007 年的 The Ten Most Critical Web Application Security Vulnerabilities 變成了  The Ten Most Critical Web Application Security Risks，顯示 OWASP 試圖跳脫以純技術眼光來看待 Web Application 議題的思考模式，而是以整體的風險來加以評估。當然，風險其實是很”個人化”的，所以 OWASP 所謂的風險依舊是以”一般性”的眼光來加以評估，在實際的應用上必須自行重新評估。

在獲選入榜的項目中，除了排名因為評估方式改變而有所變化外，還有下列幾項的變更：

在評估雲端運算時，對於資訊安全的影響是很重要的一個因素。事實上，根據 ISACA 最近公布的一份問卷調查顯示，有高達 45% 的受訪者表示他們認為導入雲端運算所產生的風險是高於所帶來的效益，顯見現今雲端運算的導入對於資訊安全的潛在威脅是很大的。對照另一份由 Ponemon Institute LLC 與 Symantec 所共同發表的研究報告顯示，有高達七成的組織在使用雲端運算前並沒有對廠商進行相關的安全評估。在這些進行評估的組織中，有 65% 採用口頭的方式加以評估，其他評估方式依序是 合約規範 (26%)、檢查表或問卷 (25%)、安全相關的規範 (23%)、內部安全團隊 (18%)、第三方的安全專家或稽核員 (6%)。兩份報告的結論，或許可以看作是因果關係。因為 IT/IS 部門在導入雲端運算時並沒有參與其中的安全評估作業，所以對於其潛在風險自然較為擔憂。另外一方面，這也可以看出現今組織對於雲端運算所產生的安全威脅在認知與作為上仍是相當不足。當然另外一個有可能的原因是組織在面對雲端運算的決策時顯得太過於急躁了。雲端運算來勢洶洶，但是組織在面對這樣的技術與運用時，卻不能被沖昏了頭，以免未受其利而先受其害。研究報告的標題是 Flying Blind in the Cloud，講的正是這種貿然而進的風險，或許一開始馳騁的快感很吸引人，但是一旦出事後其後果可是很嚴重的。

在 Phnemon Institute LLC 與 Symantec 的報告中，其他重要的發現包含：

大家都常聽到選用甚麼樣的作業系統、應用程式可以比較安全而不容易被駭。不管這些論述是否公平與公正，但是至少其與安全的關連性並不會讓人產生過於突兀的感覺。但是說如果安全與否跟你所在的區域有關，可能就不是那麼令人能夠直接聯想了。根據 Symantec 日前所公布的一份報告顯示，在美國的 50 個城市中西雅圖  (Seattle) 是最容易發生網路犯罪行為的地區，其次則是波士頓 (Boston) 與華盛頓 (Washington, D.C.)，而最安全的城市則是底特律  (Detroit)。在公布的訊息中並沒有詳細地解釋這樣的排名是如何加以決定，不過就結果來看網路化程度越高的地區排名就愈前面。這樣的數據老實說有些無聊，因為網路化程度越高本來就有更多受害的機會，所以自然產生的網路犯罪事件就多。對使用者而言，不管居住在哪個區域，都必須做好有關資訊安全的防護，畢竟駭客 (通常) 可不會因為你的國籍而改變心態。

CSA (Cloud Security Alliance) 在這個月 (2010 年 3 月) 初發布了一份研究報告，標題是 “Top Threats to Cloud Computing V1.0”，列出了目前雲端運算所遭遇的七大安全威脅。必須特別注意的是排列順序跟威脅本身的危害程度沒有關係，而且使用者必須依據自身所處的環境決定這些威脅的影響並採取適當的控制措施。這些威脅分述如下：

根據一份由 Absolute Software 與 Ponemon Institute LLC 在前一陣子所發表的研究報告中顯示，人依舊是筆記型電腦安全的最大危害來源。儘管各式各樣的資安新聞事件已經讓越來越多的人注意到筆記型電腦對於資料外洩所產生的重大危害，甚至也導入了一些防範措施 (如加密技術)，但是問題依舊存在，很多安全的使用規範並沒有被確實地加以了解或是遵守。

Veracode 將它們在近來一年半內所掃描過的程式結果進行分析，於本月初 (2010 年 3 月) 發表了一份報告，標題是 “State of Software Security Report: Volume I”。報告中有下列幾項重要的發現：

根據 Sophos 於日前發表的 2010 安全威脅報告 中指出， 除了有越來越多的惡意程式被發現外，發展中國家連網電腦數量的劇增，更讓駭客有了更多的攻擊目標。這些地區的電腦，或許性能不好，而且內部也沒有多少重要的資料，但是因為安全防護能力相對較差，所以是成為殭屍網路一員的極佳目標。

WHID 針對 2009 年上半年發表了一份研究報告，在報告中顯示網頁置換  (Defacements) 依舊是網站攻擊事件中最常見的損失 (28%)，其次才是機密資料的洩漏 (26%)。

而在攻擊者所使用的手法中，SQL Injection 依舊是主要的攻擊手法 (19%)，其他像是不夠充分的驗證、內容假造、Brute Force等手法，也常被用來作為攻擊的方法。在攻擊手法中，需要特別注意的是有 11% 表示並不知情，一個原因在於組織對於網站的監控/稽核制度的不足，另外一個可能的原因則在於組織不願意將這樣的資訊加以公開。

根據 McAfee 前一陣子所發表的 報告 中指出，包含美國在內的國家正在發展先進的網路攻擊能力 (Offensive Cyber Capabilities)。這些國家除了美國之外，還包括了中國、蘇俄、法國、以色列等，可說是網路時代的冷戰時期。儘管大家都不願意發動所謂的網路戰爭 (Cyber War)，但是這樣的攻擊行為一旦發生，受到影響的絕對不只是上網的民眾，而是所有的人民。因為這類攻擊的目標包含了基礎公共建設，例如電力系統。在報告中指出像是自動化監控 (SCADA, Supervisory Control and Data Acquisition) 系統就是一個明顯而脆弱的目標。目前很多設施都使用自動化監控系統加以管理，而且已經具備網際網路連線的能力，以提供遠端管理的功能。這類系統一旦遭受入侵或破壞，所產生的危害將是相當的嚴重。不可諱言，因為報告中講的都是屬於各個國家的機密資訊，所以其真實性與可信度都會受到一定程度的質疑。不過就歷史發展的過程來看，這樣的結果是必然的，差別只在於何時與何地罷了。

根據 Websense 日前一份針對網路安全研究報告中提出的數據顯示，有高達 95% 的部落格留言、聊天室與論壇的內容是惡意或無用的資料。雖然使用者的參與 (尤其是提供資料) 造成了 Web 2.0 榮景，但是也同樣成了有心分子用來散佈惡意程式的重要方式之一。

這份報告收集資料的時間為 2009 年上半年，並將分為網站安全、電子郵件安全與資料安全三個部分，關於網站與資料安全有下列的發現：

• 惡意網站的數量較 2008 年下半年之數量成長了 233%，而跟 2008年上半年相較更是成長了 671%。
• 藏有惡意程式的網站中，有 77% 是屬於合法的網站。這些網站因為被入侵，而變成了散佈惡意程式的管道。
• 在前100大的網站中，有 61% 的網站中包含了惡意程式或是導像惡意網站的連結。
• 95% 的部落格留言、聊天室與論壇的內容是惡意或無用的資料。
• 提供有關 Sex 網站連結的網頁中，有 50% 藏有惡意程式。
• 提供像是 Sex、成人內容、賭博、藥物等內容的網頁中，有 69% 包含至少一個以上的惡意連結。
• 在 2009 年上半年所發現且提供像是 Sex、成人內容、賭博、藥物等內容的新網頁中，有 78% 包含至少一個以上的惡意連結。
• 網站攻擊行為中，有 37% 會進行資料的竊取。
• 資料竊取的攻擊中，有 57% 是透過網站進行的。

透過這些數據，我們再次看到網站安全的議題持續惡化中。網站不僅是現今網路攻擊的主要管道，其成長的力道亦相當驚人。而且不像過去以惡意網站為主，現在大量合法網站淪陷為惡意程式的溫床，讓使用者更加防不勝防。使用者與網站擁有者雙方除了多加小心外，更需透過有效的工具才能夠免於惡意程式所帶來的傷害。

根據 SANS 於近日所公布的一份報告中指出，現今企業所面臨的資訊安全問題主要來自於兩個方面。一個是沒有及時更新的用戶端軟體 (Unpatched client-side software)，另外一個則是與網際網路連結的網站 (Internet-facing web sites)。

雖然目前作業系統已經多具備自動更新的功能，甚至企業也可能已經導入了更新的管理工具(如 WSUS)，但是更新依舊是一個令人頭痛的問題。因為現在網路服務越來越多樣化，各式各樣的文件、影音格式已經融入日常的應用中，而用來解析這些資料的應用程式(如 Adobe Flash、Adobe PDF Reader、Microsoft Office)就成了有心分子的重要目標。再加上這些應用程式之前不像作業系統那般容易受到攻擊，所以其開發廠商在安全防護的心力與經驗相對較低，進而造成較多的安全漏洞。

根據日前一份由 ScanSafe 所公布的研究數據顯示，在其客戶中有高達 76% 的比例針對社交網站進行封鎖。這個數字已經高於”線上購物”這類傳統上被認為會嚴重影響工作效率的被阻擋率 (52%)，甚至也高於”武器相關”網站的被阻擋率 (75%)。

阻擋這類網站雖有一部分的理由導因為避免資料外洩的風險，但是主要的原因仍在於避免員工因使用這些網站而造成工作效率的低落。這樣的做法我個人認為其實有些反應過度了。

在一份由 Ponemon Institute LLC 所公布的研究報告中指出，有高達八成的受訪者表示使用真實資料進行開發與測試。使用真實資料進行開發有甚麼問題，不都是在內部掌控的環境下嗎？如果再搭配其他兩項數據，問題的嚴重性應該就不言可喻。

The web hacking incident database (WHID) 於日前公布了一份雙年度的研究報告，此報告主要針對網站安全事件作進一步的統計與分析。不同與其他以技術或網站弱點為主的研究報告，此報告的研究基礎是真實發生的攻擊事件，並著重在所發生的影響，而不僅只於技術上的弱點。

研究報告中指出，所有攻擊事件的目標中，以 Defacement 的比例最高 (28%)。這裡所謂的 Defacement ，除了我們一般常提到的網頁置換外，也包含了植入惡意程式於網頁中的攻擊行為。也就是只要是非法改變網頁內容的行為，不管這樣的內容是不是可視的，都會被歸類於 Defacement 。報告中也特別指出，過去因為大家對於 Defacement 的印象是多為影響單位的形象，而非系統本身，所以也往往採取較消極的防護措施 (如 SIV)。但是這樣的狀況已經改變，網站常常因為 Defacement 而變成了攻擊的管道之一，也因此需要針對此類問題的發生原因好好加以分析並防護。

在一份由微軟贊助的報告中指出，IE8在面對釣魚網站與社交工程網站的威脅時，其表現遠比市場上的其他瀏覽器優秀。不同於大部份的研究報告，此報告針對的不是瀏覽器本身的安全議題，而是瀏覽器對於安全防護的表現。由微軟贊助的研究報告，當然可以針對IE的強處去比較，這其實沒有甚麼大問題，只要實際的數字是正確的即可。至於比較議題的適用性，還是必須經由使用者自己去決定。

當然，我們可以不僅只於依賴瀏覽器提供的安全功能。像是整合型的防毒軟體、端點安全的產品，甚至是一些瀏覽器的外掛 (如 SiteAdvisor )也都提供類似的防護功能。另外，瀏覽器的設定也可能影響到防護功能的表現。然而最重要的是儘管有再多再好的工具加以防護，永遠都無法達到100%的安全，所以良好的上網使用習慣依舊是確保安全的最後，也是最重要的一道防線。