搜尋此網誌

2009年9月16日 星期三

[研究報告] 企業尚未有效地應付現今的主要威脅

根據 SANS 於近日所公布的一份報告中指出,現今企業所面臨的資訊安全問題主要來自於兩個方面。一個是沒有及時更新的用戶端軟體 (Unpatched client-side software),另外一個則是與網際網路連結的網站 (Internet-facing web sites)。

雖然目前作業系統已經多具備自動更新的功能,甚至企業也可能已經導入了更新的管理工具(如 WSUS),但是更新依舊是一個令人頭痛的問題。因為現在網路服務越來越多樣化,各式各樣的文件、影音格式已經融入日常的應用中,而用來解析這些資料的應用程式(如 Adobe Flash、Adobe PDF Reader、Microsoft Office)就成了有心分子的重要目標。再加上這些應用程式之前不像作業系統那般容易受到攻擊,所以其開發廠商在安全防護的心力與經驗相對較低,進而造成較多的安全漏洞。

針對特定的應用程式,還有一些特定的問題。例如 Flash 的 Plugin 缺乏自動檢查並更新的機制,而且 Flash 的 Plugin 不但不同的瀏覽器需要分開安裝,甚至有些第三方的應用程式也會自行內附 Flash 的動態連結檔 (dll)。所以光要完全更新 Flash 就是一個艱鉅的挑戰。另外一個常見的應用程式 - Java ,則是因為更新時不會自動移除舊版本,所以會造成使用者產生已避免舊版程式問題的假像。

除了應用程式本身造成的安全問題,還有另外一個更需要急迫面對的問題就是部分企業依舊僅將眼光放在作業系統的更新,而忽略了應用程式更新的重要性。這麼多的問題,其結果只有一個,那就是有心分子絕對不會輕易放過這麼好的”機會”。

而在所有攻擊行為中,有 60% 是跟 Web 有關的。其中高達 80% 是利用 SQL Injection 與 Cross-Site Scripting 這兩種手法,再其次則為 PHP File Include。這些”老問題”不但依舊存在,而且甚至有增加的趨勢,顯見企業還沒有認真的面對這些問題,另外一個可能則是還有找到正確的方法。

另外一個觀察到的結果就是所謂的 Zero-day 弱點有增加的趨勢。除了因為有越來越多的應用程式被有心分子當作目標外,另一個更重要的原因在於如何找到軟體漏洞的技能已經越來越”普及”,甚至可以透過一些工具的協助來加快發現的速度。

在資訊安全的領域中,需要定期重新檢討相關政策與風險,並據此擬定計畫。在網際網路發達的這個時代,其所容忍的時間間隔將越來越短,因為有心分子隨時隨地都在找新的機會、新的手法。而在金融風暴的這個時間點,即使沒有面臨資源短缺的問題,至少也會面臨提高效率的議題。所以如何能夠迅速地發現(將)發生的問題,並同時用最有效率的方法加以面對或防範,成了重要的課題。尤其對於資源原本就較欠缺的中小企業,更應該好好檢視對自己最有效益的解決方案,以免發生補了窗戶卻忘了替大門上鎖的糗事。

 

相關連結:

About