[研究報告] Sophos 2010 安全威脅報告

根據 Sophos 於日前發表的 2010 安全威脅報告 中指出， 除了有越來越多的惡意程式被發現外，發展中國家連網電腦數量的劇增，更讓駭客有了更多的攻擊目標。這些地區的電腦，或許性能不好，而且內部也沒有多少重要的資料，但是因為安全防護能力相對較差，所以是成為殭屍網路一員的極佳目標。

而社交網站的崛起，迅速成為使用者遭受攻擊的主要管道之一。而原本企業採用的封鎖政策，也因為業務遂行的需要，已經被迫必須採用更細微的控制方法。事實上，很多企業都已經採用部落格、社交網站來推行業務，所以社交網站的安全已經是一個不得不面對的議題。這個議題其實是多面向的，包含如何管理內部使用者的使用情形、如何避免成為資料外洩的管道、如何避免成為惡意程式入侵內部使用者的管道等課題，再再挑戰著企業的安全狀態。

另外一個熱門的話題，則是有關雲端運算的趨勢。報告中認為雲端運算的大量運用，將會讓資料外洩的問題更加嚴重，不但發生的頻率可能變高，其所危害的資料量也將更為龐大。而攻擊目的的趨勢則是已經從商業利益延伸到政治、經濟、甚至是軍事的層級。也就是除了 Cybercrime、 Cyberterror之外，Cyberwar 亦是不遠矣。這些安全的問題，都需要政府單位統一統籌才能有效加以防範。而除了政府之外，所有系統的開發商也都負有相當程度的責任。畢竟這些廠商才是真正執行的單位，有再好的法規與基礎措施，依舊需要能夠真正落實才能發揮作用。

完整的報告可以在相關連結加以下載。

 

相關連結：

• Security Threat Report: 2010

[從電影看資安] 早跟你說要小心悲憤的離職員工 - 終極警探 4.0

布魯斯威利在 終極警探 4.0 裡，又不小心遇上了恐怖分子。這次恐怖分子攻擊的目標是發電廠，一旦攻擊成功後不但會造成大停電，更會造成人民的恐慌。在經過一番追查與巧合後，老布發現恐怖分子的真正目標不是配電場，而是美國的財政資料。相當然爾，老布絕對不會讓壞人好過，在一番激烈戰鬥後老布再次拯救了世界 (美國)。

真要命，通訊網路被中斷。

有影嘸？基本上兩者的頻率完全不同，不過看電影不用這麼計較。

 應該不會毀了全世界，頂多毀了美國。但是這確實是恐怖行動。

這些基礎建設不只是系統，更是人民與國家賴以生存的重要資源。

這個系統比較落後，沒有遠端關閉的功能。

要本人到配電場才能關閉系統。

不得了，停電範圍涵蓋整個美國東岸。

配電場不在胡蘭市，恐怖分子跑錯地方了嗎？

原來這才是恐怖分子的目標。配電廠不只是個幌子，更是啟動自動防禦機制的觸發條件。所謂的自動防禦就是把所有財政資料下載到胡蘭市的一棟建築物。

一個好人？

原來是被政府惡意放棄的公務人員，當然是不爽到了極點。

惹到老布，下場只有一種可能性。

整個過程有三件事情想要跟各位分享。

第一件事就是雖然我們常常在談企業的資訊安全，但是對於國家而言，資訊安全的重要性更為重要，而通常這個議題我們稱之為 Cyber War。Cyber War 除了我們一般認知的攻擊外，也會針對軍事系統或基礎建設系統加以攻擊。之前這類系統跟網際網路是獨立存在的，但是這種情形已經漸漸地改變，越來越多的軍事系統或基礎建設系統已經具備與網際網路連結的能力。換言之，恐怖分子 (這種人已經不只是駭客的等級) 可以從遠端就進行很多的破壞，不必像片中的恐怖分子還要跑到配電場去被老布堵。這類系統一旦遭受破壞，其所造成的損害已經不是用金錢可以加以衡量，而將是無數的人命。

第二件事就是所謂離職員工的問題。我想台灣企業 (尤其是中小企業) 最怕離職員工的地方，除了擔心離職員工向 BSA 檢舉公司使用未經授權的軟體外，更怕員工帶走寶貴的業務資料。這一兩年防資料外洩產品的爆紅，跟景氣不好導致企業大量裁員有不小的關連。離職的員工很可怕，在不友善情況下離職的員工更可怕。這類員工不但會偷走資料，甚至會利用各種可能的機會來報復公司。留下隱匿的帳號或是後門程式，都只是為了日後報復工作所做的準備。當然也有些情況是不需要事先準備就可以進行報復，通常也就是利用企業現有的缺陷。這樣的缺陷可能存在於資訊系統中，也可能存在於組織流程中。不管是哪一種形式的缺陷，都有可能遭受極大的損失。片中的恐怖分子就利用的流程設計的缺陷，試圖想要取得美國的財政資訊。

第三件事比較隱性，那就是有關 Backup Site 的安全議題。片中的胡蘭市，雖然平常並不儲存美國的財政資料，但是因為在緊急時會自動將美國的財政資料下載並加以保存，因此也可以算是 Backup Site 的一種。不管 Backup Site 使用的機會是高是低，只要一旦擁有資料就擁有跟主要設施同等的價值。但是這些 Backup Site 可能因為考慮不週或經費的問題，並沒有足夠的保護措施，所以反而成為資料安全中容易遭受攻擊的環節。除了 Backup Site，備份媒體 (如磁帶) 也同樣必須注意此一問題。如果這些 Backup 沒有保護好，就像忘了關後門的屋子，前門保護的再安全也是枉然。

[研究報告] 2009 上半年 Web 攻擊事件報告 - WHID

WHID 針對 2009 年上半年發表了一份研究報告，在報告中顯示網頁置換  (Defacements) 依舊是網站攻擊事件中最常見的損失 (28%)，其次才是機密資料的洩漏 (26%)。

而在攻擊者所使用的手法中，SQL Injection 依舊是主要的攻擊手法 (19%)，其他像是不夠充分的驗證、內容假造、Brute Force等手法，也常被用來作為攻擊的方法。在攻擊手法中，需要特別注意的是有 11% 表示並不知情，一個原因在於組織對於網站的監控/稽核制度的不足，另外一個可能的原因則在於組織不願意將這樣的資訊加以公開。

至於受攻擊的目標，社交/Web 2.0 類型的網站為主要對象 (19%)。其他依序為媒體 (16%)、零售業 (12%)、科技 (12%)，網際網路 (12%)、政府 (12%)等。

這份報告是根據 WHID 在 2009 年上半年所收集的 44 個攻擊事件所產生，或許不能代表所有的攻擊事件，但是依舊具有一定的參考價值。

 

相關連結：

• The Web Hacking Incidents Database 2009 Bi-Annual Report (Aug 2009)

[從電影看資安] 法規的灰色地帶+人性的灰色地帶=白、灰或黑？ - 獵殺代理人

資安圈有一句很有名的話，那就是「方便與安全不可能同時滿足」。在政府法規方面，有另外一句話很有名的話，那就是「自由與安全不可能同時滿足」。電影 全民公敵 嘗試探討政府監督人民日常生活作息的嚴肅議題，著實是一部經典的好片。而 獵殺代理人 這部影片，主要內容是描述未來的科學家研發出代理機器人的機制，使得人類因為過於依賴代理人，而忘了身為人類的感覺。雖是完全不同的話題，但是同樣發人省思。

在片中政府部門對於這些滿街跑的代理機器人，當然不可能放任不管，所以在每個代理人中埋下了一個沒有人知道的功能，那就是可以遠端切斷控制者與代理人的連結。為了繼續銷售產品，廠商自然也得配合這樣的法規要求。這種機制的存在，一旦被有心分子濫用之後，結果可想而知。在電影的結局中，因為病毒感染了這個系統，所以所有代理人在一瞬間被中斷連結、停止運作。

可以遠端監視所有代理人的活動。

遠端中斷連結是政府部門要求並管制的功能。

這是只有少數特權分子才能知道的祕辛。

法規也有所謂的灰色地帶。

好人擁有這樣的特權就沒有關係？

壞人擁有這樣的特權時，下場就是如此。

法規與安全之間，除了上述隱私與特權的疑慮之外，還有其他更複雜的關係。這種關係簡單來說，就像考試與學習的關係。考試對於讀好書或許是有正面的幫助，但是對於學習這件事是正面還是負面的效果，卻有很大的爭議。但是不可否認，考試依舊是較公平、也比較容易施行的評估方法。所以儘管法規要求對於資訊安全的提升是否真有幫助確實有很大的爭議，但是卻也是大家唯一能夠遵循的共通性作法。

回到現實來看，遵守法規要求是組織不可避免的責任。所有廠商都知道，如果提供的產品或服務跟法規有關，通常就是業績一路上升，甚至可以說是雞犬升天。再講的黑暗一點，有些廠商會去運作一些法規，為了就是讓自身的產品或服務能夠大賣。不論哪種情形，組織自己都必須很清楚的了解到遵守法規與資訊安全能否真正提升並沒有絕對的關係。如果組織通過法規只為了一份證明文件，那麼對於資訊安全不但沒有助益，甚至還可能有害。以現今很流行的 ISMS 而言，導入 ISMS 的組織其心態多是甚麼，或許就可以解釋對於法規可以提升資訊安全這個議題，我個人為什麼會抱持著很大的保留態度了。

相關連結：

• Five Security Missteps Made in the Name of Compliance

[個人意見] 老闆，你才是資安成敗最重要的關鍵。

經過這幾年的發展後，內部員工對於資訊安全的威脅與重要性，已經成為大家無所不知的觀念。很多管制措施只要扯上這個議題，都很容易獲得組織高層的買單。當然，這類措施要成功導入有很多非技術性的問題需要克服，但是基本上這些管制措施所面臨的問題已經不是是否有其必要性的進入門檻。以廣泛的角度來，”人”確實是資訊安全最重要卻往往也是最脆弱的一環。但是這裡所謂的”人”，不應該只是 (基層) 員工，而是組織內的所有組成人員。事實上，如果以重要性而言，高階主管 (尤其是所謂董事會與 Executive 層級的長官) 對資訊安全的影響更甚於一般員工。

這句話包含兩個基本的層面。以積極面來說，所有資訊安全措施的實施都需要組織所提供的資源。資源包含人員與預算等有形的事物，以及組織制度與文化支持等無形的事物。有形資源與無形資源之間或許互有關聯，但是如果連無形的資源都不願提供，直接將資安問題推託給組織預算不足，可真得是很不負責任的說法。在實務上錢少有少的作法，只要保持正確的觀念與心態，一樣可以獲得適當的保護。反之，如果只想砸錢了事，那麼想要真正增進資訊安全就跟緣木求魚沒甚麼兩樣。不管是有形或無形的資源，說到頭來都需要組織的高階長官支持才有可能實現。所以說，高階長官才是組織資訊安全成敗最重要的因素。事實上，如果高階長官對於資訊安全沒有展現出足夠的支持，當遇到資安事件時將無法免除法律上的責任。另外一個消極面則是當組織開始執行措施時，高階長官如果不願意遵守這些規範而要求例外處理，那麼這些高階主管就造成了機制的漏洞。再加上高階主管所經手的重要與機密資料較多，一旦發生問題時所產生的危害自然也大於一般員工。所以高階長官的支持不但在於口頭上，更在於行動上。高階長官確實遵守公司的資訊安全政策，不但能夠免除資訊安全管理上的困擾與漏洞，更能達到帶領員工一同遵守的目的。

以台灣常見的中小企業而言，這個議題或許更加明顯。不管是從積極面或消極面來看，高階主管 (或更直接的說法就是老闆那個人) 往往才是改善組織資訊安全最必須先處理的絆腳石。當然，老闆這個絆腳石不能夠移除，而是要讓他變成助力。這不是一件很容易的工作，因為中小企業除了在資源上較為短缺之外，在面對問題的時往往也比較無法以長遠眼光來看待問題。以資訊安全來說，其實就是管理風險，但是中小企業的思維大概都只看機會，鮮少有人會考慮到風險。面對業務如此思考，面對其他事物也是如此思考，因此資訊安全對這些企業來說幾乎是不存在的事情。其實這也不能怪老闆，因為老闆的責任是經營公司，如果他不知道資訊安全對於經營公司的重要性，他又怎麼會重視呢？身為資訊安全從業人員的我們不能寄望每個老闆都是具有真知灼見的思考家，因此如何讓這些老闆們了解資訊安全的重要性，是我們不可推卸的責任。

相關連結：

• Running an Organization Effectively While Still Maintaining Security