防護Java漏洞的6項長期作法

緊急因應Java漏洞的作法只能救急，除非企業能確定，再也不再使用到任何使用Java Applet的網頁，否則只要有瀏覽這類Java Applet應用的需求，企業仍無法徹底不用Java Applet的功能，所以，企業得建立一套長期防護作法，來降低員工上網瀏覽的風險，就算員工瀏覽到有這類惡意程式的網站，也不會受到危害。

否則企業一旦懷疑內部電腦遭駭，想要徹底檢查企業是否曾被駭客入侵，必須採取資料追蹤、鑑識，以及入侵管道的軌跡採集。這些措施的難度與代價都相對高昂，企業還是應該提早做好安全防護的部署，畢竟預防勝於治療。以下提供了6個長期執行的防護措施，可供企業搭配使用，這些措施必須依據企業現況組合混用，而不能只靠1個作法就想建立完整防護。

作法1－ 安裝防毒軟體、開啟防火牆是基本要求

企業內員工應妥善安裝防毒軟體、執行定期更新、並依照公司政策打開防火牆，這是企業必要的防禦基本功。有些防毒軟體能結合網站信譽評等服務來過濾可疑網址，可在使用者瀏覽到惡意網址時示警來降低風險。不過，這個作法也有不足之處得搭配其他作法來彌補，例如防火牆是根據IP位置或通訊埠來過濾網路封包，無法辨識出透過合法網站與合法通訊埠進行的攻擊（如駭客利用合法網站作跳板，針對Java漏洞進行的攻擊）。

不過，趨勢科技臺灣技術總監戴燊也表示，由於3G網路的普及、以及公共區域大量Wi-Fi熱點的設置，使得員工端點電腦上網不需經由公司閘道。因此除了架設閘道防護系統，也不能忽略個人端點電腦上的防護，防火牆與防毒軟體等基本功仍是企業不可或缺的防護。                      

作法2－ 閘道端設防，過濾可疑網站與惡意攻擊

企業內端點電腦連至企業外部，都須先經過網路閘道（Gateway），因此在閘道上部署防護系統，是企業防禦網頁威脅最常用的方法。Websense臺灣區技術總監莊添發表示，對於惡意網站，過去普遍以EIM（Employee Internet Management）系統內建的URL資料庫做為判準。然而對於以感染合法網站作為跳板的攻擊，EIM已無法有效防護。莊添發表示，企業應於閘道端部署動態掃描安全系統才能因應以合法網站為跳板的攻擊。

達友科技副總經理林皇興解釋，閘道端的防護方式區分成網頁過濾（Web Filter）以及動態即時掃描兩種。網頁過濾是將已被發現的惡意網站黑名單，存在閘道端伺服器裡，禁止內部員工瀏覽黑名單上的網址。而以Websense的作法來說，是以一臺伺服器在網路上不斷地搜尋惡意網頁並加入黑名單，而企業每5到10分鐘會從Websense更新這份黑名單。不過，林皇興也表示，由於網際網路有大量網頁，企業也無法隨時拿到最新黑名單，網頁過濾的作法仍有防疫空窗期。

林皇興建議，動態即時掃描的作法能減少防疫空窗期，這種作法是在閘道端架設防毒引擎，以分析演算的方式，推測網頁程式（包括Java Applet、Java Script、以及ActiveX）的行為特徵。這樣的方法不以黑名單為基礎，而是即時掃描網頁內容，因此防護範圍就不限於已知的危險網站，然而由於動態掃描比檢查黑名單更消耗運算資源，因此也相對要求更高階的硬體規格。

作法3－ 用NAC確保端點電腦的軟體即時更新
戴燊表示，IT人員平日就應加強員工資安意識，然而在許多情況下，員工電腦仍可能因軟體忘記升級、病毒碼未即時更新的情況而使其電腦暴露於危險之中。這時，網路存取控制（Network Access Control，NAC）的部署就顯得相當重要。當NAC布署於企業內端點電腦時，員工就必須遵守企業內部的NAC政策，比如安裝Java升級、安裝Windows更新、或者更新防毒軟體的病毒碼等。若員工未確實遵守政策，這臺電腦就無法存取任何內外部網路資源，形同遭到隔離。藉由NAC，企業可以確保內部的端點電腦在存取網路前，都已符合企業網路安全規範，戴燊認為，這個方法可以有效地避免因人為疏失而造成的潛在威脅。

而市面上也有許多NAC軟體，如StillScout、Sophos、ForeScout等廠商皆有提供解決方案，此外，網路上也有如FreeNAC、PacketFence等開放源碼的NAC軟體，可供企業選用。

作法4－ 用IPS即時阻斷不安全網路傳輸行為
除了網路存取控制，建置入侵防禦系統（Intrusion Prevention System，IPS）也是防禦日益擴大的網路威脅的方法之一。在IPS系統出現之前，企業常使用入侵偵測系統（Intrusion Detection System，IDS）來偵測惡意攻擊。入侵偵測系統可以監聽網路封包，並分析封包判斷是否有潛在威脅，然而入侵偵測系統分析網路底層的能力有限，且誤報率較高。相反地，入侵防禦系統則能抵擋如緩衝溢位（Buffer Overflow）、SQL Slammer蠕蟲攻擊等位於較低網路層的攻擊手段。

此外，入侵防禦系統也會分析網路封包本身，尋找已知的攻擊碼特徵，並阻斷可能的威脅。入侵防禦系統在處理含動態代碼（如Java Applet與ActiveX）的網頁程式時，會先把其中的程式碼放入沙盤，模擬程式的執行，並觀察在執行時是否有可疑的行為與動向，如果有，則立刻停止傳輸。

同樣的，市面上也有許多入侵防禦系統可供企業選擇，包括了HP Tippingpoint以及Cisco等廠商，皆有提供相關解決方案，此外，網路上也有如Prelude、Snort等免費解決方案可供下載。

作法5－ 建置資料外洩保護系統，守護公司敏感資料
另外，包括近日Java攻擊在內的許多例子，都是駭客針對企業內部機密文件、或客戶資料而來，因此企業也應建置資料外洩保護系統（Data Loss Prevention，DLP）來保護敏感、機密的資料。DLP會監測端點電腦行為、網路資料流以及公司內部硬碟中的敏感資料（如信用卡卡號、身分證字號、專利文件等），並透過嚴格的認證機制管制其異常流動、如大量存取、寫入、或未經授權的網路傳輸。Websense、McAfee以及Symantec等廠商都有推出DLP解決方案。

作法6－ 加強員工資安教育，減少人為疏失
IT部門除了建置端點電腦及閘道上資安防護、管控員工上網行為外，對員工的資安教育也是同等重要，舉凡軟體更新，上網行為教育等網路安全基本知識，都是確保企業網路安全的重要環節。落實資安教育可以避免掉人為疏失，戴燊認為，不管是握有專利機密的大型企業，或者是中小型企業，都有必要建立全面的資訊安全制度。

趨勢科技臺灣區技術總監戴燊表示，員工端點電腦上網不需經由公司閘道，也可透過3G網路或公共的Wi-Fi熱點，企業除了架設閘道防護系統，也不能忽略個人端點電腦上的防護，如防火牆與防毒軟體。

Websense臺灣區技術總監莊添發表示，EIM系統已經無法防禦以合法網站作為跳板的攻擊，企業應於閘道端部署動態掃描安全系統，才可以有效因應。

達友科技副總經理林皇興表示，在閘道端架設防毒引擎，動態即時掃描網頁內容，防護範圍可不限於已知的危險網站，但需要更多運算資源，需要採購較高階的硬體設備。

相關報導請參考「Java還安全嗎？」