在國際上,鼓勵駭客幫企業找出漏洞,促成正向的資安環境,已經相當常見。在昨日(3月14日)舉行的2018臺灣資安大會現場,HITCON常務理事翁浩正報告他們推動的HITCON ZeroDay漏洞通報計畫現況,並且揭露最新的臺灣年度漏洞通報趨勢,並列舉出企業能夠參考的具體建議與作法。

同時,他們也正式對外宣布推出漏洞獎勵計畫(Bug Bounty Program),與國際態勢接軌,讓企業在鼓勵通報者上,也能透過通報平臺來進行,期望促進整體企業資安環境的發展。

常見漏洞問題多,臺灣企業需努力

基本上,HITCON ZeroDay成立已經兩年,在漏洞通報方式上,早期是以郵件提交,現在則可以在平臺上進行,並提供了專屬企業帳號後臺,方便通報流程的管理與狀態顯示。

從他們在2017年度統計的漏洞通報相關數據來看,目前到HITCON ZeroDay註冊的企業帳號數達250家,通報企業數量則有2,000家,而在漏洞通報數量方面,相較於2016年,2017年的漏洞通報數量更是成長245%。

翁浩正指出,在2017年度所有漏洞通報的類型中,有39%的通報是SQL Injection漏洞,23%是XSS漏洞,15%是資訊洩漏,是漏洞通報中居於前三的分類。顯然,這些漏洞通報的類型,就是臺灣企業該憂心的問題。

不過上述漏洞通報分類占比,也突顯出臺灣企業面臨的困境,那就是同樣的漏洞問題,多年以來仍然存在而無法根除。

為什麼SQL Injection、XSS與資訊洩漏的問題,仍是臺灣企業不斷面臨的漏洞問題?翁浩正表示,現在臺灣很多企業開始重視資安,但大多數企業還是沒有概念,而無法顧及資安問題,亦或是沒有資安人員,又或是知道但卻沒辦法處理。

像是在漏洞通報的狀況中,如網址後面只要加上一個單引號「‘」,這個網站系統就會出問題,就是一個簡單的例子,而這樣的例子還不少。另外,甚至也有1%的漏洞通報狀況是,可以容易地拿到整個主機的權限。

當然,在漏洞通報後,不僅能讓企業瞭解自身的問題,也要做到在一定時間內修補,才能讓通報有所價值。翁浩正表示,2017年度漏洞通報的單位別,一般企業組織佔84%,另外有10%是教育單位,6%是政府單位,而整體漏洞通報修補狀況只有24%。看來,目前國內企業還有不小的進步空間。

即便資安預算不足,企業也該要有做好資安的策略

從漏洞通報現況來看,翁浩正也整理出臺灣企業面臨的幾個問題,像是多數網站沒有安全防護及安全程式碼開發,導致SQL Injection,XSS攻擊,在那麼多年後仍然有效。而在企業在修復漏洞時,若是單純依賴網頁應用程式防火牆(Web Application Firewall,WAF)等設備,並不妥當。他舉例,像是許多WAF設備阻擋了Or 1=1這樣的字串,但對於駭客來說,改成or 2=2就可以繞過,而這樣的觀念其實在十年前就有,他認為不少資安設備商還停在舊的思維,若是企業太過於依賴WAF設備,可能無法正確解決資安的問題,值得留意。

還有很多漏洞通報遇到的狀況是,企業沒有聯繫窗口可以聯絡,因此無法回報修補狀況,以及企業網站是委外開發,但開發團對品質不佳,導致所有專案都有相同的問題。另外,也有大量設備採用預設帳號密碼的例子。

首先,大型網站必須實施滲透測試、紅隊演練,但現實狀況在於臺灣多數公司是沒有預算的中小企業,因此他也特別提到:「即便沒有資安預算,也要有做好資安的策略」。舉例來說,像是低成本的作法中,可安排弱點掃描、網頁安全掃描工具,甚至使用免費工具,先找出影響較大的問題,等到未來企業成長、資源較多時,再深入的處理。但他也提醒,一分錢一分貨,單靠弱點掃描的預算金額,並無法買到滲透測試的品質。

同時,翁浩正也給出5大建議要點:

一、防禦設備並非萬能。雖然可以暫時擋下前幾波攻擊,但要記住的是,攻擊者仍擁有各種繞過防禦偵測的手法。

二、預設密碼一定要修改。從攻擊思維來看,第一步就會嘗試預設密碼登入管理介面,而許多網站的帳密都還是Admin,因此他提醒這些企業。

三、注意委外開發。委外開發是不少企業的選擇,但慎選委外團隊也很重要。為保障企業,建議合約上一定要明訂資安規範,例如請委外團隊提供第三方資安檢測報告,以證明開發的程式夠安全;其次,要訂定資安維護合約,如接到漏洞通報,在多久時間內必需修補完畢;最後,也不要忽略驗收時以及定期進行的安全檢測掃描。

四、企業對於漏洞通報的觀念要健全。像是收到漏洞通報的企業,要搞清楚通報者並不是幫你的網站做到完整的檢測,其他地方可能也有同樣邏輯的漏洞,需要企業自己去留意。

五、建立順暢的通報環境。在許多漏洞通報中,有不少情況是無法聯繫到企業窗口,漏洞也就無從修補。因此建議企業可以在網站上,提供資安窗口或相關聯絡人,並要建立漏洞通報的SOP,同時也要注意網域的註冊人資訊是否正確。

HITCON Zero Day首度正式公布推出漏洞獎勵計畫

在推動HITCON ZeroDay漏洞通報平臺之後,下一步是什麼?翁浩正也在資安大會現場宣布,推出漏洞獎勵計畫,希望臺灣企業能跟上國際的腳步,透過這個計畫,來促進企業與漏洞通報者的溝通與激勵,像是資安人員檢測到問題時,企業可以發給獎金。

在平臺的獎勵方式設計上,企業後臺介面已經提供3種方式,分別是獎金、感謝函與風雲榜。他表示,企業不要小看感謝函與風雲榜,這也是資安人員證明自身價值的紀錄,甚至也有通報者只是站在幫助企業角度,而不想要回饋的例子。此外,透過這樣的計畫,其實也可以更主動尋找到資安的人才。


Advertisement

更多 iThome相關內容