「不是只有大型企業會成為駭客的攻擊標的」捕夢網數位科技資安規畫師賴炫亦提到,只要網站有漏洞,中小型企業同樣也有很大的機會被攻擊。不過,中小型企業通常欠缺資源,因此發展資安也更加捉襟見肘,賴炫亦在2021臺灣資安大會演講中介紹了幾種常見的網站攻擊手法,並且提供中小企業可立即提升資訊安全的建議。

賴炫亦列舉了近期的重大資安事件,包括廣達和宏碁遭勒索軟體REvil攻擊,還有威廉通NAS遭勒索軟體Qlocker攻擊等。雖然在新聞看到被駭客攻擊的消息都是大型企業,但他提到,其實中小企業也很容易被駭客攻擊,駭客使用自動化掃描工具,找出所有存在漏洞的目標,只要中小企業的系統存在漏洞,就有機會被駭客攻擊。

不只大型企業,資安薄弱的中小企業也容易成為駭客攻擊目標

容易遭到攻擊的中小企業的網站,主要有三個類別,分別是電商、製造業和品牌形象網站。電商網站包括美妝購物、書籍購物和3C購物等,而製造業網站則例如電子和成衣業的公司網站,除此之外,像是品牌的形象網站,或是缺乏資源的國中小學網站,也都容易成為駭客攻擊的目標。而網站被攻擊,受害者就可能受到加密勒索、詐騙和恐嚇威脅。

賴炫亦提到,對駭客來說,最有價值的就是個資,可被用來詐騙使用者。電子商務網站被駭便會造成大量個資外洩,他表示,在客戶下單的表單中,提供備註欄位以填入特殊需求,就可能存在跨站腳本攻擊(XSS)漏洞,讓駭客有機可乘攻擊訂單系統。

駭客可以在該欄位填入攻擊腳本,惡意腳本被提交到了後臺訂單系統,當客服人員登入查看訂單系統時,惡意腳本便會竊取客服人員的Cookie,也就是說駭客便能夠使用客服人員的權限,檢視、修改和刪除訂單系統。存在XSS漏洞的網站並非少數,賴炫亦表示,從HITCON網站中的漏洞列表,就可以看到許多網站都有XSS漏洞,駭客能夠從中任意尋找標的進行攻擊。

另一個網站攻擊案例,是賴炫亦友人比薩店的品牌形象網站,有一段時間不停被駭客入侵,瀏覽網站的使用者會被重新導向到惡意的釣魚網站,經過他的調查,發現是後臺MySQL資料庫中的相關欄位被置換,賴炫亦提到,許多沒有資源的企業,常會選擇像是MySQL和Wordpress這樣的免費組合架設網站,並且使用免費的功能外掛,但是如果企業沒有特別注意版本的更新,或是漏洞修補,這些架站組合很容易存在漏洞,在加上如果沒有任何資安檢測和防護措施,就很容易被駭客成功入侵。

受到駭客攻擊常讓企業損失慘重,不只是需要付出聯繫客戶或是修補漏洞所花費的人力資源,還可能損失商品價值,或是賠償客戶受騙的金額,而最嚴重的是,可能一夕之間毀掉企業辛苦建立的品牌信任度以及客戶黏著度。

讓企業暴露在受駭客攻擊高風險的原因,無非企業沒有專業IT,不了解系統設定,或是沒有資安觀念,也不熟悉系統架構,甚至是因為不方便或是不習慣,而採用了較具風險的配置,而賴炫亦表示,最大的問題還是企業預算不足。

執行弱掃,先解決中高風險漏洞

企業可以選擇完整的資安檢測,包括弱點分析或是模擬攻擊等方法,搶在駭客前發現系統漏洞,並且修補這些漏洞,但對資源匱乏的中小企業來說,無法像大型企業有充分的資源進行完整的資安檢測,因此他建議,最基本的行動,是使用弱點掃描工具,可以選擇免費的或是付費的方案,先對系統進行完整掃描,並且優先解決高或中風險的漏洞,另外,也可以採用網頁應用程式防火牆(WAF),來進行一些基本的防護,中小企業可能無法負擔硬體式WAF,也可以選擇比較便宜的軟體式WAF解決方案。

至於是不是作了進行資安掃描或是採用防護解決方案,網站就不會被駭客入侵,賴炫亦認為,在前面所提到的案例企業都有在資安上下不少功夫,但是仍然被駭,因此沒有絕對安全的情況,而且只要跟網路相連,就有資安問題存在,因此企業要持續維護改進資安,才能持續保有防護力。


熱門新聞

Advertisement