偵九隊：傀儡程式對企業潛在危害大

內政部警政署刑事警察局警政監兼偵九隊隊長李相臣，日前在一場資訊安全論壇中指出，目前臺灣網路犯罪以網路釣魚（Phishing）受害範圍最廣，但以傀儡程式（bot）造成感染的傀儡電腦受害最深。

網路流量異常監控傀儡程式的出沒
李相臣進一步表示，傀儡程式平時不活動時，潛藏在企業和個人端的電腦中，難以被察覺，一旦主使者發動攻擊，所有以植入木馬程式等手法造成感染的傀儡電腦，會聽命主使者命令，除了群起癱瘓網站流量外，也可竊取企業或個人機密資料。而這個過程，多數人可能不知情。而傀儡程式散佈的電腦，甚至包含政府機關以及民間企業等。

有感於傀儡電腦對於企業的危害常在不知不覺之間，中華郵政資訊處連線管理科管理師黃龍珠便說，進行長期的網路流量監控，成為中華郵政積極面對傀儡程式等潛在威脅的作法。不過，美國網路安全系統（ISS）情報中心主任與IT-ISAC實施主管Peter G. Allor指出，監控網路流量已經是企業面對傀儡電腦的基本功，但臺灣網段屬於規模較小的C級網段，有時候即使是長期監控流量，也比較難察覺其間的異動。

定期進行程式漏洞修補
因此，Peter G. Allor建議，即時更新、修補作業系統以及應用程式的漏洞，並建置雙向防火牆，是比較務實的作法。他強調，隨著微軟作業系統的普及，許多企業在面對微軟推出的修補程式時，會積極上網更新修補程式，但是，許多企業使用的應用程式，例如ERP等，IT人員經常會疏忽更新到最新版本，這往往也成為傀儡程式，可以趁機進駐企業內部電腦裡面的時機。

一位在金融機構負責資訊安全的IT主管指出，對抗傀儡程式威脅，更新程式已經是IT人員的基本工作，每位負責更新程式的同仁，每天都必須紀錄當日的程式更新與工作日誌，每月還會不定期抽查。另外，在定期更新的程式中也包含防毒程式的更新碼，這名金融機構IT主管認為，許多傀儡程式，在一段時間後會成為已知病毒，即時更新和掃毒非常重要。

部署雙向防火牆，內外攻擊都擋
對抗傀儡電腦，阻擋其由外而內的攻擊，只是其中一種攻擊方式，假若電腦已經成為傀儡電腦，也會發生由內而外的攻擊事件，因此，Peter G. Allor認為，對於從內而外或從外而內攻擊都可以阻擋的雙向防火牆，也成為企業面對殭屍網路時的基本配備。

雙向防火牆在臺灣企業也越來越普遍，但一般企業IT人員對防火牆政策定義上，往往會定義通則，讓許多病毒因為例外，透過網路潛藏企業內部電腦中。該金融IT主管表示，若預算寬裕，可以採購比現有需求高一等級的雙向防火牆外，在政策定義上，他也建議詳列各種細目，雖然規則多而繁瑣，但就是為了降低駭客利用特例潛入企業電腦的機率。文⊙黃彥棻