戴夫寇爾執行長兼共同創辦人翁浩正認為,包括物聯網、嵌入式設備在內,都會是未來的資安風險。

圖片來源: 

iThome

在臺灣替許多電子商務公司、網站公司以及政府部門提供資安諮詢顧問服務,和以駭客攻擊思維提供滲透測試服務的戴夫寇爾執行長兼共同創辦人翁浩正,即將於4月初在iThome舉辦的臺灣資訊安全大會擔任主講者。

他專研駭客攻防技術已經超過10年,創辦資安團隊NISRA並培育相關資安技術人才,他在研究生時,還曾經贏得資安技能金盾獎競賽2010年亞軍和2011年冠軍,曾經擔任過臺灣駭客年會(HITCON)副總召,目前仍是核心成員之一,持續擔任國內企業、學術及政府單位資安講師及顧問,並曾進行多件政府單位滲透測試專案。

他認為,臺灣負責資安的IT人員應該要避免,只仰賴資安設備發揮功能而不窮究資安事件發生的原因,而當嵌入式系統及物聯網裝置陸續被駭客作為傀儡電腦跳板和中繼站時,企業應該要有意識對相關產品做檢測或隔離以確保安全性。以下為書面採訪內容:

就你的觀察,臺灣企業網站最常犯哪些資安毛病?是否也和OWASP中所列的資安威脅類型一致呢?

臺灣網站​目前最常見的還是​​以下5種常見的資安老毛病,從跨站腳本攻擊(Cross-Site Scripting​,XSS)、注入攻擊(Injection)、​跨站冒名請求(Cross-Site Request Forgery,​​CSRF)、​商業邏輯漏洞(Business ​Logic ​Flaw​)以及資訊洩漏(Information Leakage)等,而前三種更是名列OWASP前10大資安威脅的排行榜中。

這些企業網站的資安毛病,帶來哪些後遺症?

除了導致企業的個資外洩外,有些個人資料也會賣給詐騙集團,成為詐騙集團謀利的工具,更嚴重的是網站主機遭到入侵,駭客滲透至企業內網,企業資料全都露。

更讓人擔心的是,臺灣有不少電子商務網站或者是有導入金流的網站,因為對網站都沒有正確的保護方式已經發現部分電商網站,即使是一般人,也可以嘗試修改消費金額,造成企業損失,而只要用一般的工具攔截瀏覽器連線就可以修改了。

去年包括Heartbleed或者是Shellshock等重創網站資安,甚至有漏洞存在超過10多年,企業真正面對的網站資安隱憂為何?

​企業面對存在那麼久的資安漏洞,往往也表示,企業IT人員並沒有落實應有的資安作為,可能連基本的弱點修補或升級都沒做到。

除了沒有落實漏洞修補外,許多企業IT人員普遍面臨的共通問題則是,過度依賴或習慣使用資安設備的防禦功能,甚至覺得,只要設備可以發揮防禦功能,可以阻擋外部攻擊就能萬無一失。

但進一步細究,企業資安真正的風險卻在於,攻擊者有能力繞過各種資安設備,甚至可以直接入侵資安設備而進到企業內部,但企業負責資安的IT人員卻渾然不覺其嚴重性。

企業IT人員又該如何避免過度仰賴資安設備提供防護的因應方式?

「態度決定高度」,重點是,企業的IT人員必須避免僥倖、便宜行事心態,徹底落實滲透測試(PT)等資安檢查,切勿因為成本考量而只使用自動化的資安工具、掃描了事。

態度改善之外,也必須加強監控機制,增加企業內部的監控以及SIEM等檢查機制,以便於企業遭到入侵後,企業負責資安相關的人員,都可以在第一時間得知並掌握異狀。

黑箱的滲透測試和白箱的源碼檢測,究竟孰優孰劣?

黑箱白箱各有優缺點,搭配得一,就是企業最好的防禦工具。

首先,黑箱檢測比較能確實知道,當企業面對外界威脅時的自我防禦能力,可以真正檢視企業目前的防禦等級;再者,可以透過真實的方式,得知攻擊者可以透過哪些漏洞取得哪些資料,並藉由資安公司的評估,來做快速、有效的漏洞修復。

至於,白箱測試的話,因為目前多半還是使用自動化工具進行測試,會產生數百頁甚至上千頁的報告書,對企業來說幫助不大,甚至造成負擔。這些都是不佳的資安服務提供者,將分析報告的時間成本轉嫁回企業客戶身上。

那企業應該如何搭配黑箱和白箱檢測,達到最大效果呢?

白箱黑箱各有好處,通常我們會先建議客戶進行黑箱檢測,日後再導入白箱。​建議企業可以先針對黑箱滲透測試的精準檢測修復完畢之後,再導入白箱掃描機制至開發流程中,針對小部分每次異動的程式碼進行掃描,才能最有效的確保程式碼開發的安全。

包括物聯網(IoT)、穿戴式裝置等,是今年必須持續關注的資安關鍵議題嗎?

我們​從一些資安事件的研究報告​中發現,目前嵌入式系統、網路設備及IoT等相關設備,在這幾個月的攻擊事件中,都被拿來作為中繼站、傀儡網路(Botnet)。因此,這些設備的安全性,勢必是企業今年重大的資安課題。

面對這樣新型態威脅,企業應該怎麼預防呢?

由於目前尚沒有一個合格的標準,可以證明上述相關設備沒有隱含資安問題,只有負責任的設備廠商,會自行找資安公司進行檢測,確認該設備無安全疑慮。

因此,企業目前僅能要求廠商提出安全證明(檢測報告)、自行進行檢測,或者是將外購設備進行企業內部隔離監控,確認不會因這些設備而導致企業被入侵。

若要評比臺灣和其他國家對於資安防禦的能力,你覺得臺灣的評分為何?

很難給予臺灣資安做評分,但相較於其他國家對於資安的重視程度、應變能力,其實都高上臺灣一截。

我們可以從資安人才的培育計畫、競賽成果、面對大型資安事件時的應變能力、國家政府對於資安事件的作為等,都可以看出,臺灣離真正安全的資安環境,還有很長一段路要走。

 

相關報導請參考:「臺灣資安大會現場直擊」


Advertisement

更多 iThome相關內容