圖片來源: 

iThome

前面談到了PDF文件的各種攻擊模式與危險,也指出了目前還沒有完善的對應之道。不過,當然像任何資安問題一樣,企業或組織在面對這樣的問題時,還是有幾種能夠減輕遭受攻擊風險的做法,在這裡,我們就將列舉4種可行的相應辦法,供讀者參考。

 方法1  建立管理稽核制度與教育訓練

可疑的文件和超鏈結不能開,這是長期以來就被告知的資安常識,多數的使用者也有一定的認識。不過,相較於連結和執行檔,對於PDF這一類的文件,還是有很多使用者都會認為開啟的風險較低。

要解決這個問題,就必須透過一定程度的教育訓練才能做到。由於PDF這一類文件攻擊的方式,多半隨著社交工程的手法一起使用,而面對社交工程的攻擊手法,最重要的就是從改變人的行為開始。只有讓使用者體認到危險性,對PDF文件檔案隨意開啟的習慣才能夠被改變。

舉例來說,每年國家資通訊會報針對不同機關進行的社交安全模擬演練,可能就是建立這種認識的好方法。透過這種演習的方式,統計不同單位有多少人會去點選可疑的連結或檔案,其結果將能夠進一步帶動使用者的資安意識。

不光是政府單位能夠這樣做,其實稍具規模的組織或企業,也可以以類似的方法進行自我檢驗。例如不少大學就已經開始自己進行類似的社交工程模擬攻擊檢測。

不管怎麼說,防堵這種手法的關鍵,還是在於使用者的認知教育與組織的管理稽核制度。如果企業或組織能夠透過資訊單位要求使用者做一些基本的保護措施,如關閉電子郵件自動下載圖片與內容的功能、要求設定以純文字開啟信件、取消信件預覽等,並且要求使用者確認來信的人員的真偽之後才開啟相關文件等,這些都能協助企業在一定的範圍內,減輕受到攻擊的風險。

多數的資安專家都表示,面對社交工程的攻擊手法,其實最重要的還是在於使用者的行為。而使用者的行為,其實就和企業管理的制度與使用者的教育息息相關。也因此,透過上述的設定,和類似演習與管理上的規定,雖然說起來稍嫌空洞,不過這正是根本面對此一問題的方法。

 方法2  從相關設定下手

除了教育訓練與管理制度的建立之外,要求每個使用者的電腦都做出較安全的設定,也是一個方法。

以PDF檔案來說,首先要把PDF Reader的JavaScript和開啟第三方應用程式的功能都關閉。舉例來說,如果使用的是Adobe Reader,就要到偏好設定中,選擇JavaScript,然後把啟用Acrobat JavaScript的選項關閉。而第三方應用的部分,則同樣要到偏好設定,選擇信任管理程式,然後關閉允許使用外部應用程式開啟非PDF檔案附件的選項。如此一來就能避免攻擊者透過JavaScript,或是前述兩位資安研究員所示範的/Launch自動執行動作手法,減少風險。

當然這樣的方法依然只是治標不治本,不過短期內可能會是最有效的方法。只是這等於必須要關閉部份PDF Reader的功能,對於常常使用PDF檔案的使用者來說,如果有這些功能的需求,一時之間IT人員也許很難說服他們改變習慣。

另外就是,由於這些設定很有可能必須逐臺去變更,由於PDF Reader目前在統一管理設定的方面上還十分不足,在稍大規模的企業或組織內,如果有太多的電腦,逐臺設定會成為一項麻煩且不可能的任務。這使得實際執行上,這樣的做法可能必須要使用者的配合,否則會等於沒有做。

對於IT人員來說,在Adobe或其他PDF Reader的軟體廠商提供更完善的更新去避免類似的攻擊手法前,這種改變相關設定的方式,或許還是面對多數較無資訊觀念的使用者時,最有效的做法。不過長期來看,還是必須搭配管理制度與教育訓練,才能確保長治久安,確保安全。

 方法3  改變開啟和傳送PDF檔案的方式

資訊安全有一個目前還沒有被推翻的定律,那就是越多人使用的軟體和方法,越不安全。因為攻擊者通常都會針對這樣的目標去想方設法,找出漏洞。

所以如果使用者端改變,使用較少人使用的方法或軟體,很多時候就往往會避開許多危險。以PDF為例,前述展示的手法,對於幾個比較多人使用的Reader軟體,都有影響;但是相對的比較少人使用的PDF Reader軟體,則反而可以避開這些危險。像SumatraPDF這種陽春且沒什麼多餘功能的PDF Reader軟體,反而就不會有/Launch這種攻擊模式的風險。

除此之外,透過Google等網路廠商提供的Web服務來開啟PDF檔案,或許也是個好主意。因為不是在本地主機端執行,可以避開一些無謂的風險。但是對於企業來說,這樣的做法可能是緣木求魚,幾乎一般使用者是不可能以這樣的方法來開啟PDF檔案的。

所以也會有人建議,只使用Office文件的檔案,或是規定以壓縮的方式,或是一定的命名方式來傳遞文件,減少一些接收到不明文件的風險。這些方法或多或少都會增加使用者的不便,但使用冷門的PDF Reader軟體,如果使用者能夠接受,事實上也不乏是解決之道的一種可能。

不過要注意的是,即便使用冷門的PDF Reader,也不見得就一定高枕無憂。舉例來說,即便使用Preview(Mac OS)或poppler,還是有針對其作業系統或PDF Reader設計的攻擊模式。如果攻擊者是事先調查過的針對性社交工程攻擊,很有可能還是會透過PDF檔案攻擊成功。也就是說,還是必須輔以不同的方式才能解決這個問題。當然透過Web服務來開啟目前看來是比較有用的方式,但是就實際企業與組織的營運方面來看,使用上還是有一點難度。

 方法4  從閘道端下手,封鎖可疑連線

說了這麼多電腦主機端的防護,當然從閘道端下手,也是有一定的用處。舉例來說,透過能夠阻斷可疑網站連線的設備,如IPS或Web安全閘道器等,就能夠減少受到PDF攻擊的電腦,又再度將資料外連洩漏出去的可能性。

據了解,不少防毒和防火牆的閘道器廠商,現在也正投入過濾可疑文件的功能研發。類似這樣的功能也能夠有效的減少PDF等夾帶惡意文件信件進到使用者端的收件夾,直接在閘道端封阻,減少安全風險。

趨勢科技技術支援部經理簡勝財就表示,目前趨勢科技就準備在防毒引擎中加入這一類的功能,希望能夠透過辨識的能力,分析出含有惡意行為的PDF或其他類型文件檔案,從閘道端阻檔這樣的電子郵件,減少使用者中招的機會。「其實不少曾經吃過類似虧的使用者,已經開始協助我們測試類似的功能。當然不可能百分百防禦,但是未來這樣的功能應該能夠減輕類似的安全風險。」簡勝財說。

其實無論如何,資安的問題永遠不可能是靠單一的方法就能夠解決的。資訊安全不像是築堤防,比較像是不停的把水掃出去,永遠都有不同的環節需要注意,是一個動態的過程。所以對於企業來說,要減少利用PDF檔案攻擊的風險,還是必須從各個角度下手,才有可能做到確保一定程度的安全。

從網路設備的角度來看,其實Web防火牆、Proxy Server等有能力過濾使用者連網的設備,其實在協助防禦這樣的攻擊上,還是能夠做到一定的效果。

 

PDF設定

將「允許使用外部應用程式開啟非PDF 檔案附件」的功能選項關閉,就能避免透過/Launch的手法進行惡意攻擊的可能性。

 

PDF設定2

透過在PDF 的格式中加入(app.alert("提示文字內容"))這樣的語法,就能夠改寫開啟PDF檔案時,跳出的警告視窗文字,進而以社交工程的方式誘騙使用者開啟。

 


相關報導請參考「小心!PDF也會藏毒


Advertisement

更多 iThome相關內容