系統弱點或應用程式漏洞(Vulnerability)是目前相當重大的資訊安全問題,如果你經常注意IT業界的新聞,會發現每隔幾天就會各式各樣的系統漏洞消息,從這些報導中我們可以發現,有些漏洞由系統廠商主動公布(例如微軟習慣在每月第二個週二),並附帶提供用戶修補程式,有些弱點資訊則由安全專家和研究員披露,可能無法馬上取得修補程式,假如公告中資訊提供夠詳細,在修補程式正式發佈前,至少可以參考這些訊息來源及早因應。

相較於過去仰賴人工修補,缺乏即時更新機制,發現漏洞後透過安裝修補程式補強,現在看起來似乎很容易了事,然而對企業實際運作經驗而言,要克服這些問題仍非易事。

首先得持續關注已知系統漏洞弱點的所有消息,媒體報導的部份只是最新且影響規模較大的近期事件,管理者必須親自彙整分析這些消息;但就算你消息很靈通,廠商也及時發佈漏洞修補程式,當在重要的伺服器與為數龐大的個人端電腦上,安裝修補程式或調整設定,作業上可能會產生應用程式相容性的風險、停機重新啟動的需求,以及確認每部電腦都裝了修補程式等,每支修補程式的安裝與否的影響,不亞於一套應用系統的升級改版,必須經過IT人員的測試和驗證無誤後,才能正式部署。

系統漏洞頻傳,使得修補工作必須更快速,自動更新與自動修補或許可以加快大量部署的速度,節省頻寬,卻又無法全然適用於企業所有的電腦。修補漏洞既然已成為常態性的正式IT工作,不得不讓我們重新思考漏洞與修補程式是否更佳的管理方式。

考量資訊安全之外,由於系統在運作中還是會不斷需要安裝修補程式,在IT生命週期管理上更不能忽略。在應用程式的管理、遷移、部署與派送等工作上,修補程式形同附屬在主要應用系統上,同樣必須涵蓋在系統管理的考量範圍內。從IT資產的管理與災難復原等更巨觀的角度,如何將修補程式管理融入基礎架構的維護,微軟和賽門鐵克等廠商已經有了初步的答案。

已知的系統漏洞幾乎等於攻擊

對於漏洞修補,或許我們心中都有一些對策,但如果觸及修補漏洞工作的管理,可能想不到能立即可行的做法。一些常見的系統弱點,可能帶來風險,雖然不能完全劃上等號,隨著網路攻擊發展日益複雜化與自動化,已達到一觸即發的情況。一支修補程式從公布到攻擊程式出現,時間越來越短,先前需要半年到一年的時間,疾風病毒(MSBlaster)需要25天,今年8月的幽靈病毒(WORM_ZOTOB.A)打破記錄,MS05-039公佈後三天,就出現攻擊程式。

即使企業有防毒、防入侵設備,伺服器和個人端電腦都裝了防毒軟體,筆記型電腦等可攜式裝置,在公司以外的地方上網,仍有可能感染病毒和蠕蟲,等電腦帶進公司網路後,再直接從內部掃描其他有漏洞的電腦,乘機植入,發動大規模感染,內部網路如果沒有很好的防範,無從阻擋蔓延程度,最快的處理方法就是把這些中毒電腦的網路線拔掉。以W32.Welchia.Worm為例,不只侵襲單一弱點,同時能探測多種弱點。

遇到系統漏洞的問題,多數人當下最直接的反應往往會馬上想辦法更新系統、安裝修補程式,然而裝上這些修補程式後,不見得每次都達到修補的效果,有時系統強化安全性後,反而影響了其他既有的應用程式的運作,Windows XP的Service Pack 2這項重大更新就是近期最典型的例子。

發現漏洞與修補皆是風險一環

面對已知或未知的系統漏洞,不論是否能有現成的修補程式可供套用,或是不得不尋求其他防護方式,就算沒專人沒預算,企業恐怕沒辦法對漏洞修補這項工作的重要性等閒視之。漏洞修補工作並非只有大公司才關注,資源有限、資安認知待加強的中小企業需求也很殷切。根據2005年資策會資訊市場情報中心對國內中小企業資訊安全應用需求的調查指出,系統入侵偵測與漏洞補強的需求,在優先改善項目中即名列第三。

該怎麼從風險管理的角度,著手修補的工作呢?許多專家都建議一開始要全面清查企業資訊系統的軟體、硬體資產,盤點企業的電腦環境使用作業系統和應用程式的類型和數量;企業最好還能同時做到鑑價(Assessment),這樣才能根據資產價值和重要性,決定處理順序(識別、分析);針對不同電腦產生對應的處理動作列表,讓弱點消失,不管是永久修補、暫時堵住(計畫);當新的修補程式發布,管理者要先測試,必須事先建立一個盡量相似或完全一樣的環境供測試,如果沒有問題,這些修補程式會直接套用到所有電腦上面去,套用後企業仍要不斷監控(追蹤、控制),因為這些修補程式可能會發生安裝失敗或是被移掉等狀況,這個流程會反覆循環,確保所有在既有的電腦上發現到的漏洞都能獲得處理。

走「旁門左道」也要防漏洞攻擊

安全是一個整體解決方案,單一產品並無法一肩扛起企業全部的資安問題,修補系統漏洞,雖然可以正面避免攻擊,使得攻擊無機可乘,但傳統的網路防護還是不可或缺。

修補程式管理搭配強制政策(Policy Enforcement)以發揮內部控管,則是各路資安廠商普遍認同的做法。臺灣中小企業更常運用的做法是利用系統定期備份/還原,現在更可以搭配磁碟映像的生命週期建立可快速回復的系統。

相關文章
偵測篇-定期安檢企業的資訊系統

修補篇-修補漏洞,測過再上

預防篇-稽核修補成效,預防漏洞攻擊
已知的系統漏洞幾乎等於攻擊

對於漏洞修補,或許我們心中都有一些對策,但如果觸及修補漏洞工作的管理,可能想不到能立即可行的做法。一些常見的系統弱點,可能帶來風險,雖然不能完全劃上等號,隨著網路攻擊發展日益複雜化與自動化,已達到一觸及發的情況。一支修補程式從公布到攻擊程式出現,時間越來越短,先前需要半年到一年的時間,疾風病毒(MSBlaster)需要25天,今年8月的幽靈病毒(WORM_ZOTOB.A)打破記錄,MS05-039公佈後三天,就出現攻擊程式。

目前企業常見的漏洞,應用程式早該修補更新的,固然可以靠套用修補程式解決,但更多是管理疏失與不安全的設定。使用者登入密碼原則過於鬆散,容易猜中的問題屢見不鮮;委託SI廠商代為處理電腦或設備時,會發生套用通用密碼未變更的情況。

網站伺服器的漏洞也多得驚人,表單輸入未檢查如SQL injection,或是跨站程式(Cross-Site Scripting,XSS)、BO(Back Orifice)、上傳後門網頁,以及不當的錯誤處理(Error Handling)、存取控制缺失 Broken Access Control、驗證缺失(Broken Authentication)、連線管理、緩衝溢出(Buffer Overflow)等。企業防火牆的管制設定也不夠嚴謹,只限制「外對內」連線,卻不限制「內對外」連線,無法修補的伺服器自以為隱藏得天衣無縫,還是可以被駭客找到位置。

即使企業有防毒、防入侵設備,伺服器和個人端電腦都裝了防毒軟體,筆記型電腦等可攜式裝置,在公司以外的地方上網,仍有可能感染病毒和蠕蟲,等電腦帶進公司網路後,再直接從內部掃描其他有漏洞的電腦,乘機植入,發動大規模感染,內部網路如果沒有很好的防範,無從阻擋蔓延程度,最快的處理方法就是把這些中毒電腦的網路線拔掉。以W32.Welchia.Worm為例,不只侵襲單一弱點,同時能探測多種弱點。

縱使這些威脅目的不在癱瘓網路或電腦,透過反向連線(Reverse Connection),以HTTP或DNS等標準網路服務,還是可以將機密資料傳出,除非企業能擷取到這些特殊的攻擊模式,否則很難防範。

不當安裝修補程式衍生問題

遇到系統漏洞的問題,多數人當下最直接的反應往往會馬上想辦法更新系統、安裝修補程式,然而裝上這些修補程式後,不見得每次都達到修補的效果,有時系統強化安全性後,反而影響了其他既有的應用程式的運作,Windows XP的Service Pack 2這項重大更新就是近期最典型的例子。

廠商開發的修補程式偶爾會出現設計不周的狀況,例如未考慮使用者自行設定與手動下載的動作錯誤,導致越修補而問題越多的情況。微軟10月安全性公告就發生這樣的問題,在MS05-051中,使用者假如變更Windows這個資料夾的預設存取控制清單權限,安裝後,將導致部分系統服務與應用程式無法啟動、網路連線內的所有項目消失,或是已驗證的使用者無法登入。MS05-050所公告的DirectShow 允許遠端執行程式碼弱點修補,同樣發生一些問題,假如安裝DirectX 8.0或9.0的Windows 2000用戶利用手動下載的方式誤裝DirectX 7.0的修補程式,修補將失效,而且使用者不知道系統未更新。

隨著病毒警訊與修補資訊從多種管道持續發布,拿漏洞修補當幌子的病毒不少,使用者不小心即可能誤觸社交工程陷阱。微軟從未透過電子郵件附件檔發送修補程式,然而目前已經出現一些惡意程式透過電子郵件在網路上散播,主旨上可能顯示類似「Microsoft Alert: Please Read! Message-ID: 」的字眼,假稱此封訊息由微軟發布,同時鼓勵使用者安裝附件的安全修補程式,但附件檔其實是一隻木馬程式。Fortinet在9月份全球安全事件分析報告同時列舉了使用類似手法的病毒,包括W32/Zapchast.F-tr、W32/Swen.A、W32/Sober.D、W32/Dumaru、W32/MyDoom.AD和W32/Pandem.B 等,有些惡意電子郵件本身還會探測Outlook和Outlook Express的弱點,在開啟或預覽訊息時試圖執行。發現漏洞與修補皆是風險一環

面對已知或未知的系統漏洞,不論是否能有現成的修補程式可供套用,或是不得不尋求其他防護方式,就算沒專人沒預算,企業恐怕沒辦法對漏洞修補這項工作的重要性等閒視之。漏洞修補工作並非只有大公司才關注,資源有限、資安認知待加強的中小企業需求也很殷切。根據2005年資策會資訊市場情報中心對國內中小企業資訊安全應用需求的調查指出,系統入侵偵測與漏洞補強的需求,在優先改善項目中即名列第三。

弱點永遠都會出現,並不是上了修補程式就沒事,而新電腦可能也隨時會上線,隨著公司規模擴充,可能一下子進來一兩百部電腦,缺乏適當的管理,你將無法掌控…不論是漏洞管理、安裝修補程式或是增加的新電腦,既然改變一定會發生,而且會帶來風險,不妨就套用風險管理(Risk Management)的角度執行這些工作。風險管理可分為五大步驟:識別、分析、計畫、追蹤和控制,企業必須持續評估風險,絕不能停止搜尋新的風險,並且必須定期重新評估現有的風險,才能從這些程序獲益。

結合風險管理的修補才夠完整

該怎麼從風險管理的角度,著手修補的工作呢?許多專家都建議一開始要全面清查企業資訊系統的軟體、硬體資產,盤點企業的電腦環境使用作業系統和應用程式的類型和數量;企業最好還能同時做到鑑價(Assessment),這樣才能根據資產價值和重要性,決定處理順序(識別、分析);針對不同電腦產生對應的處理動作列表,讓弱點消失,不管是永久修補、暫時堵住(計畫);當新的修補程式發布,管理者要先測試,必須事先建立一個盡量相似或完全一樣的環境供測試,如果沒有問題,這些修補程式會直接套用到所有電腦上面去,套用後企業仍要不斷監控(追蹤、控制),因為這些修補程式可能會發生安裝失敗或是被移掉等狀況,這個流程會反覆循環,確保所有在既有的電腦上發現到的漏洞都能獲得處理。

IT資產從辨識、盤點、掃描弱點到矯正(Remediation),除了考慮價值與重要性,還要考慮到漏洞風險等級。有些修補動作可以按部就班,經過測試,許可後再做部署,而有些修補因為情況特殊,比較緊急,可能跳過某些例行程序,直接快速部署。以微軟的資訊安全公告為例,通常會標示重大(24小時內)、重要(1個月內)、中度(4個月內)、低度(1年內)4種嚴重性等級,以及弱點影響範圍、安裝必要性、警告程度、受影響的軟體等。

事後持續的稽核在弱點掃描或修補程式管理上也不容忽視,管理者要能即時看到修補程式安裝的統計分布狀態。這也是和弱點評估(VA)最主要的差異︰持續性。弱點評估是在特定時間點,針對定義的目標,用不同的網路位置與思考模式發動模擬攻擊和偵測,再收集資料;修補程式管理能隨修補資訊的更新和持續部署,中華數位第一事業群執行顧問黃政杰說,這可以幫助企業隨時掌握寬廣的修補資訊面向,同時兼顧持續的部署動作,減少管理的成本。走「旁門左道」也要防漏洞攻擊

安全是一個整體解決方案,單一產品並無法一肩扛起企業全部的資安問題,修補系統漏洞,雖然可以正面避免攻擊,使得攻擊無機可乘,但傳統的網路防護還是不可或缺。

比方說防火牆光是檢查來源和目標IP及網路埠,就可以幫我們阻擋70%~80%外圍的攻擊事件;而放在防火牆內的IDS/IPS可以更精準地辨識與防護網路流量,但是有誤判和效能的問題;防毒牆同樣屬於閘道端的產品,有效果,但無法進一步檢測內部網路,伺服器和個人端系統終端是最終防線,例如防毒軟體和限制應用程式使用。

修補程式管理搭配強制政策(Policy Enforcement)以發揮內部控管,則是各路資安廠商普遍認同的做法。臺灣中小企業更常運用的做法是利用系統定期備份/還原,現在更可以搭配磁碟映像的生命週期建立可快速回復的系統。例如透過Ghost或現在的Symantec Livestate Recovery,在維護最新可用的映像檔時,然而整合安裝修補程式的工作相當繁雜,匯入/匯出伺服器或個人電腦的個別設定與資料也很麻煩,因此從整體性的系統復原計畫,也是一種從資料面預防漏洞攻擊之道。文⊙李宗翰

臺灣一般企業常見漏洞

TWCERT 長期提供偵測服務的經驗,根據他們分析臺灣一般企業常見漏洞,依照常見程度排列如下:

1.SSL加密連線漏洞。
2.DNS Server Detection:這個網路埠正在執行 DNS服務,如不使用建議關閉,本身是DNS伺服器的話,則需注意有無漏洞。
3.木馬程式:有不知名的服務在網路埠上執行,此情形疑似系統中存有特洛依木馬後門程式,可能會被有心人士利用竊取或毀損重要資料。
4.DCE Services Enumeration:遠端使用者可透過135埠連結,並查詢相關資訊,入侵者可以使用這項服務獲取遠端主機更多資訊。
5.SMTP伺服器版本過舊未更新。
6.各主機未將不需要的網路埠關閉。
7.HMAP script會試著傳送瀏覽需求驗證網站伺服器的類型和版本。
8.傳送一連串的TCP封包攻擊,造成主機癱瘓


Advertisement

更多 iThome相關內容