網站代表了一家企業的外貌與形象,在決定顧客對企業看法上,扮演著關鍵角色,因此許多企業都不惜花費大筆銀子來架設、妝點網站。但在另一方面,許多企業對網站安全的考慮顯然有所不足。駭客輕則藉由置入廣告或不雅訊息,破壞企業形象,重則植入木馬程式,竊取賬號密碼、金融交易資訊等,造成企業巨大損失,甚至走向倒閉收場的悲慘結局。

以前企業對於網站被駭的問題可以充耳不聞,但是在2010年之後,Google為了提供更安全的網頁搜尋,為其搜尋結果追加一項設計:將Google掃描到疑似被駭的網站標上「不安全網站」的標籤。若使用者仍執意點選不安全網站的連結,Google甚至會以一個紅通通的警告網頁,再度提醒瀏覽者這個網站可能被置入了垃圾訊息或惡意程式,避免使用者誤入而遭連帶感染。使用者當然也可以對此警告置之不理,繼續瀏覽該網頁,不過,對於絕大多數的人來說,一旦看到警告網頁,通常就不會再繼續瀏覽了。

此舉一出,對企業網站帶來極大的衝擊。只要你的網站被Google貼上不安全的標籤,透過搜尋引擎而來的客戶就幾乎消失了,而且一旦消息傳開了,使用者對你的網站也就避之唯恐不及。

這項對網頁瀏覽者貼心的安全設計,其實是一把雙面刃,為了維護使用者的安全,勢必就會突顯企業網站的不安全。對網站擁有者而言,這項服務對網站安全帶來很大的考驗,但往好處想,Google這個警告機制倒也是一種免費的安全掃描服務,對於缺乏網站安全警示機制的企業而言,未嘗不是一種折衷的方法,只不過你得付出的代價是,一旦被Google貼上不安全網站的標籤,上門的客戶就會開始減少了。

Google的安全網頁過濾機制上線之後,就有多個知名網站因為被貼上不安全標籤,而引發諸多爭議。網站管理者最困擾的是,無法主動撤除「不安全網站」的警告標籤,因為不知如何向Google提報網站被駭問題已獲得修正,往往只能私下去信請Google協助處理,十分缺乏效率。而Google又是最被廣泛使用的搜尋引擎,網站被列在黑名單上的每一天,企業都要付出形象受損的巨大成本。

終於,Google似乎聽見了網站管理員心中的苦,在今年推出了一套完整的網站被駭緊急處理程序,教導網站管理員如何修復網站,以及提交Google重新驗證的程序。

Google這套方法包括許多網路安全知識與緊急應變指南,包括如何正確將網站下線,如何以備份回覆乾淨網站的操作要點,並且針對常見的網站安全問題,如密碼強度不足、Open Redirect及SQL Injection等,提出建議的修復方法。Google也提供WebMaster線上工具,讓網站管理員可以掃描網頁內隱含的垃圾訊息、惡意程式以及網路釣魚等威脅。

另外,Google也提供了驗證網址,只要網路管理者將復原過的網站送交此網址,並通過驗證,企業就能從不安全網站的列表中除名,瀏覽者日後也再不會從搜尋結果中看到「不安全網站」的標籤了。

多位資安專家都認為,Google這樣的作法有助於提升網路安全,趨勢科技臺灣區技術總監戴燊認為,此方法可以解決基本網站被駭問題,代理F-Secure的翔偉資安科技總經理杜世鵬則表示,這項安全偵測機制對於7成的資安風險是有效的,但是,資安專家也都提醒企業,這個方法對企業而言雖然也算是一種免費的網站安全偵測,但並無法完整涵蓋所有的安全風險。杜世鵬表示,尚有2成是「新型的變種攻擊」以及1成的「APT針對式攻擊」,若Google的資料庫沒有新型攻擊的模式,就無法提出警示,尤其是日益猖獗的APT攻擊,此種作法更是無法有效防範。而中華龍網技術總監陳世育表示,Google的重點在於防止被駭客入侵的網站,在網際網路上造成更大的危害,但是對於一些非透過網站傳播的病毒或攻擊,如中間人攻擊,這種防護機制就力有未逮了。代理G Data的俊端科技技術支援工程師韓宗廷則指出,Google這套方法是手動解決垃圾訊息、惡意軟體及網路釣魚等網站受駭問題,仍仰賴IT人員手動修復網站,所以企業仍必須由IT技術人員協助才有辦法因應。

熟悉網站應用程式安全的專家Alan Lee表示,Google提供的方法能讓網站管理員迅速處理網站被駭問題,並增強管理員對於網站安全的相關知識,但是,想建立更全面,更長久防駭機制的企業,則不能就此打住,而該建置完整的弱點掃瞄系統、入侵偵測系統、版本控制以及網路日誌管理系統,並於平日強化企業內部人員的資安防護意識,才是萬全的防駭之道。

熱門新聞

Advertisement