API漏洞釀資安危機
幾乎每週都有資安洩漏問題上新聞版面,最新的受害對象是社群媒體Instagram。官方證實駭客利用 Instagram API 應用程式介面在身份驗證上的漏洞,竊取用戶的電話號碼、電子郵件與聯絡資訊等,主要鎖定名人、明星等特定對。駭客竊取Instagram特定個資的用戶數超過 600 萬個,並將這些個資建立資料庫,以一筆10美元的價格出售,引發外界對 IG 在個人資料保護上的質疑聲浪。
一般大眾可能覺得IG個資被盜沒什麼特別感覺,但事實上每天都在上演資安攻防戰,舉例來說,每個人切身相關的電子支付也存有API漏洞。目前電子支付採取綁定手機號碼,然而盜刷者可經過權限認證的漏洞改變預設手機號碼,讓銀行將驗證碼傳送到盜刷者的手機,再使用電子支付來付款。
從上述兩件案例顯示,API已成為近年來資安新威脅。根據OWASP(The Open Web Application Security Project ,開放網路應用程式安全專案)2017年新版歸納的十大資安風險中,其中兩項新增的風險都與API的安全性有關。果核數位資安顧問陳昱崇(Zero)表示,隨著行動上網普及,企業蜂擁開發App,但背後的API伺服器卻沒有做好保護措施,讓API存有安全漏洞,導致駭客可利用漏洞在未經身份驗證情況下取得使用者權限或相關機敏資訊。
弱點掃瞄V.S 滲透測試
面對駭客的威脅,企業要做的即是提昇資安防護水位,除了傳統的弱點掃描(Vulnerability Assessment)外,還要深化到滲透測試(Penetration Test)。Zero解釋,所謂弱點掃瞄主要倚賴自動化掃描軟體檢測既有的安全漏洞,但無法檢測出最新的資安漏洞或與邏輯思維相關的漏洞並給予修補建議。滲透測試則是由資安專家團隊,仿駭客思維實際瞭解企業營運模式與系統架構的邏輯進行測試,以實戰方式找出任何可能突破目前的網站安全防護,獲得企業內部資產或資料。藉此找出系統架構邏輯不完整或是其他漏洞風險,並協助客戶制定更完整安全的防禦措施。
Zero進一步補充,滲透測試就是資安專家或有道德良心的駭客(或稱白帽駭客,White Hat Hacker),以假想敵駭客入侵會使用的方法與戰術滲透到企業內部,用其專業技能仔細巡察企業的系統架構是否有未知的弱點,或運作流程有邏輯上的錯誤,並協助改善系統加強安全。若以健康檢查來做比喻,弱點掃描就是利用儀器檢查身體狀況,只能找出目前顯性的病症,但沒有醫師來對症下藥;但滲透測試除了深入分析偵測一般健康檢查無法檢查到的項目外,還能針對病人體質與病症提供正確的治療與改善建議。
利用滲透測試找出網站背後的潛在問題
以電子商務網站的滲透測試為例,果核資安團隊會以整個電商系統的運作邏輯,來思索駭客可能侵入的點。首先分析網站架構、管理流程與商業運作模式,如購物系統怎麼做、訂單後台資料庫系統、金流找誰合作,可使用哪些信用卡或特殊付費模式等,以及委外與自建的程式邏輯問題,再加上員工搭配後台管理可能出現的社交工程漏洞等,模擬不同類型駭客威脅進行實戰攻擊與檢測,找出網站系統的潛在問題,從整體宏觀的角度來分析檢測,確認客戶網站是否有潛在問題,必須加強安全性。
除了網站外,滲透測試人員也會使用後滲透測試,從企業內部端點開始試圖取得企業同仁的使用者權限,例如寄送社交工程郵件、使用其他員工帳號信箱,利用破解密碼等方式取得管理權限,以獲得資料庫伺服器內的機密資料的。並可一併檢視整體資安防禦架構設計是否完善,防火牆或入侵防禦系統是否有過濾或提出警示。Zero認為,系統架構是人設計的,事實上所有的資安問題就是人的問題,因為追求便利是人的天性,但便利與安全互為矛盾,如何在安全與便利之間取得平衡,確保在資訊安全之前提下,才能享受資訊便利。
目前以政府機關、金融產業、電子商務或遊戲產業較為積極進行滲透測試。Zero認為,每個產業都需要做滲透測試,只要企業網站與消費者有互動,客戶個資能讓駭客賣錢或企業本身營運價值是駭客有利可圖的,都需要做滲透測試,將企業的資安水位拉到最高以降低受駭風險。
