「CYBERSEC 2022臺灣資安大會」於20日在臺北南港展覽館二館正式揭開序幕。為呼應各界對後疫情時代資安防護的迫切需求,今年大會以「CHANGE NOW 數位轉型 資安升級」為題,除了邀請超過300家海內外的資安品牌參與展出,也齊聚超過1萬名的產、官、學、研等資安專業人士,共同思索資安解決方案。
總統蔡英文蒞臨開幕典禮,她指出:「資安不能單打獨鬥,必須依靠聯防,(臺灣)政府正在加快腳步打造資安聯訪體系。」蔡總統表示,具體行動例如推動上市(櫃)公司設立資安專責單位與資安長,並計畫今(2022)年年底會有113家上市櫃公司完成目標;在公控資安領域,倚賴台積電、工研院等努力下,日前也已經推動半導體設備資安國際標準SEMI E187,有助於強化供應鏈安全。不僅如此,政府在今年底將成立「國家資通安全研究院」,藉此精進資安相關技術的研究。
美國在台協會(AIT)台北辦事處處長孫曉雅(Sandra Oudkirk)也來到現場,她表示:「臺灣的公部門、私部門是網路攻擊的目標,這已經不是什麼秘密了,但近期臺灣政府網站受到的網路攻擊量比過往高出23倍。」孫曉雅指出,強而有力的網路預防措施,對於保護臺灣各行各業的經濟利益顯得至關重要;而頻繁遭受駭客網路攻擊的情況也一再提醒我們,不能只依靠IT部門獨自面對資安挑戰,如今所有人在網絡防禦中都扮演著重要角色。
為企業把關資安韌性!工研院資安攻防技術部提出12點建議
有鑑於資安事件層出不窮,數位發展部數位產業署(以下簡稱產業署)另舉辦「中堅企業暨產業資安階段成果發表會」,說明內部如何協助企業提升資安韌性。
工研院資安攻防技術部技術經理陳伯榆提到,從本次參加資安體檢的企業當中,可歸納出12點資安威脅與風險所在。但他也特別強調:「檢測標的(樣本)是個別廠商,所以這些分析結果只能作為參考,不能推估到各個產業(母體)。」
以下說明12點問題的內涵:
問題一:資料庫是否適合放在外部網路
「基本上資料庫不適合開在外面,按理來說,資料庫是存放重要數據的地方,它的敏感程度只有企業本身可以知道。」陳伯榆指出,過往的駭客竊取資料時,可能會經過防火牆等重重關卡;但假設企業直接把資料庫亮在外面,對駭客而言是極容易入侵與控制的目標。
「即便資料再不重要,(資料庫開在外面)都可能讓『主機』成為跳板或被植入惡意程式。」陳伯榆因此建議,企業主(或資安長)應在系統開發設計上進行變更、調整。
問題二:Exchange Server版本問題
陳伯榆在本次的曝險探析中發現,部分企業的Microsoft Exchange系統似乎已經EOS(中止技術支援)。假設遇到過時的軟體怎麼辦?理論上,企業主必須找機會為軟體升級,以避免漏洞可能帶來的駭客攻擊。不過,陳伯榆也坦言,Exchange Server的升級是相對困難的、存在許多風險,以致於很多IT人員不敢貿然行動。
但無論如何,「適時編列預算來升級內部軟體」,才是企業經營的長久之計。
問題三:防火牆管理平台暴露在外網
「舉個例子,家裡可能會有保險箱,但我們不會把它擺在門口,我可能擺在衣櫥裡面,或是其他不顯露的位置。」陳伯榆將防火牆(firewall)比擬為保險箱的存在,如今有企業將防火牆管理平台直接放在外網,極容易遭受駭客暴力破解、撞庫攻擊。
旁人乍聽之下容易理解,但企業為何要這麼做?「資安有三個要素:安全性、可用性、完整性,當你過度重視安全性,你的可用性就下降。」陳伯榆解釋,防火牆的管理介面入口必須要藏起來,但也不能太過隱蔽(否則使用上不方便),意即企業必須在這些要素之間找到平衡。
更重要的是,防火牆的韌體應盡速更新升級。
問題四:FTP協定是否改採用SFTP
所謂FTP(檔案傳輸協定),簡單來說是指「沒有經過加密的檔案傳輸」,比如現在很多人使用Google雲端傳輸資料,潛在的駭客其實隨時可以從中攔截、甚至進一步入侵帳號密碼。
因此,建議企業應升級成SFTP(安全檔案傳輸協定),加密整個檔案傳輸通道。陳伯榆補充,目前在ISMS(Information Security Management System,資訊安全管理系統)制度與資安外部稽核時,都會要求在本項進行改善。
問題五:非必要通訊埠應該關閉
陳伯榆發現,有些企業開通的外部通訊埠(port)類型累計近2,000組,「一旦開通的通訊埠越多,駭客可以入侵的資安缺口就越多。」
因此,除非企業有特殊用途,否則一律建議以最小化、零信任原則進行管理。
問題六:Open SSH & Open SSL的潛在威脅
Open SSH與Open SSL,兩者都是開放原始碼(open source)的軟體函式庫套件,目前也都存在公開、已知的網路安全性漏洞問題。
陳伯榆因此建議,在不影響相關資訊系統操作、服務運作的前提下,企業有必要盡快進行版本升級與更新。
問題七:路由器(router)是否應該暴露在外部
「路由器(router)是一種類似IoT的裝置,那IoT的資安環境是很脆弱的,經不起我們做深度的資安驗證或紅隊測試。」陳伯榆指出,在路由器相關的資安驗證實例與經驗中,至今很少有(企業)100%安全通過驗證。
對此,他建議「路由器」應該藏在安全保護環境下,且企業有必要持續強化韌體更新、將相關管理介面進行黑箱弱點掃描,以確保符合資安防護能力。
問題八:Tomcat安全設計與管控
「我們現在連到任何一個網站,會有Web Service,它可以是RSS、Apache或Tomcat。」陳伯榆解釋了Tomcat的意義,同時直指其缺點所在,即Tomcat所提供的管理介面,方便用戶可以直接從遠端登入、修改設定,也讓駭客有許多可趁之機。
陳伯榆指出,設定孔(入侵點)不應該暴露在外,而最好的做法是直接關閉Tomcat的後臺管理平台。
問題九:VPN因疫情需要,安全上應注意
隨著疫情時代來臨,VPN(虛擬私人網路)也被頻繁使用,但人們往往忽略了兩個安全考量:第一,VPN是否啟用二次驗證機制,假設沒有啟用,則存在駭客暴力破解密碼的問題;第二,定期檢核VPN紀錄,藉此確保沒有異常來源地與時間的登入存取。
陳伯榆表示,假設企業內部檢測VPN紀錄時發現,IP位址顯示在印度、俄羅斯等並未開展市場的地區,則極有可能是遭到駭客入侵。對此,企業有必要時刻提高警覺。
問題十:開源CMS系統應注意安全
國際知名的CMS(Content Management System, 內容管理系統),例如WordPress平台,其實處處存在資安漏洞,它可能存在於後臺的管理平台,也可能潛藏在網站封面的模板。
即便如此,企業不太可能直接放棄開源軟體使用。陳伯榆因此建議,企業必須定期針對開源CMS系統進行資安檢測,以及強化後臺登入的安全管控。
問題十一:遠端桌面暴露在外網問題
「有些企業直接把遠端桌面暴露在外網。」面對這項問題,只能說明企業的資安意識有待提升。陳伯榆對此建議,桌面可搭配VPN服務進行強化作業。
問題十二:部分AIoT裝置在外網被偵測
「IoT裝置本身的安全性強度,並不足以面對分散式阻斷服務(DDoS)或相關駭客滲透。」陳伯榆表示,企業除了須定期更新韌體外,也應將IoT建立在專網基礎環境中,對企業資安來說會比較有保障。
責任編輯:侯品如
