公司簡介   產品資訊   客戶服務   安全資源   顧問服務   合作伙伴   臺銀共同供應契約 


 

作業系統本身的 UPDATE,是不是就能夠修補所有的弱點?
各家作業系統,往往提供所謂的 Update 的確是修補時最常用的方式, 但是卻不一定能夠完全修補網路環境中所有弱點,因為相對的可能發生問題如下:
  • 目前 Update 版本未收錄(可分類成立即性攻擊和政策因素)
  • 只針對該產品線進行修補,與附帶安裝弱點
  • 下載版本跳躍或不當升級,將導致修補不完全。
  • 環境執行「實體隔離」
  • 其他新型態攻擊方式

目前 Update 版本未收錄(可分類成立即性攻擊和政策因素)
    立即性攻擊:
    如使用者最常用的 OFFICE 系列近日發生,零時差攻擊弱點(zero day attack)..也就是針對產品剛上市 曝光,隨即就有能找出弱點予以攻擊或是移植惡意程式,或是在現有產品發現弱點在原廠尚未有修 補方式公布前,採取立即性攻擊。

    如果於網路弱點評估服務下,將對於此弱點進行評估報告並通知使用者,就攻擊原理與防護方式,在原廠尚未立即修補方案前,讓您事先防範與避免攻擊,進而移除木馬或惡意程式。

    政策性因素:
    如因原廠舊型應用/驅動程式或作業系統核心變更停產,或是經原廠評估或是疏忽並未收錄,導致於 經修補程序執行後,還是有相關弱點發生。

    如果於網路弱點評估服務下,將對於此弱點進行評估報告,告知您弱點目前依然可能存在,並提出適當建議,請您進行更新升級或核心變更。當然如果是停止服務與維護的應用程式,則是建議您進行替換避免弱暴露遭受攻擊。
只針對該產品線進行修補,與附帶安裝弱點
    產品無收錄其他軟體與修補:
    當然這是最常見的情況,因為鮮少產品會收錄其他公司修補/驅動程式,除非是有必性與相關服務。

    產品收錄其他軟體與修補:
    如果公司於收錄其他軟體或是工具程式組時,忽略檢查所提供軟體版本本身是不是已存在既有弱點漏洞,在使用者初次安裝之後,其實也將弱點同時安裝,弱點風險當然也一起增加。

    於網路弱點評估服務下,您可以迅速的在弱點報告中選擇修補下載或是建議設定。
下載版本跳躍或不當升級,將導致修補不完全。
    下載修補版本跳躍:
    基本上原廠提供升級通知時,如果包裝不完全或是下載/映射點放置不完全,或是下載過程發生異常,將可能導致修補或更新失敗,所以在您下載任何修補檔時,請記得請使用支援續傳之下載軟體下載。

    另外請注意,下載時確認為原廠下載點,因為目前網路釣魚網站與惡意映射網頁,將可能讓您下載 包含木馬或病毒的修補程式,讓弱點不僅沒有修補,還讓您越補越大洞。

    不當軟體升級:
    正因未正式發行軟體,提供測試或搶鮮版的盛行,或是外掛模組,讓使用者在嘗鮮並未考風險的心 態下安裝,有時候新版的確是帶來更多功能與方便,但是相對來說也帶來了更多風險,新通訊方式 與服務的提供,也提供了有心人士對新服務嘗試新攻擊方式的管道,

    於網路弱點評估服務下,您可以輕易測試環境中,所有可能引起攻擊的弱點。
環境執行「實體隔離」
    網路環境採取內外網實體隔離或是風險區切割,如果無 SUS (Software Update Services) 等同類型架構 協助環境主機升級,原則上Update就英雄無用武之地,不論您怎按都無法升級使用。

    於網路弱點評估服務下,您可以選擇以HTML報表形式,於外網或任何可下載環境進行下載更新。
其他新型態攻擊方式
    目前政府部門與部分企業,在資安管理上採取「實體隔離」管制,落實機敏資料不外洩政策,實際隔離 內網外網防止惡意攻擊,綜觀目前以網路、USB、1394、COM、讀卡機等實體層傳遞介面,乃至於無線 網路、紅外線、藍芽…等無線資訊傳輸裝置的盛行,其實也提供了攻擊模式之外事實上創新的攻擊手段 也不斷翻新。

    所以正確與適當的定時進行網路弱點評估(Network Secure Scanner),與執行弱點評量修補是有其絕對的必要性。
本文作者: 林政男(Jason Lin)
ISO/IEC 27001 Lead Auditor
  Copyright© DragonSoft Security Associates, Inc. All rights reserved..
  台灣總部:新竹市光復路一段 607 巷 30 號 5F   Tel: 03-563-0989 Fax: 03-579-7758
  台北業務處:中和市中山路二段 351 號 9 F   Tel: 02-8221-5408 Fax: 02-8221-5476