網路服務的應用為企業節省成本與提高升生產力是最顯而易見的,因為公司不必再去煩惱彼此系統間如何溝通的問題。溝通程序越簡化,就越能提高生產力。生產力一旦提升,成本自然降低。但也由於網路系統比以前更加便利,電腦性能與運算能力越來越強,越來越好用,也提高非法入侵的頻率。由種種關於電腦網路的發展顯示,未來破壞安全的入侵行為只會越來越多。
便利之下的隱憂
人
司外部的駭客:近幾年來小至個人用戶大至政府機關都無不使用網路,也由於它的便利,入侵事件也逐年成倍數成長,去年十一月至今年七月長達八個月間,我國政府網站爆發有史以來首宗規模最大、系統遭大陸駭客入侵竊取大批資料事件;遭大陸駭客入侵網站高達四十二個、電腦多達二百一十六台;行政院長游錫指示相關單位建立整體性的國家資訊通信安全防護機制,定期對政府網站偵測掃描、補強漏洞。
公司內部懷有惡意的員工:防了外來的入侵,卻忽略了公司內部員工所可能帶來的傷害,之前美國某高科技公司離職員工入侵該公司電腦系統重要檔案。根據國際電腦安全協會(ICSA Security Report)指出,六十%的洩密事件來自企業內部,十五%來自外部入侵。
操作上的疏失:公司內部人員對網路不了解與管理不當造成威脅與損失,像是帳號密碼管理疏失及一些不當設定造成的安全漏洞,讓駭客有機可趁。微軟曾經傳出總部遭駭客入侵,竊走了包括Windows XP、Office XP的軟體原始碼。據傳聞,駭客藉由連上微軟公司員工的家用電腦,透過迂迴方式,成功地躲過層層防護措施,進入微軟內部網路,蒐集部份密碼後,再將這些資料轉寄到俄羅斯的一個郵件帳號。
病毒
不斷改良的病毒,由2001 年 Code Red 與 Nimda 電腦病毒利用微軟IIS伺服器的漏洞,不但能避開網路的管制大門 - 防火牆,還會在系統上建立後門,2003年初SQL Slammer Worm 病毒,則是利用SQL 的漏洞入侵系統,在系統中取得網址,並開始找尋網路互聯有弱點的主機系統再進行感染。Slammer病毒在2003年1月25日發作,藉著SQL Server資料庫當中的漏洞,在發作的前五天,就造成10億美元的損失,同時也以極快的速度散佈到全球各地。現今複合式的病毒,單靠防毒軟體與防火牆防禦是不夠的,因為防毒軟體,只能防的了病毒,卻無法防的了弱點,防火牆,只能對特定的port 進行限制,卻無法過濾掉,存在 e-mail 傳送所含帶的複合式病毒中的弱點。
弱點
軟體弱點:軟體的弱點存在於作業系統和應用程式軟體中的錯誤,駭客就經由這些弱點對電腦進行入侵,取得、更改、破壞電腦中的資料或造成當機,而它所造成的損失,常常是無法估算的
管理弱點:由於管理上的疏失,因而導致被入侵,如系統設罝不當或是帳號密碼過度於簡單而容易猜測。
安全問題永遠層出不窮,病毒、入侵型態也不斷翻新,駭客越來越精明,入侵軟體只需找一下,就可下載一堆駭客工具,這些當然是不合法的,但不管怎樣,入侵的類型只會越來越多。
§ 駭客入侵流程:瞭解駭客的入侵流程,管理者可以更加清楚知道,駭客從何而來?
(如圖一)
網路應用快速普及,網路的應用程式也大幅成長,大部份的公司因為人力編制有限,而且未善用適當的工具加以管理,難免會產生疏忽而導致駭客入侵。美國聯邦調查局 ( FBI ) 和舊金山電腦安全機構在去年公佈一項調查,受訪的500家企業和政府機構中,約有90%在過去一年中有遭受攻擊的經驗,損失總額逾4.5億美元。
倍數成長的弱點
美國電腦緊急事件反應小組協調中心(CERT/CC)
美國電腦緊急事件反應小組協調中心(CERT/CC)公布的數字顯示,2002 年該中心接到的電腦安全事故報告中指出,2002年發現弱點數為4,129個是2000年發現弱點數1,090個的4倍,2002年發生的資安事件為82,094件是2000年發生資安事件21,756件的4倍,由此我們可得知,弱點數量與資安事件是成正比的,且99%的駭客是利用既有的漏洞入侵。
1995-2002 弱點統計報告
| Year |
1995 |
1996 |
1997 |
1998 |
1999 |
2000 |
2001 |
2002 |
| Vulnerabilities |
171 |
345 |
311 |
262 |
417 |
1,090 |
2,437 |
4,129 |
1990-2002 安全事故統計報告
| Year |
1990 |
1991 |
1992 |
1993 |
1994 |
1995 |
1996 |
1997 |
1998 |
1999 |
2000 |
2001 |
2002 |
| Incidents |
252 |
406 |
773 |
1,334 |
2,340 |
2,412 |
2,573 |
2,134 |
3,734 |
9,859 |
21,756 |
52,658 |
82,094 |
公開的已知安全漏洞
CERT/CC是報告漏洞的一個主要Internet安全問題報告中心,偶爾發佈一些報告,提供某個嚴重安全問題的描述及其影響,並提供修補的建議或變通辦法的細節。除了CERT以外,CIAC (Computer Incident Advisory Capability) 也報告漏洞,許多不同的組織可能會用不同的名稱來報告同樣的漏洞,為了解決這個問題,MITRE支持常見漏洞揭露(CVE, Common Vulnerabilityies and Exposures)列表來對所有公開的已知安全漏洞建立單一的獨有名稱以相互區別,例如造成SQL Slammer Worm 病毒的安全漏洞,CVE 編號為 CAN-2002-064,可由 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0649
)獲得安全漏洞的描述。NIST的ICAT(http://icat.nist.gov/) 則是CVE弱點搜尋引擎,把每個CVE弱點分類並提供查詢與比較。
風險評估->風險管理
什麼時候才能阻止網路駭客入侵?人類文明已有四千年歷史,何時才能讓犯罪成為絕響?答案是:永遠不會。網路世界也是一樣的道理,我們最多能做的就是儘可能管理風險,將風險降到最低,一如在實體世界的做法。
風險評估
資訊資產、威脅、弱點是風險評估的三大要素,經由企業內部資訊資產所面臨的潛在威脅與弱點,在由資產價值與潛在威脅與弱點發生的機率或強度,決定該資產的風險值(Risk Value)(如圖二)
風險管理
企業走進e化,數位化資料比例日亦加重,重要數位資產除了網路快速發展之腳步促使、並應促使組織重新思考其安全策略的完善與否。今日的企業首重在於藉由風險評估與符合其本身實際的需求去訂立安全政策來保障數位資產。
利用安全漏洞掃描器 ( Vulnerability Scanner ) 工具對網路上設備及主機做風險評估與管理
網路安全在過去一直傾向採取被動式管理的防護策略,被動式防護所使用的設備及工具也是最省事且直接有效的,例如防火牆、入侵偵測等。然而在複合式病毒出現後,被動式的防護策略已顯得防禦力不足。利用軟體漏洞進行攻擊的病毒總是造成企業與機關大量損失,使得企業只能忍受亡羊補牢的損失。漏洞掃描器 (vulnerability Scanner ) 為網路安全中評估弱點及風險的重要工具,它主要的功能是找出網路主機及設備的漏洞以及隱藏性風險以及鑑定網路架構安全程度,如同僱請善意的職業駭客進行安全漏洞評估分析。大致上能對SMTP、POP、HTTP、FTP、SNMP、Telnet、SSH、NFS等協定,以及帳號密碼管理疏失及不當的設定做安全檢測,完整的功能更可以對防火牆、路由器等硬體設備以及資料庫伺服器(MS SQL、MySQL、Oracle等)做檢測。漏洞掃描後所產生的風險評估安全報告也可以分別提供給管理者及技術人員,管理者報告僅提供了解整個網路的安全狀態及風險程度分析,而技術人員報告提供每一個弱點說明及修補建議,提供技術人員進行修補的方法,將隱藏性風險及威脅降至最低,使原本必需大費周章的弱點評估管理工作變得輕鬆容易。
網路的安全管理是必需的,企業必須先評估現有網路的安全狀況,才能充分了解自身網路的安全防禦能力,並擬定妥善的網路安全政策,配合適當的防護設備、定期的稽核以及持之以恆的系統管理制度配合,才能在利用網路的高效率的同時,也能保護網路及資源不致於被破壞或竊取。
作者:中華龍網產品技術處 賴妍帆
版權所有,如欲轉載,請文章完整,或經本公司同意。
網路、安全、弱點與風險管理
