2014年3月5日 星期三

模擬APT攻擊和資料外洩事件,行政院首度資安情境演練成果出爐

模擬APT攻擊和資料外洩事件,行政院首度資安情境演練成果出爐

平均65分鐘完成通報 網頁權限控管不佳是首要問題


行政院在2月14日所屬機關的資訊主管會議中發布,政府網路攻防演練成果以及首次資安情境演練成果。行政院資通安全辦公室主任蕭秀琴表示,7成機關於規定1小時時限完成通報,平均65分鐘完成,整體資安應變能力以主計總處、法務部、金管會、中央銀行及海巡署等5個機關最佳。不過,測試33個機關的482個系統,也發現了108個弱點,以網頁權限控管不佳是政府機關主要問題。

蕭秀琴指出,去年花了1年時間,除了籌備和規畫外,其中2個月進行實兵演練和社交工程演練,花1天進行首度舉辦的情境演練。而過程中,實兵演練不僅找到108個網站和系統弱點,藉由第一次的實際情境演練也反映出各機關資安通報應變的實際能力。

另外還實施了社交工程演練,去年社交攻擊郵件的開信率或點閱率都低於過往的標準值,顯示政府人員的郵件資安意識更高。她說,2014年會再次舉辦這類攻防演練。

府院聯手,提高資安攻防演練層級
蕭秀琴表示,近年來國際間資安事件層出不窮,各國紛紛規畫辦理系列網路演練活動,以培養政府機關在面對網路攻擊時之應處能力,例如美國的Cyber Storm、歐盟的Cyber Europe及馬來西亞的X-Maya等,行政院此次則選定行政院所屬33個二級機關,進行大規模的網路攻防演練。

為了拉高政策層級,彰顯政府部門的重視,此次由行政院政務委員兼資訊長張善政,擔任網路攻防演練專案的召集人,另外也由直屬總統府、負責國家整體安全的國安會諮詢委員袁桂笙擔任協同召集人,行政院資通安全辦公室主任蕭秀琴擔任執行秘書。

有一定的政策高度,有利於後續的政策推動。蕭秀琴指出,為了讓演練可以達到實際的成效,光是在籌備階段,不僅要成立演練執行團隊並制定各組任務及演練規範等,也必須針對演練機關召開工作會議並辦理說明會議,另外也邀請國際資安相關單位的專家學者來臺灣參與交流。她說,透過國際經驗的交流,也可以增加臺灣對網路攻防演練不同層次的思考與理解。

首度舉辦模擬情境演練,檢視機關通報應變能力
這次演練的過程中,除了對以往常見的網路攻防演練和社交工程演練有新的作法外,行政院資通安全辦公室副主任吳啟文表示,更是首度舉辦「進階持續性威脅攻擊(APT)」和「網頁後門程式與資料外洩」情境演練,考驗各機關和合作IT廠商的通報應變能力,「這也是歷年來政府機關第一次有情境模擬演練。」他說。

行政院挑選一天來執行資安情境演練,分別在當天上午和下午各設計3個情境,每小時發布一個子情境,演練機關則必須以電子郵件方式回覆針對各個資安情境的處置狀態,更重要的關鍵則是,各演練機關必須依照各個情境,判斷是否要進行資安通報。吳啟文說,為了檢視各機關的應變能力,還任意挑選數個機關,透過視訊會議,以5分鐘陳述相關的應變通報作為。抽點到的NCC(國家通訊傳播委員會)、人事行政局和金管會等部會資安長都在現場參與演練與抽點答覆。

從演練的成果來看,超過8成(86%)的機關都在1小時內完成通報,甚至一半以上的機關在情境發布的半小時內,就已經完成通報。

至於,依照「國家資通安全通報應變作業綱要」規定不需要通報的子情境,則有2成的機關立即進行通報。

蕭秀琴認為,從整體的情境演練來看,有超過7成(71%)的機關在規定的1小時內完成通報程序,所有機關平均在65分鐘內回覆,回覆內容可以涵括事件原因評估、影響範圍、漏洞修補等。她說,雖然多數機關可以把握通報應變的程序,但從結果看來,各機關對於資安事件的處理仍高度仰賴資安廠商的協助。

模擬駭客實際手法測試釣魚郵件攻擊 
至於歷年都有做的社交工程郵件演練,吳啟文表示,以往都是從GSN找社交工程演練的寄送名單,但此次則是模仿真實駭客的社交工程手法。

直接從網路上尋找33個機關中,可以取得所屬人員的電子郵件帳號,並依照八卦、新奇和娛樂的主題,隨機寄送3封釣魚郵件到每個電子郵件帳號,該封郵件則會記錄並統計每個收信者開啟或點閱社交工程郵件的比率。

這次社交工程郵件開啟率為4.5%,低於以往標準10%;點閱率為3.32%,也低於標準的6%。但還是有少數機關資安意識不足,社交工程郵件開啟率與點閱率都超過20%。

這次的實兵演練過程中,攻擊小組為了先了解各機關網站和系統的弱點,先進行系統探測、資訊蒐集及弱點掃描等作業,之後在不影響演練機關系統正常運作的情況下發動網路攻擊,所有的攻擊過程則由裁判組負責記錄和監控。

吳啟文指出,以往行政院也曾舉辦多次的滲透測試,但比較像是資安檢測服務。而這次的實兵演練則是模擬駭客實際的入侵手法,利用攻防演練平臺將所有入侵過程做記錄,網站被網頁置換(Deface)或者是被植入選定的惡意程式,就表示實兵演練順利攻陷該政府機關的網站。

吳啟文指出,以往進行滲透測試或攻防演練時,都以技術服務中心的成員為主,因為這一次網路攻防演練的規模大過以往,新增加TWISC(資通安全研究與教學中心)成員學校,包括台灣科技大學、交通大學和成功大學的資安研究人員,讓攻擊手法更為多元。

這次實兵演練,測試行政院總計33個機關中,共482個系統,蕭秀琴表示,在整個測試完成後,也在各機關系統與網站找到108個弱點,其中以網頁權限控管不足或沒有落實是最多機關面臨的共通弱點第一名,其次為網站未過濾特殊字元和使用簡單、預設或易猜的弱密碼

在網路實兵演練的過程中,吳啟文說,攻擊小組也參考OWASP指出的常見十大弱點,並針對相關的弱點進行攻擊。如果機關的關鍵系統遭駭成功,資通安全辦公室會要求該機關在1周內完成複測。

擔任裁判組的行政院資訊處處長趙培因表示,這次實兵演練採用了一套攻防演練系統來記錄攻擊事件,有助於更客觀地發現各機關的資安問題。

從定期測試改善系統面臨的共通弱點
從整體防護情形來看,找到3個各機關最普遍的共通弱點,包括:網頁缺乏妥善的權限控管、網站未過濾特殊字元和使用弱密碼。

戴夫寇爾執行長翁浩正表示,權限控管或是網站未過濾特殊字元,如果在設計流程中有考慮到權限設計、網站輸出輸入字串時,較不會有資安疑慮。不過,人不是電腦,他說,程式設計撰寫時總會有疏失,因此開發人員在開發流程中、系統上線前以及上線後,都必須定期進行滲透測試,從駭客的思維角度找到最新的風險跟人為疏失之處。

由於權限控管範圍較廣,若要改善權限控管的問題,翁浩正認為,必須要從攻擊者的思維出發,思考攻擊者會怎樣進行攻擊,而驗證相關的機制及資料,都必須存放在伺服器端,以免在客戶端遭到竄改破解。

例如,要解決網站未過濾字元的問題,他說,網站管理者必須做很嚴格的過濾檢查,不論是檢查從外界的輸入貨從資料庫的輸出,更好的方式就是使用白名單來過濾使用者的輸入,而非黑名單,可以提高網站的安全性

至於使用脆弱密碼的部份,翁浩正認為,這與使用者資安意識是否足夠息息相關。若要維持密碼有足夠的安全強度,必須要遵循幾個密碼的大原則,包括:長度夠長、複雜度夠高、不共用密碼、不重複使用密碼,及定期變更密碼等,如果可以的話,也可以在系統中強制設立密碼稽核的機制,強迫使用者遵循更安全的密碼原則

目前有許多系統都已經建立密碼稽核機制來管理使用者密碼,只要使用者的密碼過短、過簡單、過久未變更,將會強制提醒使用者進行變更。

翁浩正認為,所謂的安全密碼,複雜度必須包含英文大小寫、數字、空白、符號在內,長度至少要15個位元以上

首次政府網路實兵攻防演練時程
1. 規畫階段(2013年1~5月):委外規畫網路攻防演練計畫
2. 籌備階段(2013年6~11月):成立演練執行團隊制定演練規範、辦理演練機關說明
3. 執行階段(2013年11~12月):情境演練、網路攻防實兵演練、社交工程郵件演練
4. 檢討階段(2013年12月~2014年3月):召開網路攻防研討會、進行演練結果評分作業、檢討各項演練內容
資料來源:行政院資通安全辦公室,2014年2月

轉載自《iThome》