2014年8月18日 星期一

以駭客思維做正規防禦 擋網站漏洞確保商務安全

定期掃描搭配因應策略 防止網站遭滲透不二法門
以駭客思維做正規防禦 擋網站漏洞確保商務安全

其實網站的攻擊行為並非強悍不可敵,更多事件發生是因為管理面的疏忽所導致。若僅是網站元件的缺失,可以透過程式撰寫讓駭客誤判;或是採用開放原始碼架設網頁服務,則後台管理資料夾預設路徑與命名務必要修改。從管理面著手,簡單的注意事項只要確實執行,即可降低風險,並非得仰賴自動化工具才能防禦。

跨網站指令碼(Cross-site Scripting)、SQL Injection等網頁型態的攻擊技術已行之有年,至今始終無法根除,且仍常見為駭客用來滲透的管道。美麗島雲端安全科技(FormosaAuditor)研發顧問蔡銘桔指出,駭客工具持續更新可說是攻擊行為始終存在的因素之一,像是滲透測試軟體套組Kali Linux就常遭駭客利用,只要新漏洞發布,駭客即可藉由工具之力快速地找到攻擊目標。

從OWASP(Open Web Application Security Project)每年公布的十大網頁安全風險不難發現,攻擊手法大多存在已久,只是駭客利用類似Kali Linux內包含的工具時,其行為並非大規模掃描,而是依照特定漏洞試探攻擊標的,以致於一般管理機制難以察覺是一起攻擊行為。

但最終無法有效控制攻擊事件的主因,多數仍是網站漏洞的檢查動作不夠確實,以及缺少積極的因應策略所致。HP資訊安全事業部北亞區資深技術協理蕭松瀛亦認為,從幾起重大資料外洩事件來看,其實駭客採用的攻擊手法大同小異,約有七成是利用應用程式漏洞滲透後進行竊取。

鎖定網站漏洞攻擊 六種常見模式 

蔡銘桔指出,針對網站漏洞發動的攻擊,大致可區分為六種方式:

1. 作業系統服務層的漏洞。駭客使 用SSH(Secure Shell)或遠端桌面漏洞略過驗證程序,或是使用字典攻擊,暴力破解帳號密碼獲得系統的主控權。

2. 網頁伺服器的漏洞。此類攻擊 例如IIS的WebDav(Web-Based Distributed Authoring and Versioning),以及Apache的延伸模組(mod_rewrite等),伺服器組態啟用危險的PUT Method,恐將成為駭客上傳程式、Shell Script的管道,在網頁伺服器上任意執行。

3. 網頁服務元件的漏洞。利用 PHP、Tomcat、OpenSSL等常用元件的漏洞進行攻擊,可略過安全限制取得敏感資訊以及網站存取權。

4. 網頁應用程式的漏洞。常見是駭 客利用跨網站指令碼盜取帳號與認證資訊,及利用SQL Injection獲取資料庫的內容與權限,或略過認證程序取得管理權。

5. 開放原始碼網頁應用程式碼的漏 洞。包含WordPress、Joomla、phpMyAdmin、FCKeditor等受歡迎的開放原始碼應用套件,常出現零時差(Zero-day)攻擊,不論漏洞的新舊,駭客利用工具即可探尋尚未修補的網站,成為攻擊標的。

6. 網站管理後台的漏洞。駭客會猜 測預設的路徑安裝名稱,常見的網站管理後台路徑如admin、administrator。

蔡銘桔進一步提到,其實網站的攻擊行為並非強悍不可敵,更多事件發生是因為管理面的疏忽所導致。若僅是網站元件的缺失,可以透過程式撰寫讓駭客誤判;或是採用開放原始碼架設網頁服務,則後台管理資料夾預設路徑與命名務必要修改。要避免漏洞成為攻擊目標,從管理面著手,簡單的注意事項只要確實執行,即可降低風險,並非得仰賴自動化工具才能防禦。

近期較知名的事件即是4月期間OpenSSL被揭露內含Heartbleed安全漏洞,國外資安業者估計當時全球約有60萬個網站受到波及,並呼籲需盡快更新修補程式。但經過一個月後,仍然有32萬個網站含有此安全漏洞,顯示許多網站管理員對於網站安全漏洞並沒有積極的因應策略,才讓駭客有機可乘。

▲美麗島雲端安全弱點管理機制,可同時掃描配置IPv4、IPv6位址的主機及設備。(資料來源:www.formosaauditor.com

黑箱與白箱測試 揪出程式碼弱點位址 

針對應用程式漏洞,市場上不乏因應的技術與解決方案,只是蕭松瀛觀察,實務上要落實並不容易。其實在台灣已有許多提供漏洞掃描技術的方案與服務,可執行的深度與詳細程度皆不同,但通常為了避免耽誤專案交付時程,掃描的機制不會設計得太過複雜。如此的情況下交付的應用程式,八成以上都有潛在漏洞,只是還沒有被駭客發現並入侵,或者是早已被駭客利用滲入而不自知。

「大家都知道,建置了入侵偵測防禦系統,不代表漏洞可全數修補,一定還會有更新的零時差攻擊出現,因此必須持續不斷地更新特徵碼,才能及時發現、攔阻。對於應用程式,當然也該定期檢視與更新。」蕭松瀛說。

像是OpenSSL漏洞,即可透過HP WebInspect進行檢測,即便是通訊協定層的漏洞,亦可被察覺。蕭松瀛說明,至於SQL Injection等網頁漏洞,往往跟研發人員撰寫程式的風格有關,一旦掃描結果中發現漏洞,會直接在客戶面前展示攻擊該漏洞的方式,如此一來才能取得重視進而改善程式撰寫習慣。

當然有不少企業仰賴WAF(應用程式防火牆)來防禦,但是他指出,若漏洞問題發生在程式碼內容,則必須由HP WebInspect與HP Fortify SCA(Static Code Analyzer)整合運行後精準地指出程式碼位置。也就是經WebInspect掃描發現SQL Injection等漏洞後,Fortify SCA找到呼叫的路徑,藉此研發人員即可有效率地進行調整。

分散式弱點管理架構 借鏡駭客原理邏輯

國內資安技術人員自主研發的「美麗島雲端安全弱點管理」解決方案,較特殊之處可說是分散式弱點管理的部署架構。蔡銘桔說明,分散式弱點管理是因應不動產仲介業等類型的客戶,在全台有幾千個營業據點,實在難以親自到每個據點執行掃描檢測而設計的作法。只有在第一次安裝時需要到現場,完成後即可由遠端控制、配置掃描排程,並自動將掃描完成後的資料經過加密回傳管理中心,以確實掌握每部主機的弱點稽核狀況及其弱點管理工作的進度。

「市場上類似的解決方案是提供統一管理中心,各地據點的資料必須透過Public IP或VPN連線溝通傳遞;但是分散式弱點管理並非如此設計,而是類似於殭屍網路(Botnet)的概念,由各據點安裝的代理程式主動回傳資料至管理中心。」蔡銘桔強調。該代理程式的運行設計原理,即是仿照殭屍電腦運作,但並非由擔任中繼站C&C伺服器角色的管理中心直接操控,而是各據點的代理程式定時會回報與詢問是否有最新指令。他不諱言,目前市場上的產品設計都是在正規軟體開發思維下發展,而美麗島雲端安全卻是借用了駭客的邏輯,來有效解決客戶實際面臨的問題,並且該管理中心不論是建置在公有雲或私有雲皆可,正可符合雲端服務應用趨勢。

當然,對於不同的漏洞型態,除了定期的弱點掃描以外,一旦有網站相關的重大漏洞被揭露時,仍需要不定期的檢測漏洞的更新,且盡速採取因應措施,才能防止駭客利用漏洞發動的攻擊。

轉載自《網管人