【2019-网络攻防演练结果大公开】新焦点是需重视使用相同软件套件与委外厂商可能忽略的风险

资安攻击不断，除了从内部以典范的做法来改善网络安全外，透过渗透测试，或是更进阶的红队演练，来降低漏洞的风险，做到及早发现与及早修补，也是很常见的预防措施。而对我国-而言，多年以来，都在执行网络攻防演练，检视机关对外系统的防护与应变，去年-资安有哪些问题？2月中旬，-公布2019年度网络攻防演练报告，对于非公务机关而言，这些资安风险也值得借镜，来提醒自己该注意的相关层面。

关于这项演练，我国公部门每年依行政院资通安全处（以下简称资安处）指示，选定执行范围进行，特别的是，原本只是要求每年执行一个月，自2017年开始，改为全年度演练，包括：三个月的初期规划、长达半年多渗透测试，以及资安稽核技术检测。

新的年度攻防演练报告中，有那些安全问题值得关注？基本上，可分为五大重点，首先是发现的弱点类型现况，而在重点发现事项方面，我们从四个层面来检视，首先是共通套件管理的两大难题，其次是安全观念不正确，最后是不当的密码设定与重导设计。

近年机关前两大弱点类型是无效的存取控管及身份认证

对于演练过程所观察到的对外系统弱点现况，我们也询问实际执行的单位，也就是行政院国家资通安全会报技术服务中心（以下简称技服中心），请他们协助说明。该单位科长詹益璋指出，从弱点类型来看，过去几年，跨网站脚本攻击（XSS），与不安全的组态设定，一直攻防演练时最常见的弱点类型。到了2019年，有了明显不同的变化，上述问题呈现大幅减少的趋势，在所有弱点类型中，排名下降到第三名与第四名，他认为，或许是近年机关常被攻击，以及采用WAF比例提高有关。

相对地，攻击记录笔数最高比例的类型，是无效的存取控管，以及无效的身份认证，排名分别升至第一名与第二名。例如，发现测试用账号可登入系统后台，以及账号与密码相同，或是权限检查失败时的网站重导过程有缺陷等问题。

2019年-机关网络攻防演练弱点类型现况

资料来源：行政院国家资通安全会报技术服务中心，iThome整理，2020年3月

需注意集中使用相同套件或委外厂商的风险

在2019的攻防演练报告中，有几个资安处以往已经谈到，但较少浮上台面的特殊议题。例如，多个组织使用相同软件套件或委外厂商，以及未即时更新网站使用的软件套件，所产生的受攻击面，值得注意，而这也突显了供应链安全相关风险。

以相同套件或委外厂商的问题而言，技服中心副组长陈育得指出，由于多半单一委外厂商会承接到，多个县市系统开发委外案，因此，这些系统大多用同套产品，再针对不同机关修改，这样的作法其实常见，但有风险要注意，就是容易有共同开发模式或账号密码的状况。

举例来说，技服中心先是在某一网站发现，透过修改特定参数，就可开启编辑模式，控制网站公告的状态，显然，缺乏在各个流程点，都做到登入权限的检查。后续，他们更是发现，共有不同机关的18个系统，都受相同手法影响；另一个案例在于后台管理不当，他们从受测方后台发现一组系统帐密，经与其他其他网站的教学手册比对后，推测是厂商通用的系统密码。接下来，他们搜寻该厂商所开发的网站，成功利用同一组账号密码登入到6个网站，并取得管理者权限。

该如何解决？他们认为，必须要建立机制以掌握关连性，不能只以单一个案方式处理。最简单的原则，就是应了解内部使用相同套件的系统，纳入定期追踪的范围，一旦发现该套件弱点，也要建立情资分享管道，此外，应要求委外厂商使用的密码有足够的安全性。而在往年报告中，其实也曾提到像是共通系统安全维护、机关网站全权委外管理，以及内部情资共享不足等议题。

对于多个组织使用相同套件或委外厂商的风险，技服中心指出，例如，发现有机关网站在登入权限检查不确实，系统可被他人修改特定参数以开启编辑模式，而另外引发关注的议题是，这样的手法，可以套用在不同机关的18个系统上。（图片来源：行政院国家资通安全会报技术服务中心）

对于第三方套件出现弱点的修补，系统盘点时缺乏关连

另一个关切焦点，也是套件安全管理方面，问题主要是网站使用的套件未即时更新，将导致系统可被攻击与入侵。陈育得表示，现今系统多包含第三方套件，以加快开发速度，然而，当第三方套件出现弱点时，很容易在单位平日的盘点期间遭忽略。举例来说，像是攻防演练过程中，他们就发现了有ueditor套件、PHP套件弱点未修补的情形，并实际确认弱点可被攻击。

对此，陈育得指出，即使组织平时有团队搜集资安情资，像是看到某一套件，有新的弱点、CVE漏洞被揭露，但是，大家不一定知道与目前使用的系统有关，因为机关内部盘点的清册，往往只注明买了何种的系统。譬如，总务处财产系统，或厂商产品名称，管理者无法从清册中，了解产品所用的第三方的开源程式码套件，而且，厂商也不见得有能力主动通知，让组织能立即处理。

因此，技服中心建议，若开发期间已知使用第三方套件，应将套件名称与版本，加到该系统的备注资讯，或建立大型第三方套件清单，并做到盘点清册的关联，让弱点揭露时，可以更主动、及时的处理。

有机关为演练而自欺欺人，资安不应沦为表面功夫

在安全观念的议题方面，技服中心有一项重要发现，令人感到讶异，竟有机关的阻挡作法，只是为了攻防演练而设。

詹益璋表示，这样的案例相当特殊，因此他们特别提出来，呼吁各单位应阻挡恶意语法与真正的攻击。

他解释，由于演练并非真正的攻击，因此他们攻击成功会留下特定的字串，帮助机关区分真实资安事件与演练，然而，可能是因为演练有计分机制，部分单位想在演练上取得较好的成绩，因此他们遇过几个案例，只针对演练所律定的字串做阻挡，但实际发动XSS攻击，用户端仍无法抵御。

密码强度问题与转导设计瑕疵的状况仍然不少

在攻防演练的其他项目方面，这次年度报告也列出一些近年常见，但往年没有提及的弱点案例。这些发现主要聚焦的面向，包括：通行码强度检查机制未落实，以及不当的重导（Redirect）设计。

例如，仍有机关人员会使用自身的电子邮件当成密码，以此应付强式密码的规定，但使用者应培养基本的安全观念，对于管理者而言，仍可从登入机制建立判断式来解决。

关于账号与密码强度的安全问题，他们在攻防演练时发现，仍有机关人员会使用自身的电子邮件当成密码。对于这种基本的资安问题，陈育得表示，使用者以此方式虽达成密码复杂度的需求，但方法错误，反而更让自己更容易暴露，而且，公务人员常需要将自己的电子邮件信箱公布在网络上当成联络窗口，这等于是自己将密码泄漏在网络上。在他们的攻击记录中，发现不少这样的问题，轻者让有心人士取得一般同仁权限，重者揭露内部往来信件或者取得系统权限。（图片来源：行政院国家资通安全会报技术服务中心）

而在网站重导过程存在缺陷方面，有些开发设计是将所有的功能，写到同一个回应的封包，然而，攻击者将可透过修改封包、标头等方式，进而存取未经授权的功能。

在网页安全的改善建议上，技服中心指出，所有功能页面应要有权限控管，并依使用者或管理者来检查存取权限，同时，应防范被攻击者窜改，进而绕过检查机制，包括检查应于服务器端进行，并避免将未授权的功能页面并入检查结果中回传。

对于网站重导过程存在缺陷方面，具体而言，例如像是网站回传HTTP状态码302跳转时，攻击者若是改成HTTP状态码200，就可以让该页面继续执行，陈育得说明，一般情况下，如此只是单纯重导，应该只有一行的程式码，封包很小，如果封包较大的话，显示当中可能有多余的资料在里面，他们发现几个案例在重导过程失效后，就可以进入后台管理界面操作的状况。
另一个他们发现的案例是权限控管不当，有机关网页内容仅供内部资源使用，外部使用者理应无权检视该页面内容，因为系统会检查账号密码，或是以IP地址来源检查是否为内部使用者。但是，由于IP地址来源检查可以被伪造，像是在一些封包加入特定的标头，就会导致原先禁止存取的页面，可以被浏览。（图片来源：行政院国家资通安全会报技术服务中心）

尽管资安没有百分百安全，但无论如何，演练报告列出的也只是一部分，且相当琐碎，多数可能是已知问题，还有系统重大更版意外产生弱点，而各单位还有内部资源分配的问题需要面对，要避免相同问题再发生仍不易，一次渗透测试虽无法穷举出所有的可能性，但持续落实将更显重要，而这次揭露的特殊案例，更是提醒我们，大家都在努力提升资安防护水准，但千万不应抱持应付表面的心态。