资安攻击不断,除了从内部以典范的做法来改善网络安全外,透过渗透测试,或是更进阶的红队演练,来降低漏洞的风险,做到及早发现与及早修补,也是很常见的预防措施。而对我国-而言,多年以来,都在执行网络攻防演练,检视机关对外系统的防护与应变,去年-资安有哪些问题?2月中旬,-公布2019年度网络攻防演练报告,对于非公务机关而言,这些资安风险也值得借镜,来提醒自己该注意的相关层面。
关于这项演练,我国公部门每年依行政院资通安全处(以下简称资安处)指示,选定执行范围进行,特别的是,原本只是要求每年执行一个月,自2017年开始,改为全年度演练,包括:三个月的初期规划、长达半年多渗透测试,以及资安稽核技术检测。
新的年度攻防演练报告中,有那些安全问题值得关注?基本上,可分为五大重点,首先是发现的弱点类型现况,而在重点发现事项方面,我们从四个层面来检视,首先是共通套件管理的两大难题,其次是安全观念不正确,最后是不当的密码设定与重导设计。
近年机关前两大弱点类型是无效的存取控管及身份认证
对于演练过程所观察到的对外系统弱点现况,我们也询问实际执行的单位,也就是行政院国家资通安全会报技术服务中心(以下简称技服中心),请他们协助说明。该单位科长詹益璋指出,从弱点类型来看,过去几年,跨网站脚本攻击(XSS),与不安全的组态设定,一直攻防演练时最常见的弱点类型。到了2019年,有了明显不同的变化,上述问题呈现大幅减少的趋势,在所有弱点类型中,排名下降到第三名与第四名,他认为,或许是近年机关常被攻击,以及采用WAF比例提高有关。
相对地,攻击记录笔数最高比例的类型,是无效的存取控管,以及无效的身份认证,排名分别升至第一名与第二名。例如,发现测试用账号可登入系统后台,以及账号与密码相同,或是权限检查失败时的网站重导过程有缺陷等问题。
2019年-机关网络攻防演练弱点类型现况
资料来源:行政院国家资通安全会报技术服务中心,iThome整理,2020年3月
需注意集中使用相同套件或委外厂商的风险
在2019的攻防演练报告中,有几个资安处以往已经谈到,但较少浮上台面的特殊议题。例如,多个组织使用相同软件套件或委外厂商,以及未即时更新网站使用的软件套件,所产生的受攻击面,值得注意,而这也突显了供应链安全相关风险。
以相同套件或委外厂商的问题而言,技服中心副组长陈育得指出,由于多半单一委外厂商会承接到,多个县市系统开发委外案,因此,这些系统大多用同套产品,再针对不同机关修改,这样的作法其实常见,但有风险要注意,就是容易有共同开发模式或账号密码的状况。
举例来说,技服中心先是在某一网站发现,透过修改特定参数,就可开启编辑模式,控制网站公告的状态,显然,缺乏在各个流程点,都做到登入权限的检查。后续,他们更是发现,共有不同机关的18个系统,都受相同手法影响;另一个案例在于后台管理不当,他们从受测方后台发现一组系统帐密,经与其他其他网站的教学手册比对后,推测是厂商通用的系统密码。接下来,他们搜寻该厂商所开发的网站,成功利用同一组账号密码登入到6个网站,并取得管理者权限。
该如何解决?他们认为,必须要建立机制以掌握关连性,不能只以单一个案方式处理。最简单的原则,就是应了解内部使用相同套件的系统,纳入定期追踪的范围,一旦发现该套件弱点,也要建立情资分享管道,此外,应要求委外厂商使用的密码有足够的安全性。而在往年报告中,其实也曾提到像是共通系统安全维护、机关网站全权委外管理,以及内部情资共享不足等议题。
对于多个组织使用相同套件或委外厂商的风险,技服中心指出,例如,发现有机关网站在登入权限检查不确实,系统可被他人修改特定参数以开启编辑模式,而另外引发关注的议题是,这样的手法,可以套用在不同机关的18个系统上。(图片来源:行政院国家资通安全会报技术服务中心)
对于第三方套件出现弱点的修补,系统盘点时缺乏关连
另一个关切焦点,也是套件安全管理方面,问题主要是网站使用的套件未即时更新,将导致系统可被攻击与入侵。陈育得表示,现今系统多包含第三方套件,以加快开发速度,然而,当第三方套件出现弱点时,很容易在单位平日的盘点期间遭忽略。举例来说,像是攻防演练过程中,他们就发现了有ueditor套件、PHP套件弱点未修补的情形,并实际确认弱点可被攻击。
对此,陈育得指出,即使组织平时有团队搜集资安情资,像是看到某一套件,有新的弱点、CVE漏洞被揭露,但是,大家不一定知道与目前使用的系统有关,因为机关内部盘点的清册,往往只注明买了何种的系统。譬如,总务处财产系统,或厂商产品名称,管理者无法从清册中,了解产品所用的第三方的开源程式码套件,而且,厂商也不见得有能力主动通知,让组织能立即处理。
因此,技服中心建议,若开发期间已知使用第三方套件,应将套件名称与版本,加到该系统的备注资讯,或建立大型第三方套件清单,并做到盘点清册的关联,让弱点揭露时,可以更主动、及时的处理。
有机关为演练而自欺欺人,资安不应沦为表面功夫
在安全观念的议题方面,技服中心有一项重要发现,令人感到讶异,竟有机关的阻挡作法,只是为了攻防演练而设。
詹益璋表示,这样的案例相当特殊,因此他们特别提出来,呼吁各单位应阻挡恶意语法与真正的攻击。
他解释,由于演练并非真正的攻击,因此他们攻击成功会留下特定的字串,帮助机关区分真实资安事件与演练,然而,可能是因为演练有计分机制,部分单位想在演练上取得较好的成绩,因此他们遇过几个案例,只针对演练所律定的字串做阻挡,但实际发动XSS攻击,用户端仍无法抵御。
密码强度问题与转导设计瑕疵的状况仍然不少
在攻防演练的其他项目方面,这次年度报告也列出一些近年常见,但往年没有提及的弱点案例。这些发现主要聚焦的面向,包括:通行码强度检查机制未落实,以及不当的重导(Redirect)设计。
例如,仍有机关人员会使用自身的电子邮件当成密码,以此应付强式密码的规定,但使用者应培养基本的安全观念,对于管理者而言,仍可从登入机制建立判断式来解决。
关于账号与密码强度的安全问题,他们在攻防演练时发现,仍有机关人员会使用自身的电子邮件当成密码。对于这种基本的资安问题,陈育得表示,使用者以此方式虽达成密码复杂度的需求,但方法错误,反而更让自己更容易暴露,而且,公务人员常需要将自己的电子邮件信箱公布在网络上当成联络窗口,这等于是自己将密码泄漏在网络上。在他们的攻击记录中,发现不少这样的问题,轻者让有心人士取得一般同仁权限,重者揭露内部往来信件或者取得系统权限。(图片来源:行政院国家资通安全会报技术服务中心)
而在网站重导过程存在缺陷方面,有些开发设计是将所有的功能,写到同一个回应的封包,然而,攻击者将可透过修改封包、标头等方式,进而存取未经授权的功能。
在网页安全的改善建议上,技服中心指出,所有功能页面应要有权限控管,并依使用者或管理者来检查存取权限,同时,应防范被攻击者窜改,进而绕过检查机制,包括检查应于服务器端进行,并避免将未授权的功能页面并入检查结果中回传。
对于网站重导过程存在缺陷方面,具体而言,例如像是网站回传HTTP状态码302跳转时,攻击者若是改成HTTP状态码200,就可以让该页面继续执行,陈育得说明,一般情况下,如此只是单纯重导,应该只有一行的程式码,封包很小,如果封包较大的话,显示当中可能有多余的资料在里面,他们发现几个案例在重导过程失效后,就可以进入后台管理界面操作的状况。
另一个他们发现的案例是权限控管不当,有机关网页内容仅供内部资源使用,外部使用者理应无权检视该页面内容,因为系统会检查账号密码,或是以IP地址来源检查是否为内部使用者。但是,由于IP地址来源检查可以被伪造,像是在一些封包加入特定的标头,就会导致原先禁止存取的页面,可以被浏览。(图片来源:行政院国家资通安全会报技术服务中心)
尽管资安没有百分百安全,但无论如何,演练报告列出的也只是一部分,且相当琐碎,多数可能是已知问题,还有系统重大更版意外产生弱点,而各单位还有内部资源分配的问题需要面对,要避免相同问题再发生仍不易,一次渗透测试虽无法穷举出所有的可能性,但持续落实将更显重要,而这次揭露的特殊案例,更是提醒我们,大家都在努力提升资安防护水准,但千万不应抱持应付表面的心态。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09