駭客攻擊通常目的有六個:商業競爭、激進行為、表現政治或個人意圖、報復、網路犯罪、好玩。
台灣近期包含政府機關、學校以及大眾運輸系統的駭客行為應該是屬於表現意圖為成分。借力使力,機關單位可以利用這個事件趁機來檢視一下本身對於駭客攻擊行為理解以及資安部署的完善程度。
網頁置換攻擊的產生,必定是被入侵網站伺服器可能因安全權限管控設定不良軟體或系統漏洞、程式開發框架與撰寫漏洞等因素,讓攻擊者有機可乘進行攻擊,傳入或植入諸如後門型態的惡意程式,以讓駭客未來可以快速進行遠端指令操作,進而取得主機的控制權,導致網站頁面遭受置換。因此網站被網頁置換攻擊其實反映了對網路應用每個環節的安全防護不足。
當在評估無數的潛在攻擊媒介時,政府學校的網路應用皆面臨許多複雜的威脅,而這些威脅越來越難以防禦且代價昂貴。健全的資安治理加上功能齊全的現代化WAAP(Web Application and API Protection, Gartner 2017年定義)可幫助各種規模的政府學校單位確保其關鍵應用安全以及符合政府資通安全法的要求。未來應用會是混合部署在資料中心還是混合雲端環境中,獨特而靈活的WAAP選項可以簡化實作程序,並輕鬆自訂應用的防護功能。
2001年由許多的資安專家共同建立開放式網路應用程式資安專案 (OWASP),以教育開發人員並希望藉此減少資安問題。OWASP 專案中最有名的是「OWASP 10 大風險」清單,該組織會不定期更新此清單,列出網路應用程式最常見的安全問題。在滿足安全需求以防禦「OWASP 10 大風險」的同時,組織必須考量應用的所有其他威脅: DDoS 攻擊、機器人攻擊、竊取智慧財產只是其中幾個例子。
F5建議機關單位檢視以下幾點資安規範以及產品部署:
- 存取機關單位伺服器的帳號權限管控與密碼定期更新
- 存取機關單位伺服器的網路存取權限管控
- 實施機關單位伺服器上傳檔案權限與類型的資安措施管控
- 機關單位伺服器需定期更新,針對使用相關CMS系統與套件的資安修補措施管控
- 使用網頁加密技術避免中間人攻擊
- 部署防禦機器人措施識別非人為使用者進行相關流量導引與資安管理措施
- 強固使用者登入資訊安全,建議啟用雙因子認證。
- 機關單位伺服器若有後台管理系統必須做好信任網段存取權限與相關帳號權限管控措施
- 定期備份重要網頁及伺服器資料
- 定期檢查及稽核
- 防止SQL Injection
- 保持所有軟體都在最佳更新狀態
- 監控網站登入相關記錄
已有F5 BIG-IP AWAF客戶,建議配置以下作法:
- 啟動IP地理資料庫,依據網站服務屬性針對高風險存取來源國家進行存取限制或導流至戰情觀察伺服器(Honeypot),信任的存取來源則由另一組服務器提供服務,避免阻斷式攻擊。
- 啟動ICAP機制,與機關單位防毒牆進行網頁上傳檔案的偵測掃描
- 啟動機器人防禦機制BOT Detection,杜絕非人為的非法大量存取連線
- 於WAF啟動加密連線功能 HTTPS,進行加密封包的檢測。
- 啟動Hash-Value 機制,比對伺服器檔案一致性
- 啟動保固登入網頁使用者資訊亂碼加密機制防止Account Take Over
- 啟動OWASP Top 10 所有防禦機制
- 啟動API內文檢視功能(RESTful,JSON),杜絕來自API管道的非法存取
- 針對網站管理後台與相關上傳功能應用程式建立WAF相關防禦政策
- 啟用WAF暴力入侵偵測防禦政策