金融業如何因應病毒威脅

金融業最重頻寬考量
趨勢科技技術支援部經理王應達表示，金融業的特性在於每日處理大量的金流交易，若網路傳輸稍有中斷或遲緩，對於企業本身和眾多客戶而言，所造成的損失或影響極大。因此談起防毒，金融業本身最在意的便是病毒碼的派送是否會影響其頻寬。他指出，即便經過測試證明，下載病毒碼並不會佔據太多的頻寬，但處事謹慎的金融業者仍希望確保其頻寬、交易不會受到絲毫影響。 因此金融產業多半會避開熱門交易時段如股市開盤交易時間，才下載病毒碼。但病毒碼更新講求快速、即時，因此要兼顧、平衡兩者，成為衡量時的難點。王應達表示，各金融企業會視其經驗、狀況，設定派送的時段、間距。因此目前多數使用者採取兩種方式因應：一為將病毒碼派送的線路和一般使用的線路分開，但如此一來，網路架構要做大幅度的更動，因此並非每家企業都會傾向此種做法。另一解決之道則是：增加網路的頻寬。在不變動現有架構的情況下，讓頻寬增加以確保更新病毒碼時對絕不會影響正常交易。

統一控管眾多分點
金融業的另一特性是分行眾多，造成管理上更大的挑戰。王應達指出，若任一分行的任一電腦中毒，有可能透過內部的網路大肆擴散。因此有些企業採取三層式的架構做管理。由總行做中央統一控管，分行再設有防毒管理伺服器，做分行內每個用戶端的管理，分行的資訊再回報給總行以做控管。他表示，每家企業的管理方法不盡相同，規模較小的企業，可能就由總行統一做分行內所有機器的控管。 現今眾多的病蟲攻擊是針對作業系統軟體漏洞而來，因此防毒廠商現在要呼籲的除了下載更新最新病毒碼外，修補漏洞也成了另一重要關鍵。「管理面相當重要，這包含了使用者管理、上網管理、權限控管等，」而IT、網路管理者必需對企業內的網路、電腦狀況做定期稽核。包括企業內有哪些電腦有對外連網，哪些電腦有安裝防毒軟體，是否都已安裝最新修補程式(patch)等，「IT、網路管理人員應該要非常清楚」，王應達強調。

重視內部員工管理
一般認為銀行多採封閉系統，較不易受網路蠕蟲的感染。不過，王應達表示，有許多管理上的漏洞是不可輕忽的。即使有些重要應用程式主機未對外聯網，卻有可能透過公司內部網路和其他有連上Internet或收取email的電腦連線，經由網路芳鄰或資源共享而遭受感染。若用戶端產品使用不當、安全警覺性不夠，如卸載防毒軟體、不理會 IT 部門的安全政策、網路磁片共用，都將使得安全後門不需駭客入侵即自行開啟。 另外，近來眾多資料外洩事件突顯出的漏洞是來自內部人員的控管出了問題，而非一般傳統認為攻擊、竊取資料來自於外部駭客。事實上，內部員工更清楚機密資料放置何處，因此內部員工的權限控管是銀行單位需特別留心的。

注意外來人員的上網管理
外來使用者的管理開始受到企業的重視，由於外來廠商、客戶的到訪，可能帶著已受感染的Notebook，一連上企業網路，便讓病毒、蠕蟲得以流竄。王應達指出，有些企業是不允許外來Notebook連網甚至使用的。或是如同SARS期間的高標準控管，除非設備維修人員，訪客一律不得進入電腦機房甚至辦公區域等。

借助自動化工具提升效率
「不過，要做到完備要花費許多的人力和資源，」王應達點出理想的困難，並提到IT人員可藉由一些工具來協助。針對越來越多的修補漏洞需求，有些廠商推出可自動化派送修補程式的軟體；另外，有些裝設在網路節點的設備，會針對新連上網的主機掃描，檢查其是否已安裝防毒軟體、最新修補程式，若無的話會導引到相關網頁下載，否則將不允許連線。 由於網路病毒蠕蟲的盛行，傳統的主機端防毒已不足夠，部署在閘道端、網路節點的防毒工具為因應之道。王應達表示這就是所謂分區隔離的觀念，在各節點佈署防禦措施，讓病毒威脅不至於入侵、擴散。比如網路管理者無法駕馭使用者因好奇心開啟 NetSky 病毒信，如果使用者無法自行判定那些冒充管理者發信的真實性，那麼就必須在網路起點針對可疑的攻擊行為來進行安全檢測。此外後續定期的稽核動作是確保機制運作得宜的方法。 因此，因應未來的病毒威脅，金融業者除了應在Client端、節點、閘道端層層佈署防護，並即時下載病毒碼，將病毒入侵、人為疏失機率降至最低。並由中央做好統一控管、稽核動作。更重要的是，內部員工的管理機制，員工的權限管理、帳號密碼的管理、MIS人員應清楚每台電腦已下載最新病毒碼和修補程式等。另外，針對外部人員到訪如企業客戶、協力廠商等，企業應有一明確嚴謹的管理政策。總而言之，管理為首，工具為輔。以下提供網路健康檢查表，供網路管理者先做自我檢測，以發現問題並解決問題。 本文由趨勢科技提供

MIS的網路健康檢查表
過去檔案型病毒盛行時代，高偵測率幾乎是購買防毒軟體的唯一指標，而現存的網路安全軟體╱設備對於偵測傳統檔案型病毒不成問題。但是這兩年來網路病毒緊咬著系統漏洞滋生蔓延，有的甚至不用儲存到硬碟，可寄生在電腦記憶體中直接執行、直接發動攻擊。因此傳統以檔案掃瞄或是電子郵件掃瞄為基礎的防毒架構，完全沒有施力點。 而人力有限的IT部門，若要單靠人力清除網路病毒或其留下的後門程式，往往力不從心。然而根據趨勢科技TrendLabs全球病毒即時監控中心指出，AGOBOT、NetSky天網病毒、 Bagle培果病毒、 Blast疾風病毒等網路病毒從未銷聲匿跡，而你的網路安全架構抵擋得了網路病毒代代相傳的驚人繁殖力嗎？ 以下7個自我檢視題目，可以幫助網管員早日發現自己的網路是否禁得起考驗： 網路健康檢查表一︰IT的危機處理能力檢視
□ 你知道網域內，哪台 PC 或是伺服器，根本沒有安裝防毒軟體，或是更新病毒碼嗎？
□ 針對那些沒有安裝防毒軟體或更新病毒碼的外來機器（如客戶、廠商），你有辦法立即偵測加以隔離，並強制安裝防毒軟體嗎？
□ 針對那些沒有安裝修正程式的機器，你有辦法把它隔離嗎？
□ 在病毒災情尚未擴散全公司之前，你能在第一時間部署防範策略嗎？ □ 在病毒碼尚未製作完成前，你有任何辦法預防病毒入侵嗎？
□ 你能阻擋正透過網路共享資料夾互相感染的病毒嗎？
□ 假設你不慎讓病毒潛入網域，你可以自動地，清除病毒及其可能植入的後門程式嗎？ 安全指數分析：如果您現行的安全軟體，不能自動協助你達成以上目標，那麼貴公司便無法有效抵抗網路病毒攻擊。 2004年第一季趨勢科技共發出了232個病毒警戒，相較於2003年 Q1的35個，高出了6.62倍，MyDoom、NetySky、Bagle、AGOBOT 家族系列輪發上陣，可說是不平靜的春天。這些 MIS網管員被網路病毒搞得翻天覆地，幾乎快得到「網路病毒焦慮症」了。 以下為「網路病毒焦慮症」癥狀自我檢查表，可以協助 MIS 網管員釐清問題真相： 網路健康檢查表二︰「網路病毒焦慮症」癥狀自我檢查表 最近病毒爆發時，請勾選您曾經歷過的類似狀況：
□ 只發現網路流量異常，並遍尋不著病毒躲在哪個秘密基地發動攻勢！

□ Mail信箱又被病毒塞爆了！可是追蹤發信來源，居然多數是被盜用的。
□ 對抗AGOBOT、NetSky、Blast …等網路病毒時，不但要急著清除感染機器、還得花很多時間去修補新的漏洞，真是疲於奔命 !!
□ MyDoom 來襲時我才清完樓上的病毒，樓下又傳出疫情了，清了8遍還是清不乾淨，這年頭 IT 部門真難為！
□ 公司網路環境太複雜了，有兩三台機器不能 100% 更新，但是這些少數沒有更新的電腦，竟讓網路再度淪為重度感染疫區。