https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

網站代管主機商大調查

2009 / 04 / 13
張維君
網站代管主機商大調查
因資訊人力不足,將網站委外代管是稀鬆平常的事。然而日前爆發主機商資料外洩事件,究竟對不懂IT專業的中小企業而言,該如何選擇可靠的主機代管商?

上網,已經成為現代人日常生活的一部分。網站,更是所有企業門面,不管是否經營電子商務。隨著網站架設門檻越來越低,就算沒有IT技術,也可以輕鬆架設一個網站。沒有網站內容可以請網頁設計公司,有了內容卻沒有存放空間或沒有人力管理則可找網站代管商。現在許多網站代管業者更提供一條龍服務,含括網頁設計。

主機代管安全問題浮出檯面
在搜尋引擎或專門討論代管商的論壇「台灣FTP聯盟」上,有許多關於網站代管商的各種文章討論串。不管是架在國內或國外的主機代管商,都各有擁護者。然而討論的焦點不外乎是連線品質、存放空間、客服水準等。獨不見對於資安防護的討論。可見現在網站經營者多半只考慮網站所提供的功能、服務,尚未注意到忽視資訊安全,將可能招致的影響或損害。
今年1月初,某主機代管商爆發訂單資料外洩事件,由於後台系統管制疏失,導致其CRM系統上約4,270筆訂單資料透過搜尋引擎就可看到,包含詳細客戶名稱、聯絡人資料、訂單明細等內容。此一問題雖為內部系統在存取權限管控、設定的疏失,任何資訊化企業都可能發生。然而身為資訊服務業者的主機商,若自己的網站管理都有此疏失,令人擔心這些將網站經營資料委由其代管的大小網站,又該如何自保?尤其一旦個資法通過後,蒐集眾多會員個人資料的網站,更不能繼續忽視此一議題。因此,編輯部針對目前國內提供網站代管服務的主要業者(資本額新台幣500萬元以上),進行訪談,試從其內/外防護、資安管理制度及資安人力等面向,讓讀者了解其中差異。


代管產業簡介
代管產品包括:虛擬主機、專屬主機、經銷主機。
主要業者可分三大類:
上游:指ISP,通常也兼營IDC服務,如中華電信、台灣大電訊、So-net、遠傳(併購Seednet)。
中游:通常將系統放置在IDC當中,產品包括上述3類型主機。如智邦、戰國策、匯智、捕夢網、網際威龍。
下游:通常向中游業者承租空間,成為其經銷商或是專職虛擬主機商。

內外防禦需兼顧
防內
※後台系統的位置宜放在內網
這次主機商資料外洩的原因,與該公司未對連線上後台管理系統的IP位址做好管制有關。後台系統屬於企業重要系統,限制內部特定人員才有權限存取是最基本的。本次受訪廠商也多半表示後台系統會鎖IP,只有公司內部特定IP才能連線到後台系統。專營中小企業及社團團體等專案網站代管服務的網際威龍經理謝一帆表示,該公司後台從一般網際網路無法連結,必須透過特別IP且在公司辦公室範圍內才可以正常登入,屬於半封閉網路。也有廠商表示,當初為了系統管理者管理的方便因此開放遠端存取但有限制連線IP,但未來計劃不要將後台系統放在網際網路上,將比較一勞永逸。
※ 存取控管需留下稽核記錄
多數受訪廠商均表示系統存取都會留下稽核記錄,有通過ISO 27001認證的ISP如中華電信、台灣大電訊對此更表示均遵循資安管理細則來實施,保留log內容包含:系統查詢內容與指令、登入時間與日期等。台灣大表示,log server與系統管理者分屬不同部門負責;資安人員會針對log進行查核。且Log備份保存有一套機制,需保留3年。
※ 人的問題防不慎防
此次事件爆發出來後,論壇上許多網友亦對事件背後原因議論紛紛,有網友認為資料外洩原因離譜,揣測是離職員工背後搞鬼。
儘管存取權限控管得宜、有log稽核保管政策,但遇到人的問題,仍然讓企業十分頭疼。智邦生活館系統支援部經理張正憲認為,資安難做到百分百,要避免人為疏失只能多利用一些機制,如Google alert,讓事件發生後能第一時間知道,儘速將事件處理完畢,減少對客戶的損失。匯智康訊副總經理林宜鋒表示,可善用Robots.txt檔案防止搜尋引擎抓取資料。他進一步表示,要將人的風險問題降到最低,就是凡擁有使用權限的服務人員皆需通過專業能力、道德及任職時間等多項內部審核標準,來確認服務人員能遵守規範、勝任此職務。

防外

※防火牆、網站異常監控都是基本必備
防止外部攻擊的部份,防火牆已經是各家基本必備設施,不論是虛擬/專屬主機產品客戶都能提供,(但須特別注意的是,如果是主機代管的客戶或直接向IDC承租空間者,多半會再提供防火牆等加值防護服務)多數廠商也還能提供基本網站異常行為的監控,如果是專屬主機的用戶則可依需求做到更進階的阻擋服務。
※弱點掃描、滲透測試
而中華電信、網際威龍也提到會對服務的主機進行弱點掃描與漏洞修補更新。至於對自己做滲透測試,除了ISP業者有做之外,智邦是從防火牆內部挑重點做。So-net則是購置Web滲透測試掃描軟體來檢測自己仍未上線的系統,但如果有客戶特別要求,而產品部門又同意的話,也會協助偵測(目前免費,未來如何有待評估)。
※ 新興服務:掛馬偵測與移除
在所有網站掛馬調查的資料中,﹒com網站常是最大宗,其中多半是沒有IT人員的中小企業。本刊60期「Watch Out!惡質網站排行榜」一文中,某家被長期掛馬的中小企業就表示,因為主機代管業者從未告知系統有問題,瀏覽網頁時也無異狀,因此不曾注意。主機商在網站安全上所扮演的重要性可見一斑。值得欣慰的是,這次受訪業者多半都表示,掛馬偵測與移除已在其服務範圍內,有些提供免費,更有推出進階收費服務者。
智邦一開始是應客戶要求而被動處理,但後來發現與其等到客戶發覺被Google標示為問題網站再來要求解決,這樣更花人力與時間,因此後來自己開發掛馬偵測機制,發現後就幫客戶主動移除,並通知客戶去修補該程式漏洞,若客戶不去修補,就強制關閉受掛馬影響的網頁功能。畢竟,如果不去根源修補程式問題,還是會繼續被掛馬。「許多客戶的程式是找外面網頁設計公司做的,有些設計完就找不到人了,很難解決程式問題。甚至有些客戶要求我們幫忙看程式碼,這些都造成我們IT人力上極大的負荷。」張正憲指出處理掛馬問題的為難。
捕夢網則是推出「網路安全防護」加值服務,幫客戶找網頁程式漏洞,並協助修補。若沒有付費的客戶,則是直接掃、直接移除,不包含漏洞修補,或直接將系統還原,不另行通知。捕夢網資訊部經理趙永弘表示,目前經營電子商務的客戶比較多會接受此加值服務。網站經營者看待網頁掛馬問題,壓力來自於其會員,尤其如果曾發生過問題者,會更加重視。
中華電信則是針對掛在Hinet網域下的網頁免費提供掛馬掃描、移除服務。資安辦公室主任吳怡芳指出,中華電信的掛馬處理政策是,偵測到代管客戶有掛馬網頁,於通報時也會指出漏洞所在,並協助修補。一定要移除,否則限制提供網頁服務,而大部分客戶在通報後都能處理完畢。
網際威龍則是對伺服器內部採取嚴密的監測與保護,每日定期執行更細的檔案掃描,以便能有效防堵。同樣重視伺服器管理的是匯智,為了不使被SQL Injection或XSS攻擊的客戶,影響到IIS或Apache server的效能,在一開始為客戶設定帳戶時,除網頁程式所需目錄外,會限制檔案目錄權限為唯讀,讓傷害減至最低。此外有一套預設動作及相關流程,如Apache server搭配open source的網頁應用防火牆mod_security防護、PHP 的參數管理、IIS的應用程式集區管理、URL過濾、禁用不明的ISAPI 等。「伺服器安全管理是我們相當重視的一環。」林宜鋒說。
※其他
對網站經營者來說,確保網站營運不中斷最重要,因此廠商均有完善資料備份機制。此外,網際威龍、捕夢網均表示其防護設備可阻擋分散式阻斷服務攻擊(DDoS)。而ISP業者則可做到更精確地及時阻擋,如台灣大電訊透過網路監測系統,可在5分鐘之內確認出攻擊源,進而實施相關的防護措施,啟動緊急應變計畫,並同步通知其他ISP業者進行協防阻擋。

資安素質與公司規模成正比
資安人力值得注意

台眾電腦協理王信傑曾在其部落格指出,選擇網站代管的使用單位在評估廠商時,應該從廠商的人力結構、求才資訊等角度來深入了解該廠商,而非光聽廠商的片面之詞。他指出,出事的主機商似乎沒有資安專職人員,多半是要求IT/網路相關專長,且僅在對技術長一職的職能要求當中包含一條「具備3年以上資訊安全及網路規劃實務規劃經驗」。其對資安的重視程度,可見一斑。
在這次訪談中,越大型的主機商如ISP,其資安人力與擁有證照越充足,包含平台技術、稽核管理或資安產品面。而中型主機商當中,少數有資安專業人力,如取得CISSP證書。其他則表示人員受過相關資安講習及訓練,而其所擁有的證照類別,大多是RHCE、MCSE、TCSE、CCNA等。張正憲認為,資安人數僅供參考不是絕對,許多安全是可以做在機制裡面。而技術人員能力也不能單看證照,仍需依賴不斷的在職訓練。

危機處理流程平時就需擬定
企業資料外洩事件時有所聞,但主機商爆發這類事件算是頭一遭,因此許多業者的緊急事件處理仍然較偏重系統當機方面。然而,這次資料外洩的主機商在緊急應變處理存有許多待改進之處,如何化危機為轉機,通報客戶不是擔心客戶跑掉,而是讓客戶知道如何應變,這麼做才能再次贏得客戶信任。
大致上,受訪廠商的應變處理大同小異,均正面表示,若發生資料外洩事件,一定會通報客戶。

評選要件:ISO 27001、合約與SLA
綜上所述,中小企業在選擇主機代管商時,應了解其是否有專業資安人員,以及資安管理機制是否完善。而ISO 27001是一個可參考指標,至少代表廠商對於資安管理的重視。王信傑認為,不管主機商是否通過ISO 27001,最重要的還是合約跟SLA(服務水準協定),因為這才具有法律效力。大型企業,制定適合自己的合約,並將相關的罰則訂出來,是最基本的原則。只有使用單位展現重視的決心,服務供應商才有可能加以重視;而中小企業,雖然大多只能選擇制式合約,但需要好好研讀合約內容,找出不足之處,並在必要時要求修改合約加以補強。
他強調,除了合約跟SLA之外,廠商的背景瞭解、實地參觀、招商簡報等方式都可以加強事前評估效果,主機/網站代管與其他委外專案類似,重點是使用者自己要有足夠重視與認知,而不是妄想花小錢又要達到很高的成效。最後,對於委外的事項,也需做好風險管理,避免事到臨頭時毫無招架之力。