現今資訊安全3大威脅,以網頁應用安全、社交工程郵件攻擊、與可攜式儲存媒體問題最為嚴重,其中又以網頁安全的影響最為廣泛。國家資通會報技服中心顧問鍾榮翰在由《資安人》所舉辦的「網頁安全工具研討會」中指出,造成網頁安全問題的最大根源在於人為習慣難以改變。
負責制定Web應用程式安全參考指引並協助政府部門導入的鍾榮翰,在看過許多單位實際的IT環境後,發現組織現今Web系統所存在的弱點「問題比想像中嚴重」,在某單位透過工具檢測,掃瞄出來的弱點總數高達763個。面對為數眾多的弱點,常讓人有無力感。然而「解決方法卻比預期簡單」,往往許多Web系統服務根本已過時,沒有實際作用卻一直放在網路上,其實只要將該站下線就可少掉一大半弱點數。其次,這些弱點的根源也都有共通性,問題容易被歸納收斂。能否徹底解決在於「習慣是改善的重點」,程式人員總是依照過去習慣開發系統,缺乏安全程式碼的素養,往往一個Web系統是由許多不同語法寫成,用的工具又多,就容易造成管理上的漏洞,因此「簡單是保持的原則」。而最後,網頁安全能否落實,「態度是問題的關鍵」,若有了主管的支持才能帶動一個好的循環。
單位主管的態度若夠重視,會進而要求相關行動方案。這時來自廠商的外部專家可運用本身的專業知識協助企業資訊/資安人員,建立正確的IT技能,同時還必須要在監督下進行正確的練習,這往往需要一段時間,並且持續提醒,才有辦法讓人員改變過去既有習慣,培養穩定的認知習慣。這樣才能形成一個認知訓練循環。
此外,當網站系統面臨著外界環境各種威脅挑戰時,以ISO/IEC 27000資安威脅模型來看,各種安全元件(工具)包括滲透測試、網頁應用防火牆、Web弱點掃描、原始碼檢測等,就是各自從不同的面向提供防護,以WAF來說,其目的就是要阻擋威脅不要碰到系統的弱點。
此外,在「網頁安全工具研討會」最後的「Panel Q&A與專家面對面」中,各家廠商不僅分享實際導入經驗,也紛紛展現出各家產品不同的定位。Citrix大中華區系統工程師周國輝,強調其網頁應用程式防火牆特別適合複雜的網站,並且可同時與ADC、LB等網路設備一起運用以達綜效;IBM軟體事業處亞太區業務總監林福存與聽眾分享Web威脅和實際導入的狀況,他提到其實新加坡的銀行對網頁應用程式安全,還不若台灣有概念,其網頁弱點掃描產品AppScan強調黑白箱的效用,而IBM WebSphere DataPower更是針對XML WAF提供訴求;F5提到iRules功能具有彈性且強大,並舉例北京奧運如何使用iRules實作購票系統的負載問題;iMPERVA強調其WAF可與其資料庫防火牆做結合,從網頁到資料庫,達到安全綜效;Barracuda台灣區總經理張哲生則說該WAF產品特別適合中小企業運用,使用簡單、友善,價格也較為樸實;Check Point台灣區技術顧問陳建宏認為,若防火牆已經使用該家產品,使用他們的WAF是最能夠彈性且節約整體成本的解決方案。
精彩的「Panel Q&A與專家面對面」實況影音畫面將稍後補上,屆時讀者可於《資安人》網站上瀏覽。