網站攻擊時有所聞,玉山銀行網銀系統在2010年4月遭駭客入侵,外洩超過16,000筆客戶資料,美國運通在2010年所遭受的XSS攻擊高達7次,駭客之所以熱衷於攻擊網站的原因,在於簡單、容易攻破。由於多數的網站開發課程,將重點放在如何寫出一個功能豐富、介面友善的網站,鮮少告訴程式設計師該如何寫出一套安全的程式,導致企業網站成為駭客攻擊的首選。
在日前舉辦的2010台灣防駭年會上,阿碼科技提出網站資訊安全稽核的生命週期,協助企業做好網站安全防護:
【第一步、診斷病因】:應用源碼檢測或滲透測試工具,分析網站所使用的程式碼有沒有漏洞;
【第二步、對症下藥】:針對網站程式碼漏洞進行收斂修補,如果企業IT人力不足,也可以選擇導入WAF的方式,把這些漏洞設定成WAF政策,但這種做法只能治標不能治本,最終仍要進行程式修補才可以;
【第三步、修補成效】:應用滲透測試或其他工具,驗證系統漏洞的修補成效;
【第四步、掛馬警示】:監控網頁有無被惡意掛馬,企業很難掌握網頁系統漏洞的,有些漏洞雖然現在才發現,但可能早在3個月前就已經存在,也可能已經被駭客利用做為掛馬工具,企業必須檢測網頁有沒有被植入木馬,以免成為駭客的跳板;
【第五步、善後應變】:最後就是擬定事件應變與善後處理流程。
隨著個資法即將上路,企業必須更加重視網站安全議題,尤其是那些存放眾多個人資料的網站,必須隨時做好安全檢測、防護與監控,否則就只能做好被罰款的心理準備!