去年以來陸續發生幾起持續性滲透攻擊事件,因此在剛落幕的美國RSA 2011活動中,APT(Advanced Persistent Threat)攻擊成為熱門議題。台灣政府部門及企業對此類的滲透攻擊也不陌生。儘管政府部門定期做社交工程演練,加強資安教育訓練,但恐怕有些問題需要更全面的檢視,甚至是否要採取更徹底的補救措施,例如全盤更換使用者帳號。
電子郵件向來是被滲透利用的管道,假冒寄件者的帳號並寄發與其執掌業務相關的文件,從中埋入木馬,然後擴大感染與其相關的業務往來單位,更是常見的社交工程手段。一直以來,社交工程演練或教育訓練是強化使用者的重要工作,但往往成效卻有限。資安顧問表示,這代表其中方式是有問題的。例如,密碼設定原則一直是教育訓練宣導重點,但只一味要求使用者密碼變更頻率、次數,卻沒有做到基本的去建立規則並比對字典檔,這樣使用者密碼再怎麼勤於更換,還是可以不斷被試出來。
例如,許多政府部門員工習慣把密碼設定為分機號碼,或穿插該單位的英文簡稱,這樣的密碼很容易就被破解。加上帳號也已經不是秘密,許多單位的使用者帳號就是員工編號,而這些駭客可能都已瞭若指掌。從一些過往案例來看,只要一個系統管理者中了木馬,很可能全單位的所有使用者帳號就全部淪陷。緊接著,駭客製作有毒的釣魚郵件對全單位寄發,甚至狡猾到知道要跳過資訊部門,以拖延被發現的時間。因此,要強化端點安全,先不論部署桌面虛擬化或其他各種代理程式。帳號、密碼是最基本的使用者身份認證措施,也是最根本的一把鎖,企業組織別讓它形同虛設。