重大資安事件剖析及啟示

2015 / 06 / 12

編輯部

    在資安展第三天的專題座談，行政院國家資通安全會報技術服務中心主任劉培文、光盾資訊科技技術長江格、中華電信研究院資通安全研究所資安研究員劉順德、戴夫寇爾執行長翁浩正與趨勢科技台灣區總經理洪偉淦等，分別就近期資安事件發表觀察心得，並針對企業常見資安問題進行經驗分享。

防守不能光靠設備需按部就班強化聯防機制

    帶領國家資通安全會報技服中心逾10年的劉培文主任指出，近兩年針對政府機關的網路攻擊模式已轉變，攻擊者的攻擊戰術改變也使得原有佈署的防禦設備失效，因此防守方不能光靠防禦設備而必須了解本質問題，按部就班強化各項聯防機制。

    近期駭客針對政府機關的攻擊已轉從IT委外廠商如SI、軟體廠商下手。目標是各政府機關均會使用的共用系統，如會計、主計、人事系統，以及虛擬主機管理系統、資產管理系統等。由於共用系統的更新機制設計不夠安全，更新伺服器被假冒，並被植入惡意程式，而用戶端PC無辨識主機真偽的能力，就將惡意程式下載安裝，造成短時間內遭大規模滲透入侵。由於惡意行為在記憶體中執行，在機器上看不到惡意程式，因此躲過SOC監控，甚至要進行事件處理與鑑識難度也非常高。加上攻擊目標是外商軟體公司，政府無法直接管轄，都使得問題處理相當棘手。

    這次事件後，透過以下方式進行強化：
1.將SI與軟體開發商納入資安技術交流小組，強化其資安技能。
2.將在採購合約中，要求委外商進行資安稽核並落實。
3.政府資安資訊與民間交流分享。
4.盤點並建立國家軟體資產系統，彙整政府機關使用哪些軟體、版本，建立弱點衝擊分析資料以及軟體防竄改機制。

    劉培文表示，資安必須從源頭開始讓"Security design-in"（資安融入開發），尤其現在網際網路與實體世界已經連結，在物聯網的世界資安問題變得更大。而台灣這幾年下來累積的資安經驗正可以協助ICT產業在物聯網發展中創造價值，這也正是行政院日前提出「網路智慧新臺灣政策白皮書」當中所希望引領的方向，一方面是台灣ICT產業領先世界的機會，二方面可促使資安產業供需健全發展。

2015年亞太資訊安全論壇專題講座(三)

資安採購不應跟隨潮流

    光盾資訊科技技術長江格從近期某金融業與零售業資料外洩事件的剖析，談到企業資安採購不應跟隨潮流買產品，或一味選擇大品牌。必須建立客觀的評量方式，並參考產業規範來落實資安。

    國外某金融業因系統設定不當加上IT/資安人員疏失，導致駭客入侵並造成嚴重資料外洩且長達數月之久。起火點是一台僅供內部人員使用的NAS系統設定不當，使駭客可從外部連線進來，而此台網路儲存設備又未過濾UTF8輸入，使攻擊者可輸入編碼後的指令，主機就轉換成執行命令指令，攻擊者便完全控制此主機。接著攻擊者利用資料探勘技術找到該公司使用的入侵偵測系統(IDS)並深入研究此一品牌，他們使用對此IDS較不敏感的攻擊模式(pattern)來發動攻擊，同時也安裝同品牌IDS，在發動攻擊前先模擬以了解該設備會產生甚麼警告訊息，並設法讓設備發出最少警訊。

    江格指出此台原本有發出警訊的IDS，卻因為系統設定不夠嚴格，導致發出太大量的警訊並且誤判率高，反而讓資安人員忽略掉真正的事件警訊。此後，攻擊者繼續利用工具進行探勘，在同一網段發現主機A的應用系統存在Buffer Overflow漏洞，接著植入惡意程式。同時發現主機A與另一網段有連結，於是進入到另一區內網，在此發現數十台弱點掃描主機且存在漏洞，於是攔截封包，找到未加密的系統認證資訊，然後藉此來破解資料庫，並陸續將重要資訊傳送出去。

    江格認為企業不應一味採購大品牌產品以做為資安事件發生時的擋箭牌，應建立客觀評量方式同時也應在合約注意法律賠償責任。同時應有深度防禦的觀念，並可參考PCI DSS V.3或NIST等法規的建議並加以實踐。

切割安全網段強化偵測應變能力

    中華電信研究院資通安全研究所資安研究員劉順德則從資安事件處理與鑑識的經驗，談到如何建立最好的防禦機制，以及企業必須追求快速應變的能力。首先以一個攻擊案例談起，攻擊者冒用A員工身分以一個偽造的帳號寄信給B，要求查詢重要資料，B表示已不負責此項業務並把信轉給C，C認為信中訊息不夠清楚因此打電話向A確認，A卻表示從未發過此信。A進一步清查後發現該帳號在系統中並不存在，C為確認該帳號信箱是否有效，請B回信給攻擊者，沒多久再次到攻擊者的回覆。隔天，C帳號被攻擊者冒用並透過內部伺服器進入到系統，攻擊成功。

    原來B的電腦早已被安裝客製化的惡意程式，且該惡意程式是具備破解密碼、螢幕側錄、監控等多功能的套裝軟體。因此在B回信時所有的動作都被側錄下來，攻擊者明白C才擁有系統權限是攻擊目標，因此透過Arp Spoofing手法取得C密碼而後進入系統。劉順德表示，在進行事件處理時，背景資訊的搜集相當重要，包括網路架構、防火牆政策、受害主機資訊等，接著將受害電腦的資訊做Snapshot保存下來，並搜集防火牆與各種資安設備日誌資料，然後進行分析。

    因此他認為最務實的防護做法，除了內網、外網與DMZ區之外，必須把重要的安全網段切割出來，並做所有的軌跡記錄，一方面為將來事件處理做好準備，同時也可從各區做資產分級。接著在控制階段可以看是哪個環節出問題，從哪裡控制。而在分析階段則是分成兩階段，第一階段先快速篩檢，了解範圍有多少，第二階段再篩選控制。他也呼籲企業必須對網路邊界重新定義，現在的網路邊界仍然是防火牆或已變成軟體委外廠商。

了解駭客攻擊思維防止One-day attack

    戴夫寇爾執行長翁浩正則呼籲企業應了解駭客攻擊思維才能做好防禦，並先建立網站／主機被駭的應變SOP。首先駭客發動攻擊多半會利用系統漏洞，然而駭客如何發掘漏洞？當駭客找到從來未被發現的漏洞並發動攻擊，稱為零時差攻擊(Zero-day attack)，然而現在卻出現One-day attack，就是駭客利用廠商已經釋出修補程式，但企業尚未更新時所發動的攻擊。駭客會去研究廠商所釋出的修補程式，從修補程式的差異分析中得知這次主要修補哪些漏洞，進而利用這些漏洞來攻擊尚未更新的企業。除此之外，可透過現有的漏洞資料庫如Packet Storm、Exploits DB，甚至是透過黑市進行漏洞的交易買賣。

    了解有哪些漏洞可以發動攻擊後，如何找到有此漏洞的攻擊目標？翁浩正提醒，企業勿心存僥倖，駭客已可透過大規模網路掃描找出具有此漏洞的網站，目前也已有現成的網站已透過spider進行大規模掃描，並整理出所有網站具有哪些pattern等資訊。在2012年，有某駭客組織就公佈了一份9TB的資料，內容是全球IPv4每個IP的使用情況，包括是否上線、使用哪些服務、服務名稱以及版本等，例如有哪些網站使用Apache 2.X.X版本或使用某個品牌的NAS系統等，只要下載該資料並進行分析就可找到符合的IP做為攻擊目標。

    翁浩正強調，只要是IP有對外連線、設備有連網功能，就是駭客攻擊的對象。舉凡網路儲存系統、網路攝影機、或各種物聯網裝置若有漏洞都可以在上述網站上被找到。換句話說，駭客喜歡透過攻擊連網設備如VPN伺服器，來達到大規模入侵的目的。也因此，企業需觀察網路設備廠商對於各種安全事件的應變態度，例如先前Heartbleed漏洞事件，設備商經過多久後釋出更新修補程式等，都是值得觀察的指標。

    趨勢科技台灣區總經理洪偉淦則在座談時指出，趨勢科技的事件調查團隊成立2年來，發現遭受APT攻擊的企業已遍及各產業，且受害程度都很深。洪偉淦認為，面對APT除了靠防禦技術之外，必須從流程面達到資安體制的改善，將攻擊門檻拉高。包括完善的網路規劃、重要主機的監控、事件流程應變處理、IT部門所有單位舉凡OA、網管、系統開發等都需要參與，最重要的是有CEO與CIO等高階主管的支持，尤其許多攻擊事件發生後，一線人員會隱匿不報或以既有的有限資源嘗試亡羊補牢，但高階主管應該了解被攻擊並不是IT部門的錯，鼓勵通報並給予資源，才能達到一個正向的循環。