現今企業面對的資安威脅,入侵管道之多、手法變化之快速,已非單一控管機制足以抗衡,必須透過專業資安人員,模擬駭客思維在各式資訊中搜查與追蹤其行徑,才有能力精準地界定整起入侵事件。只是台灣資安人才本就不多,有意識培養IT人員學習資安技能的企業更是少見,遊戲公司可說是其中較特殊的產業。
發現真正漏洞並修補滲透測試才有意義
另一家近期在資安界相當活躍的專業公司Devcore(戴夫寇爾),雖然成立至今不到兩年,卻是一群熟稔於駭客攻防戰的資安技術人員所組成,鎖定門檻高、有固定需求的滲透測試服務市場。其實滲透測試的觀念,在駭客攻擊網站事件頻傳之下,早已有穩定的基本市場需求,常見金融單位、大型企業,每年皆有編列預算定期執行,來確保網站安全性。要達成滲透測試的有效性,必須由資安技術人員模擬駭客思維執行,然而業界多數卻只是仰賴資安廠商提供的自動化工具掃描,無法達到實質效果。
「以往市場上提及的滲透測試,大多仰賴工具輔助執行,我認為此觀念必須被導正。」戴夫寇爾執行長翁浩正強調。若只是著重於「弱點掃描」,確實可利用自動化工具檢測,經過比對得知是否存在已知風險。但「滲透測試」並非如此,其原意就是必須經由人力技術,運用駭客知識、技能、思維,找到可被利用來取得伺服器系統資料、進而獲取最高權限的線索,也就是漏洞,卻被商業工具廠商誤導,以為滲透測試同樣採自動化工具掃描即可。現代的駭客思維相當靈活,攻擊手法亦較過去混雜,若以工具掃描或許可指出漏洞所在,但駭客思考模式並非單點漏洞,而是綜合性地搭配、更有效率地運用,已遠超過工具可判斷的範圍。
 |
| ▲戴夫寇爾執行長翁浩正提醒,既然網站發現漏洞,就必須設法修補改正,否則若僅仰賴設備抵擋,以現代駭客攻擊手法來看,繞過資安設備並不難,唯有修補漏洞才能解決根本問題。 |
戴夫寇爾提供的滲透測試服務,則是集合資安技術人員的力量,依照漏洞的型態,選擇執行不同攻擊的方式;或是藉由錄製瀏覽網頁的行為,追蹤連線位置是否會導向惡意網站。執行後所產生的記錄,再經由資安技術人員交叉分析判斷漏洞風險性,決定是繼續追蹤測試,或藉由輸入不同語法,讓執行程序出錯,藉此撈取更多資料。諸如此類測試手法,都必須要由專業人力才得以實施。
執行滲透測試後製作的報告,戴夫寇爾亦會由資安人員按照漏洞嚴重程度排列優先處理順序,並向客戶解說內容的嚴重性與其代表的意義,給予執行改善的建議。翁浩正舉例,從程式碼撰寫方式、定址(Addressing)等細節,可得知開發流程上的問題或欠缺的資安觀念,若開發人員不知如何修正,亦有提供教育訓練來增強,像是呼叫資料庫、輸出網頁等程序,均有安全的制式正統方法,開發人員必須學習成長,才不致凡事只能仰賴廠商的支援。
儘管多數企業會選擇建置應用程式防火牆先行抵擋,但網站本身的風險只能得到緩解,根本問題並未被排除。畢竟駭客圈的攻擊手法已具備專門繞過防火牆等資安機制,若遇到這類型態的駭客,即使架設再多層次設備防禦,也無法達到預期效果。「發現漏洞後予以修補才是治本之道。」翁浩正強調。
開發者要有資安觀念降低網站潛在風險
「自公司成立以來所承接的滲透測試服務,幾乎大部分客戶系統都有找出問題。」翁浩正說。像是利用SQL Injection進行測試,多數可順利撈取資料庫。此外,亦包括線上遊戲網站,簡單的攻擊程序即可執行竄改金錢、竊取寶物與道具等動作。而兩者皆是現代駭客覬覦的標的,可謀取利益的有價品。
他指出,其實目前台灣網站最大的問題莫過於程式碼過於老舊,以往開發程序不如現在嚴謹,很容易被駭客發現漏洞進而利用。就程式開發而言,「重構(Refactoring)」程序有其必要性,只是勢必需要成本支出,是否值得進行,就得視企業對安全性的重視程度。其次是開發人員撰寫程式的習慣,不論是在學校或業界,都是學習應用為主,安全性問題卻常被忽略。不過他也發現,近年來學生族群對於資安的熱忱正逐漸加深,在學校先建立正確的觀念後,未來踏入職場才能為企業帶來實質效益。