追蹤資料外洩事件學教訓　應用安全須全面強化

依照初始攻擊目標分析案例

在那些可以辨別初始攻擊目標的案例中，53%是以應用程式作為第一個目標。其次，帳密則是33%攻擊的第一目標。整體而言，86%案例的初始攻擊目標不是Web應用程式，就是使用者帳密。

依照被駭組織的金錢損失分析初始攻擊目標

然而，當F5以被駭組織的金錢損失分析初始攻擊目標時，發現那些以應用程式作為初始目標的攻擊，會對受害公司產生較大的金錢損失，佔整體金錢損失的47%，帳密攻擊佔整體金錢損失的24%。大多數的身分識別攻擊包括使用者名稱、密碼和電子郵件地址，由於這些不必然屬於可辨識的個人資訊集（Personally Identifiable Information，PII），因此並沒有產生相同的受駭與揭露成本。

依照根本原因分析駭客攻擊

在分析的案例中，有40%可以找出駭客攻擊的根本原因。然而，並非所有找到根本原因的案例都有揭露遭竊的資料數量、被駭損失或攻擊者利潤，因此這一部分的統計是奠基於一個較小規模的資料子集合。

一如預期，最根本的應用程式脆弱性和釣魚兩大原因與初始攻擊目標相吻合，亦即Web應用程式和使用者帳密。Web應用程式脆弱性是被駭的第一大根本原因，佔總數的38%。釣魚攻擊排名第二，佔19%。五大根本原因中的其他帳密攻擊包括非法存取和帳密填充（Credential Stuffing），這兩種手法很可能都是從釣魚攻擊或應用程式漏洞著手。

SQL隱碼攻擊揮之不去

SQL隱碼是僅次於vBulletin的安全弱點。SQL隱碼是所有Web應用程式最基本且最具破壞性的安全弱點，因為它允許攻擊者直接存取你的資料庫。它已存在數十年，而且讓資安社群難堪的是它仍繼續存在。

難堪的原因是，因為SQL隱碼弱點很容易發現，而且Web應用程式要修復SQL隱碼弱點也是輕而易舉的。再者，一些免費的Web應用防火牆能夠自動阻斷SQL隱碼攻擊，所以並不需要花時間找到它們再進行修補。

SQL隱碼弱點是很容易治療的病，然而我們似乎無法擺脫它。攻擊者每次一發現SQL隱碼弱點，就會在短短幾分鐘內展開入侵攻擊。

確保應用安全是首要任務

網路攻擊者盯著他們的獵物然後像惡魔般不斷輕鬆地發動攻擊活動，因為一般而言安全性並沒有改善。企業仍繼續被老套伎倆和同樣老舊的安全弱點攻擊。有些企業正確地做到每一件事，因而沒有成為受害者，他們要擔心的是進階持續威脅（APT）。

不過，攻擊者事實上並不需要投入進階偵察活動，因為有太多公司的應用程式和資料庫都敞開大門。就算不是如此，攻擊者還有別的選擇，因為有太多使用者願意在社交工程攻擊中交出他們的使用者名稱和密碼，而且被安全機制阻擋的機會很低。

社交網路的興起，為攻擊者提供了龐大資料，讓他們的社交工程攻擊威力變得更加強大。他們知道人們住在什麼地方、在什麼地方工作、工作職稱和階級、興趣以及家庭結構等等。就如同廣告行銷，攻擊者利用相同的資料以設計更針對性的社交工程攻擊。網路攻擊者做得比任何人都要好的一件事就是分享，他們分享資料、工具、自動化腳本程式、入侵、攻擊計畫與技術，以及成功案例。整體而言，他們的工作比企業更有智慧且更具效率。

▲帳密是開啟應用程式的鑰匙，可以打開你的資料大門。

企業基本上是不分享的，企業不會公布自己的事件或者分享細節以協助其他公司從教訓中學習，例如攻擊如何發生、日誌檔的檢查重點、遭隱碼攻擊的檔案，以及如何成功阻止攻擊等。這些都是事件的回應細節，可以協助其他受害者提早防範攻擊。由於大家沒有分享足夠的重要資訊，因此像本文這樣的報告是有必要的。

▲86%駭客事件最初是以應用程式或使用者∕帳密為目標。

不過，安全性的未來並不是全然黯淡的。我們已學習一些重要的教訓，那將成為我們的行動處方。或許你從這份報告獲得很多知識，但只是沒有資料可以佐證。若是如此，那麼請利用這份報告來設定自身的安全優先性。另一個好消息是，現在已有可以瓦解86%攻擊的有效方案。然而，它們必須建置正確，程序困難且耗時。應用程式是駭客的首要目標，請將你的焦點轉向那些目標，確保自身應用安全！

因此，請致力將下述領域提升到成熟狀態，以便有個安心好眠的夜晚，以下是F5對安全思維的一些建議：

1. 你知道自己Web應用程式的所有安全脆弱性嗎？你執行靜態或動態掃描？它是否包含麻煩的論壇軟體，而且因為過度的修改而無法再自動更新？開發者有修復你發現的安全弱點嗎？安全弱點是否在品質確保程序中發現並且在邁入生產階段前予以修復？

2. 對於不支援多因子認證（MFA）的客戶端應用程式，應建置管控帳密填充的機制，禁止客戶使用已知遭竊的帳密建立帳戶。

3. 對於誘騙使用者開啟惡意檔案以侵入系統的釣魚攻擊，我們要做的就是補丁、更新、再補丁！否則你的系統將會被駭。所有端點裝置至少應做到以下幾點：最新作業系統補丁發布一星期內完成更新、使用最新瀏覽器（別落後兩個版本以上）、最新Flash和Java更新（這點非常重要！）、持續更新防毒軟體。

4. 建置單一登入（Single Sign-on）和聯合身分識別（Federated Identity）以減少使用者需要建立和管理的使用者名稱與密碼數量。單一登入只是部分解決方案，因為使用者仍必須在每個地方輸入使用者名稱和密碼，但如果建置聯合身分識別，就可以安全地登入他們需要的所有應用程式，而無須一再地輸入他們的帳密。使用者將會因此而感謝你。

5. 必須對擁有高階網路存取和高價值資產存取權的使用者實施適當且持續的訓練。如果攻擊者從LinkedIn得知誰在人力資源和會計部工作，那麼那些人將會收到魚叉式網路釣魚攻擊。

結語

必須謹記在心的是，一旦企業針對現在攻擊者的主要通路實施安全防護強化，攻擊者將會把目標轉向那些被你忽略的領域，發動其他攻擊。因此，重要的是對於網路的各個領域都必須投入同樣的心思。

＜David Holmes是F5 Labs威脅情資實驗室的首席安全研究分析師，也是F5 Networks的首席資安發言人。 眾多論述關於駭客、密碼學、詐欺、惡意軟體與資訊安全議題。 他經常在全球資安會議中發表演說，其中包括阿姆斯特丹的RSA Europe、倫敦的InfoSec和拉斯維加斯的Gartner資訊中心。David是《SecurityWeek》雙周刊的專欄作家，也為DarkReading、SC Magazine, Network World以及眾多電腦安全雜誌和網站撰寫新聞論述。他有四項F5的專利正在申請中，並且還為OpenSSL等開源項目貢獻代碼。＞