網路安全透視鏡(3)企業網路安全（上）

幾年前，網路上的駭客團體圈內盛傳，許多公司的程式原始碼遭竊，甚至連知名安全軟體的程式原始碼都難以倖免，已經可以公然在網路上買到。

這聽起來不禁讓人有點膽顫心驚，其中的緣由，據說是因為當時無線網路開始盛行，有一群駭客開著車掃遍企業密集度極高的汐止大街，希望能夠破解侵入竊的內部網路，許多企業由於尚未對無線網路安全作有效的管控，便因此遭到了入侵與破壞。

攘外之餘，總忘了要安內
不管是安裝防火牆、入侵偵測系統等等，企業的著眼點往往是放在外部的威脅上，然而企業網內的安全管控，常常便被忽略了。

從上一段例子可了解到，隨著網路技術的演進，整個網路世界已與以前大大不同，不再只是單純的有線環境，網路控管也變得較為困難。臺北市的無線上網普及率為全球第一，然而在新上網模式剛開始普及之際，許多安全配套措施並未跟上，只要一些簡單的破解軟體，便可以破解密碼、進而免費使用無線網路，更危險的是，企業網路變得更容易被入侵了。

企業習慣於攘外再安內的原因是，以往對於企業網路的攻擊主要來自於企業外部，所以企業習慣先部署防禦外在威脅的安全架構，如防火牆、入侵偵測系統等；然後現今的網路攻擊模式如間諜軟體等，都是先在企業內部網路進行檔案破壞或密碼解構等動作，更有甚者，是在之後再將企業內部資訊打包送出－這種攻擊模式已經變成一種新的趨勢。因此，企業網安要做得透徹，應該要從連上網路的那一刻便開始注意。

企業控管有三大層面，除了管控使用者能否上網之外，接下來要管制使用者的上網行為，讓他們的所作所為符合公司的安全規範，最後一個部分則是分層管理，也就是針對使用者取得內部網路使用授權之後的資源控管，像是每個部門都應該受到不同的權限要求與保障。

零時差攻擊，已造成慘劇
所謂的零時差攻擊（Zero-Day Attack），意指從安全漏洞發生時到自動攻擊開始的時間急遽縮短。由於類似瀏覽器的攻擊模式大幅增加，企業網路常因員工不慎上了惡意網站而導致單機被植入後門程式，企業網路系統也常因此受到影響。像 2006 年一開始， Microsoft Windows 便被發現一個嚴重的漏洞：Windows中繼檔（WMF） 的弱點。 這個在影像處理方面的漏洞，會讓使用者遭受惡意WMF的攻擊，儘管像 Microsoft般擁有龐大資源的企業，也在發現漏洞後超過一星期之後，才發行官方的修補程式。

我個人曾親身體驗了利用WMF弱點而發動的網路攻擊。我朋友的筆記型電腦在她過完新年假期回來、上班之後，立刻就遭到「綁架」，我們親眼目睹無形的雙手在電腦上鍵入文字。甚至還有退格鍵，以及字母「WMF」。因為當時還沒有正式的修補程式，她公司的 IT 人員不確定要如何處理這個問題。唯一的辦法是中斷她的筆記型電腦和網路之間的連線，避免傳染給其他機器，IT 人員同時試著救回她的檔案，然後格式化硬碟、再重新安裝作業系統。

這個「慘劇」，只是現在愈來愈多的零時差攻擊的一個例子而已。我們見到許多惡意軟體作者在防禦「空窗期」（辨識出惡意軟體並提供修補程式之前）時，試圖感染電腦，此一趨勢似乎一直延續至今。

即便企業已經部署了所有必要的防火牆、入侵偵測系統、病毒防護程式等，單此類利用WMF弱點的零時差攻擊，就足以讓企業 IT 管理者頭痛不已，遑論接踵而來的其他攻擊。

另一方面，由於愈來愈多的員工現在都使用筆記型電腦在家工作，或是出差時在旅館或機場內工作，一個非常重要的環節卻可能被忽略：公司網路內部的存取控制。因此在員工直接連線到企業內部網路時，審慎控制存取作業 （包括員工的身分認證、檢視 PC或筆記型電腦的安全狀態等）是非常重要的。不過，根據近來Gartner的報告指出，即使最好的企業也只能控制大約 80％ 的網路端點 （員工的筆記型電腦/PC）。

杜絕網路威脅，從了解NAC的概念做起
該怎麼因應零時差攻擊，以及難以控管的網路端點呢？所謂NAC （Network Access Control，網路存取控制）是產業級的協同研究成果，可以協助保證每一個存取點在進入網路前，皆符合網路安全規範，每個使用者要先取得PC及其他裝置的存取權，才能進入特定的網路。NAC的解決方案的目的是為了保證端點設備在存取網路前，已經完全遵循企業現行建立的所有安全策略，並確保不符合安全策略的設備無法存取該網路、同時設置可補救的隔離區供端點修正網路政策，或限制其可存取的資源。（待續）

《作者簡介》林佶駿
Juniper Networks新興科技部門技術經理，曾任職臺灣電腦網路危機處理中心（TWCERT）、鈺松國際資深技術顧問，敦陽科技資訊安全事業處資訊安全顧問。擁有美國CERT/CC講師認證、CEH講師認證、CISSP證照。

曾發表多項安全弱點，協助執行電腦犯罪鑑識，擁有豐富的網路安全滲透測試服務經驗。