2005 iThome資訊安全日

現今大陸駭客攻擊手法解析

對於現今大陸駭客的攻擊手法，數聯資安研發處副總張鈺敏說，2004年政府機關與政黨機構網站被大陸駭客攻擊的情況越來越嚴重，包括國防部、財政部賦稅署、民進黨中央黨部，還有一年一度兩邊的「國慶大戰」，也是政府現在推動各級機關資安工作的重點項目之一。

所謂的Bi-Apple（反彈型後門工具，毒蘋果），是駭客用來收集機密資料的一種後門程式，具有隨時可以更換跳板機、且難以察覺的特性，一般的防火牆也抵擋不住。一旦IE、Office漏洞沒有補上，防火牆設定不完全，或是網站程式設計上的瑕疵等狀況發生，企業就完全暴露在被攻擊的高度風險下。

除了網路端與個人電腦端的防毒、防火牆、入侵偵測、入侵預防、防駭以及資料加密保護等等，可導入弱點掃描、滲透測試、程式碼檢驗、網站協同監控、資安代管、資安預警、資安規畫等服務，企業要先了解並評估自身的風險性，才能進一步了解應該採用哪些設備或服務。保護網路安全的主動入侵預防策略

根據賽門鐵克公布的2004年7～12月網路安全威脅研究報告顯示，總漏洞數量持續增加中，達1403個，成長13％，而且從漏洞發布到利用漏洞發動攻擊的時間差只有6.4天。

集成資訊技術顧問許力仁表示，隨著網路環境的惡化，威脅擴散的速度遠超過企業回應能力的臨界點，針對系統漏洞的病蠕蟲攻擊發生的頻率和複雜度都在提高，如果企業想要贏得這場戰爭，就要改變企業安全管理策略。 隨著企業系統架構日益複雜，閘道已經不是唯一的攻擊點，包括分公司據點、遠端工作者、無線網路用戶跟行動用戶等等，都成為邊界防護的變數。

企業的安全防護也必須由被動化為主動，採用能夠抵禦已知與未知攻擊的入侵防禦系統，此外，內部網路安全的需求也持續成長，企業希望能主動的阻擋威脅滲透內部網路。

企業可以透過賽門鐵克DeepSight發現威脅，由「賽門鐵克安全機制應變中心」取得LiveUpdate安全內容（Security Content），及「資安事端指南」 （Security Incident Guidelines）等更新資料後受到保護，簡化管理與自動更新為最新的防護層級，並將取得威脅情報送到SNS 7100防禦設備中。郵件安全的防禦與預防

垃圾郵件變化太快，駭客郵件的猖獗，大量發送郵件會造成網路阻塞甚至當機，垃圾郵件已經變成企業必須正視的問題。寬華網路科技黃敬博協理指出，每家公司體質不同，對於垃圾郵件的定義與政策也不同，每家企業可依本身對於垃圾郵件的政策取向，透過寬華SpamWall提供的自動化學習機制自行收集特徵，垃圾郵件分級處理機制可依隔離、刪除、貼標籤、放行等不同等級處理。

內建防毒機制，透過雙向內容過濾機制對電子郵件進出進行管制，可針對附件檔案格式進行過濾，可以自動整合AD/LDAP，具有防禦Mail DOS/DDOS的能力，並可詳細分析攻擊來源。SpamWall在原有的郵件伺服器故障時，可自動偵測並成為緊急備援的郵件伺服器。還具有所謂稽核式管理的功能，整合利用郵件保存的預警機制，以類似保全中的CCD側錄預警機制來管理員工電子郵件的使用行為。無線網路下的企業資料存取安全

不管是中小企業還是中大型企業，如何維護網路層、無線網路以及end-to end的安全性？Juniper Networks技術經理宋建宏表示，在既有的網路基礎架構下，最基本的設備就是防火牆，但卻不能確保網路安全，企業只好繼續增購入侵防禦（IDP）與VPN等設備。

但是即便整體網路防禦設備再完善，近來建置無線網路的風潮，讓無線網路成為企業內最新的安全漏洞，建置成本較低的無線環境雖然帶來便利，安全管理確是讓各級企業卻步，不願建置的主要原因。

無線網路安全主要有隱秘性、身分認證及各分區網路的存取管理等問題，駭客可以輕易的進入企業內的無線網路。Juniper透過與SSL VPN或IPsec VPN的結合來進行安全的資料防護，以建立多個安全區域的方式同時管理有線與無線網路，並可統一管理各個安全區域不同的政策管理。提昇企業的防毒管理

作為防毒市場的後起之秀，Kaspersky臺灣區總代理奕瑞科技總經理張義淵表示，Kaspersky擁有全球最大的病毒資料庫，病毒碼更新頻率也最快，目前在臺推出個人與企業版的防毒軟體、個人版的防駭軟體及個人版、企業版和ISP版的垃圾郵件過濾軟體。

整合管理卡巴斯基企業版產品的Kaspersky Admin Kit 5.0具有統一安裝、更新、管理、監控企業網路內所有防毒軟體的安裝與政策設定，並產生群組工作和報告，也會自動通報安全管理人員。

除了讓還具有掃描SMTP/POP3等郵件連接埠、清除 Microsoft Outlook和Microsoft Outlook Express 郵件資料庫、清除ZIP、ARJ、CAB、RAR檔案中病毒的能力。並提供備份、負載平衡、斷線續傳、支援對於離線設備的策略分發、支援微軟終端連線、支援 SSL等功能，還可根據管理伺服器中的事件與數據產生報告，包括病毒活動、網路安全、更新、授權、病毒感染等不同的報表。

此外，要有效減少病毒感染，企業除了安裝最好的防毒軟體，在用戶端安裝個人防火牆，並隨時維持系統的最佳更新狀態，加強企業內的資訊安全教育也很重要。

擋你的垃圾郵件，改變你的想法

美國ISP業者 AOL估計，2004年全球垃圾郵件量，占所有郵件的75％～82％，浪費ISP業者5億美元。MessageLabs調查顯示，每年全球電子郵件有70％為垃圾郵件。The Radicati Group的研究則是指出，垃圾郵件問題延續至2007年時，企業因垃圾郵件所損失的金額將暴增到1980億美元。

垃圾郵件發送商如何蒐集電子郵件地址？桓基科技產品協銷部副理葉ˉ吉指出，透過有心人寫的程式，可以從網路Usenet/Netnews等系統上蒐集或竊取到很多電子郵件地址，或是將網路上自有網頁上的E-mail資料。

垃圾郵件技術由第一階段的關鍵字比對、第二階段的夾雜@#$等特殊字元，到第三階段的圖文夾雜HTML和URL連結，為了因應這樣的演進，垃圾郵件過濾技術也由關鍵字比對，DNS反查、Header檢查殿子游漸發送狀態檢查等手法，發展到特徵及發送手法檢查。

透過SpamSherlock複合式的智慧垃圾郵件技術，具有關鍵字過濾技術、Mail Header檢查機制以及垃圾信特徵判讀引擎，整合Anti-Hacker以及DoS/DHA的自動更新。

自動免疫式防禦網路系統

合勤科技國內部協理徐樹傑表示，隨著網路威脅不斷升高，企業面臨即時攻擊、混和攻擊、惡意程式、網路詐騙、不當分享、VoIP漏洞、SoftEther等透通軟體、可攜裝置、無線竊取、垃圾郵件等諸多問題。

企業的安全防護包含網路與資訊兩個層面，其中網路安全除了應用層（Application Level）及封包層的防護（Packet Level），應用層可以透過代理式防火牆（Proxy Firewalls）或入侵偵測/入侵防禦 （IDS/IDP）來檢視應用程式區的資料。封包層則是透過連線狀態檢查的防火牆，檢查封包的表頭及控制區內的資料。

至於資訊安全的部份，則是限制資料的洩漏或不當的檔案分享，像是透過及時通訊或點對點軟體，包括對於員工使用即時通訊、檔案交換、軟體通道與Webmail/Posting應用程式等軟體的管理。

針對中小企業合勤推出全方位的網路聯防解決方案，具有多層防禦與及時攔截的功能，同時涵蓋邊界、內部、與用戶端的管理，形成多合一的第七層防護，整合IDP、AV、Anti-spam以及CF功能透過合勤區域聯防架構（SMART SOC）做到及時攔截，在發現問題點時，立即加以隔離。

至於，無線網路的部分則是透過Vantage WLAN Controller這個簡易的隨插即用AP建置，提供集中式無線基地臺控管，具有自我AP偵測、使用群組管理、安群存取管理、多重認證、防火牆、及時狀態監視、非法AP偵測、RF管理等功能。

SOC安全維運管理

服務內涵與案例探討 網路攻擊的手法變化迅速，宏碁電子化服務事業群安全技術與管理處資深技術經理黃瓊瑩指出，系統弱點快速被利用，使用個別的資安產品已經無法應付層出不窮的資安事件，以入侵偵測系統為例，就有誤判的問題，無法持續與有效調校的情況下，監控有效性偏低。

資安問題需要有足夠「質量」的資安專業人員來維護，判讀偵測結果、處理與鑑識發生事件，購買產品的方式無法解決這些問題，必須仰賴資訊安全維運管理中心 （Security Operations Center，SOC）來解決，提供 7x24 全年無休資訊安全維運服務，透過SOC的布署架構，介接不同的軟硬體，維護設備的運作，分析、過濾與整合所蒐集的資訊。

宏碁eDC提供的SOC建置範圍，包括整體架構規畫與建置、整體系統與網路安全機制建置、安全稽核記錄收集機制、現有安全監控機制整合、資訊安全技術網站建置、資產弱點與威脅管理機制、N-SOC整合介面及通報機制建置、資安教育等等。

員工上網與使用IM的管理及安全防護

達友科技技術顧問林皇興指出，員工濫用網路，大量占用頻寬，缺乏紀錄與稽核機制，瀏覽網頁導致中毒和綁架的事件越來越多，企業應該建立閘道內容過濾機制，過濾有害的網頁和郵件、並限制即時通訊、FTP、Webmail與P2P軟體的使用。

達友科技代理員工上網安全管理的Websense Enterprise V5.5，以及即時通訊安全管理的IMlogic IM Manager 7.0。其中IM Manager可以針對IM各種軟體交談的訊息內容與附件傳輸進行100％的訊息擷取與備存，支援MSN、Yahoo、AOL、ICQ、IBM Sametime、微軟LCS、Routers、Jabber 等即時通訊通訊協定，顯示名字（Screen Name）的註冊與管理外，還可與企業AD、LDAP等人員目錄整合，可以依據政策阻擋點對點文件或檔案的傳遞進行內容審核、關鍵字過濾與附檔防毒，透過管控機制避免並降低機密資訊外洩風險。

如何阻擋垃圾郵件與蠕蟲病毒攻擊？

千格科技產品經理鍾政龍表示，透過安裝設定容易的閘道端垃圾郵件過濾裝置Commtouch 4.0的RPD（Recurrent Pattern Detection）技術，能夠在垃圾郵件爆發的第一時間阻擋垃圾郵件，誤攔率接近0，阻擋不可知的內容能有效預防網路釣魚及模擬兩可的郵件，同時可以防堵郵件式蠕蟲病毒及封鎖惡意程式，具有報表功能，並以圖形化介面顯示垃圾郵件狀況。

細說廣告信防護技術

根據調查，有31％的人會不由自主的點開廣告信，而10％的人會因此而花錢。網擎資訊MailGates產品經理李孟秋開宗明義的指出垃圾郵件氾濫的關鍵：有利可圖。

尤其是現行的垃圾郵件過濾方式，像是經驗法則、身分認證、郵件來源調查等都有其侷限性，垃圾郵件「反」「正」兩陣營各自出招，像是找出受害的電子郵件VS.保護合法帳號，短時大量發送VS.DoS防禦，IP變動VS.共享IP黑名單，偽造寄件人VS.身份驗証及新郵件標準，格式及內容或樣式近似正常信VS.經驗法則、關鍵字、內容自動判斷和網址黑名單，來源無法追查VS.向ISP檢舉和訴諸法律。

網擎資訊MailGates就提供全面性的閘道端防護，整合郵件伺服器，具有巨量資料處理，過濾平臺可以整合防毒或選購第三方過濾模組。

全方位的郵件安全控管及頻寬資源管理

隨著企業對網路的依賴程度越來越高，友旺科技品牌行銷處處長劉德坤表示，資訊安全成為網路寬頻的最大應用，友旺推出四合一的整合型閘道器SV3000/SV2000/SV1000/SV550S係列產品，整合網路設備、防毒、流量管理以及安全防護等功能。

其中的智慧型垃圾郵件過濾防毒閘道器AntiSpam AntiVirus Gateway，具有自動學習機制（Auto-Learning），可將判斷標準隨時調整，藉此降低誤判機率。

磁帶保管新選擇

根據2003年10月CIO雜誌對7500個企業CIO所做的調查顯示，有55%的人擔心藉由網路被分享，其中的53%擔心檔案不翼而飛，30%則是擔憂檔案被偷。為幫助企業有效解決異地備援與儲存安全問題，零壹科技網路電信部產品經理周子傑表示，引進NeoScale，透過磁帶儲存並保護資料檔案，透過最簡便的方式解決檔案資料應用與管理的便利性。

為幫助企業有效解決異地備援與儲存安全問題，零壹科技網路電信部產品經理周子傑表示，引進NeoScale，簡單解決資料應用與管理的便利性。

CryptoStor FC是在資料庫的儲存架構下，不管是SAN、NAS或DAS，都能保留原應用程式架構但不影響速度，還具有階層式安全管理的功能，阻止未經授權的使用者進行資料存取。

垃圾郵件防禦技術完整解析

不同於MUA內容過濾的產品，碩琦SpamTrap以MTA In-Job方式解析垃圾郵件，碩琦科技臺灣/歐洲營運中心處長陳英雄指出。SpamTrap 能夠阻擋40％~70％的垃圾郵件量，減低後端郵件伺服器的工作量。

SpamTrap不採用灰白名單過濾，改採具有彈性的處理郵件方式，企業可依各自的郵件政策選擇，分為觀察期、隔離期和目標達成期，觀察期是透過Stamp防護模式協助MIS確認電子郵件是否正常傳輸，會先加蓋郵戳於郵件標題，並正常傳送郵件。目標達成期則是以Blocking的方式防護，拒絕接收問題郵件，並回覆退信代碼和訊息，以避免掉信。當系統值得信賴時就採取Discard防護模式，將問題郵件沉默收下並刪除，不回覆退信代碼和訊息。

Passing防護模式則是針對害怕掉信的企業，可以自行設定郵件主旨戳記，加蓋關鍵字於問題郵件主旨，後正常傳送郵件，可搭配Exchange 2003隔離區或Notes分散式隔離垃圾郵件。至於Quarantine防護模式則是在系統認定是垃圾郵件後，存放至伺服器隔離區，中央式隔離垃圾郵件，發送阻隔報告可重送、刪除或轉寄。

由內而外－企業如何強化資訊安全控管

企業面臨資料傳輸安全與權限管理等問題，工作流程越來越複雜，資訊存取權限安全與管理等問題也跟著浮現，人事、財務、研發技術、客戶資料及交易合約等機密資料遭到複製或外洩，成為目前各級企業急需解決的問題。

逸凡科技顧問杜宏毅表示，針對中小企業市場以低價推出的Acer機密檔案控管系統，整合PKI身分辨識、檔案加密、存取權限管理。應用範圍涵蓋公司各項重要檔案的存取管理與加解密管理機制的機密檔案管理，透過身分認證執行身分核驗，取代容易被破解的帳號和密碼的登入方式，像是企業員工入口網站或人事薪資系統等，或是用在公司內的電子表單簽章系統以及電子郵件的安全管理。

從網路使用行為管理談由內而外的資訊安全防護

現階段的內容過濾技術不外乎關鍵字、URL地址及先進人工智慧技術，有準確度較低、無法過濾圖片資料、只針對URL地址有效、技術不成熟等缺點。

最近才在臺灣成立分公司的8e6，擁有一個分為81大類、涵蓋超過500萬個網址、每36小時掃瞄全球網站新增到URL資料庫。美商8e6科技大中華區總經理連邦俊指出，內容管理專用伺服器R3000 MSA，企業可搭配選購內容管理報表系統ER3.0，記錄所有聯外的網路行為，可與企業稽核系統整合。