漏洞易補，木馬難防

建立良好的安全防護觀念，才能拒絕木馬上身

你有修補漏洞的習慣嗎？每個月微軟都會發布安全公告，說明新出現的弱點與解決方式，最後總會建議使用者利用Windows Update進行更新。

我們最常利用手動修補作業系統、應用程式及網路裝置的弱點，但弱點的數量每年倍增，手動修補不僅費時、浪費頻寬與生產力，成效也無法由IT人員掌握，對沒有IT人員的中小企業而言，更不知該如何部署與更新修補檔，而且大多數的使用者只會修補作業系統的漏洞，卻忽略應用程式和網路設備的安全漏洞，舉例來說，你可能會利用Windows Update進行更新，卻沒用過Office Update更新Office。自動修補管理是明日之星？

為了解決這些問題，國外已經有許多廠商研發自動修補管理系統（Automated Patch Management），能夠自動化部署各種修正程式，知名的廠商如Altiris、BigFix、Ecora、PatchLink、Shavlik……等。

自動修補對系統架構簡單的中小企業而言，是十分方便的工具，能夠設定更新修正檔的優先順序、該在那個時間點執行，並降低更新所需的網路頻寬。但它卻不一定適用於所有企業，因為在部署修正檔前，必須考量到幾個因素。

最常見遇到的狀況是，企業所執行的應用程式是自行開發（或是委託本土廠商開發），更新修正檔後，雖然提升系統安全性，卻降低穩定性，甚至造成程式無法執行，所以有些企業會選擇不安裝修補檔，而以其他安全裝置防護；有些製造業的生產線主機是24小時運作，停機一次就會損失上百萬元，也許每季只會停機檢修一次，自然不可能每次修補後都重新開機；對於廠商停止支援的系統和程式，自動修補也派不上用場，例如Windows 3.1及Windows95的漏洞，就得靠企業自行補強。

語系也是影響因素之一，大型企業的分公司可能散布世界各地，有的員工用英文作業系統，有的用中文，也可能用日文、韓文、德文或法文，上述的幾家廠商肯定都支援英文作業系統，但卻不一定支援中文，另外，作業系統和應用程式廠商發布更新程式的順序也有差別，通常都是英文優先，之後才是其他語系，也就是說，當英文作業系統都已經更新完畢，中文作業系統依然存在漏洞。

既然存在這些問題，所以就有廠商推出客製化服務，依照企業需求量身打造修補管理系統，例如Foundstone和CA。他們都擁有弱點稽核工具，會先掃描企業的網路環境，找出存在的漏洞與弱點，然後在實驗室進行模擬，確認安裝修補檔沒有問題之後，才會進行更新。這樣的做法能夠降低修補漏洞的風險，但相對的，費用也不便宜，企業可以衡量與員工自行修補所花費的時間，來判斷是否值得。

目前國內還沒有自動修補管理系統及相關的服務，建議IT人員經常瀏覽安全相關網站，即時查知可能的漏洞，且制定內部的修補管理流程。

以微軟的修補管理流程為例，總共分成4個階段，首先是檢查修補環境，建立系統的安全基準，蒐集企業資產的相關訊息；第2階段是識別新的修補程式，判斷修補程式的相關性，並確認修補程式驗證和完整性；第3階段是評估與計畫，開始修補程式部署作業，包括風險評估、計畫修補程式發行流程，以及修補程式相容度測試；最後是部署修補程式，安裝修補程式、處理例外狀況，並檢閱整個部署作業是否完整。貪圖方便，木馬附身

本月國內最大的資安新聞，就是刑事局破獲網路銀行盜領事件。嫌犯與大陸駭客勾結，取得最新型木馬程式，偽裝成各種標題聳動的廣告信大量散發，吸引好奇的使用者開啟郵件，在不知不覺中下載木馬程式，只要一連上網路，就會自動蒐集所使用的網路銀行、電子郵件、帳號密碼及個人機密檔案，並主動將資料傳送到大陸某主機。駭客取得資料後，即可透過非約定帳戶轉帳，盜領受害者的存款。

行政院國家資通安全會報呼籲全民建立危機意識，並增強資通安全防護措施，包括：
1.立即執行微軟更新程式
2.刪除不明郵件
3.不任意下載或安裝不明軟體
4.重要資料不放置在網路上
5.不在安全防護不足的環境中使用電子交易，如網咖
6.安裝個人防火牆

這些都是我們經常呼籲的安全措施，但不少人只是聽聽而己，並沒有起而行，甚至連防毒軟體都沒有安裝。

以第3項為例，許多人喜歡下載網路上的遊戲、免費軟體或破解程式，也許只是貪圖方便，但後果卻是木馬上身。

Foundstone亞太區總監陳彥銘以某木馬程式為例，它可以記錄使用者在鍵盤所輸入的資料，包括使用的應用程式、即時通訊的對談記錄、帳號與密碼，並將資料傳送到指定的電子郵件或FTP，甚至能夠定時擷取螢幕所顯示的畫面，駭客還可以設定時間移除該程式。更可怕的是，這個程式取得和操作都很容易，而且能夠附著在任何的應用程式安裝檔上面，經過我們實際的測試，有木馬程式和無木馬程式的安裝過程完全相同，不過，有木馬程式的安裝檔會比較大。

下次，如果你不是在原廠網站下載應用程式或修補檔，建議你先考慮一下「木馬上身」的風險。文⊙陳世煌