[焦點議題] 企業外洩資料的 7 大漏洞

面對個資法即將通過三讀，許多企業都在等著看，一旦法規通過之後，是否真的如大家所說，嚴厲的罰則，將會讓企業傾家蕩產，甚至面臨倒閉的命運。

但，你想要當個資法通過之後，第一個受難者嗎？

如果不想成為先烈，那在決定要做好哪些防護措施之前，請先好好瞭解，貴公司機密資料可能從哪些漏洞流出，以避免在導入眾多防禦設備之後，卻仍然無法阻止資料外洩所引發的悲慘命運。

本文將針對由外而內進行資料竊取的攻擊手法，以及由內而外的資料外洩手段進行討論，讓企業能夠對於資料外洩有較全面性的瞭解，以找出最合適自己的解決方案。

今年讓資安廠商最期盼、卻是企業主最害怕的事件，應該就屬個人資料保護法（以下簡稱個資法）的通過。

根據新版的個資法規定，除了「個人之醫療、基因、性生活、健康檢查及犯罪等五種資料為特種資料」需要特別保護資料外，還包括「其它得以直接或間接方式識別該個人之資料」也必須加以保護，面對後者這種所謂的「概括條款」，讓企業（不論是大型企業或是中小型企業），對於個人資料的保護已經不能等閒視之，必須要上緊發條，從各種面向做好資料保護的工作，以避免因個人資料的外流而賠上公司信譽與資產。

不過，要防止資料外洩就像是要防堵漏水一般，並不容易，想要防堵前就必須先「抓漏」，先瞭解資料可能透過哪些方式外流出去。根據趨勢科技的界定，資料通常會從以下四個面向流出：外來且無權限者、外來但有權限者、內部但無權限者、內部且有權限者。本文將從這些面向，協助企業瞭解目前所面臨的資料外洩風險有哪些，才能進一步做好相對應的防護與對策。

以竊取資料為主的惡意程式氾濫

所謂「外來、無權限者」所指的就是有心人士透過各種惡意手法，竊取企業內部的機密資料。趨勢科技總經理洪偉淦從去年起即提出：近幾年所有資安防護工作重點，都是在避免資料外洩，因為電腦病毒、蠕蟲等惡意程式被撰寫出來的目的，多是為了要竊取個人、企業的機密資料。

舉例來說， 2 0 0 9 年 9 月出現的新電腦病毒「Clampi」就是一種專門竊取個人資料的木馬程式，平時僅會潛伏於電腦中，直到使用者登入網銀或金融網站時（該病毒可以偵測到 4,500 多個與金融有關的網站），該病毒會自動發作，竊取帳號密碼，並進行轉帳動作。

警政署資訊室主任李相臣表示，目前與資料竊取相關的惡意程式主要以木馬程式與木馬間諜程式為最大宗，其次是後門程式、系統弱點、廣告程式等。

趨勢科技資深技術顧問戴燊表示，駭客最常利用「社交工程」的手法，透過發送電子郵件或垃圾郵件，誘使人開啟連結或檔案，以植入各種資料竊取的惡意程式。

國內某公家單位就曾經遭遇過這樣的狀況。戴燊表示，該駭客利用 Google 人肉搜尋法取得了該單位某主管的電子郵件帳號，並以該主管的帳號發送內含惡意檔案的電子郵件給內部同仁，誘使員工開啟，多數同仁多基於信任而開啟了附件檔案，就被植入「特定」的木馬程式，竊取內部資料，甚至是取得該電腦的使用者權限，進而進入企業內部網路，竊取更多機密資料。

W e b s e n s e 臺灣區技術經理林秉忠也表示，Websense CEO 日前也曾經遭受到類似的攻擊，駭客偽造了傳票，並透過電子郵件發送給該 CEO，信件中所有的資料都與該 CEO 的資料相符，郵件中並附帶連結，誘使開啟，目的就是要取得該位 CEO 的相關權限，進而得到更多企業內部機密資料以獲取龐大利益。

連防毒軟體也難以阻隔之「毒」

對於這類由外而內的惡意程式攻擊，難道防毒軟體沒有辦法發揮作用嗎？賽門鐵克資深技術顧問張士龍表示，通常這類特定、針對性的攻擊，駭客都是針對特定對象、單位所撰寫的惡意程式，因此一般防毒軟體在沒有特徵碼的情況下，是無法偵測到的，「駭客甚至會先測試所開發出的特定惡意程式碼，是否會被市面上的防毒軟體偵測到，確定不會之後，才會開始展開攻擊。」因此根本是防不勝防。

看似大費周章的攻擊行為，駭客為何仍樂此不疲呢？McAfee 臺灣區技術經理沈志明表示，現在惡意程式的開發皆是以營利為目的，獲利最高的方式當然就是竊取客戶的機密資料進而販售。根據 2009 年 11 月的統計，近半年來，美國中小企業因為遭受駭客攻擊，被竊取的金額已經高達 4,000 萬美元。正因為有如此高的獲利，戴燊表示，駭客目前已經組織化，大家分工合作，有些人撰寫病毒、有些人鑽研伺服器作業系統的漏洞，因此企業在面對這股黑暗勢力，千萬不能掉以輕心。

直闖後端系統

除了透過植入惡意程式於個人電腦，進而竊取企業資料的做法外，駭客也開始瞄準具有龐大會員數的社群網站進行攻擊。今年 1 月，在 Facebook 及 MySpace 上開發應用程式的 RockYou 公司因為駭客入侵，透過 SQL Injection 的手法，竊取了約 3,200 萬筆的個資，目前已被當地政府提起控訴。

反觀國內，握有大筆客戶資料的購物網站也是駭客覬覦的對象，在過去一年當中，個資外洩導致客戶遭到詐騙的狀況也層出不窮。根據警政署的統計，在去年 1 至 9 月，因為購物而導致資料外洩並遭到詐騙的件數，占了詐騙總案件數的 35%，高達了 8,865 件，顯示出此問題的嚴重性。

優碩資訊產品經理陳品翰表示，這些透過網站應用程式提供服務給使用者的公司，最容易遭受到 SQLInjection 、 XSS 等攻擊，也可能利用網路設備、作業系統、資料庫、網路服務等的弱點與系統漏洞進行攻擊，讓駭客可以輕易入侵到網站伺服器，甚至是取得權限後進入後端的資料庫，進而破壞與竊取客戶資料。

林秉忠表示，一般來說，企業的資料庫大多受到較完整的保護，至少都有防火牆與各種後端設備的保護，但是，一旦具有資料庫存取權限的使用者電腦被植入了木馬，後果就不堪設想。

實體資產的竊取

Check Point 臺灣區技術顧問陳建宏表示，上述這些透過網路入侵等各種攻擊手法竊取資料，對於駭客來說仍然是一種門檻較高的做法，另一種較容易的手法，則是在使用者不注意的情況下，偷取使用者的筆記型電腦來竊取機密資料。

電腦失竊導致資料外洩在近幾年也發生了多起案例。 2005 年柏克萊加州大學就因一臺筆記型電腦失竊，造成了 9 萬 8 千人的個人資料外洩；2008 年初，英國皇家海軍一名軍官的筆記型電腦失竊，由於該電腦中儲存了 60 萬即將入伍士兵的個人資料，導致資料外洩。因此對於這類實體資產的失竊，企業也應該要提高警覺，備有相對應的措施。

（…未完，更多精采內容請參閱網路資訊雜誌 218,219 期新春號）