謝至恩「現今企業的資訊安全最重大的挑戰,在於 87% 的企業開始在多重雲端 (Multi-cloud) 的環境中部署應用系統,導致企業網路暴露出非常多可供駭客攻擊的弱點。」F5 Networks 台灣區總經理張紘綱表示在今年與 Ponemon Institute 一同合作發表的《2018 Application Protection 報告》中,有 53% 的網路攻擊行為已經轉向針對應用系統而來,其中有 33% 的特定攻擊目標更是朝著使用者認證 (User Authentication) 而來。
本文目錄
前端應用是後端資料庫的閘道器
為什麼駭客們紛紛將注意力投向應用系統?「因為對攻擊者來說,前端應用系統等於是進入後端資料庫系統的閘道器,」F5 Networks 台灣區資深技術顧問許力仁明白指出關鍵因素,「只要能夠找出前端應用系統的漏洞,攻擊者幾乎就等於可以長驅直入後端資料庫系統任意取用,這也是為何帳號密碼外洩的案例層出不窮的原因。」
既然如此,為何多數企業仍然無法做好應用系統防護呢?
「因為應用系統的環境十分複雜,」許力仁說明:「根據《2018 Application Protection 報告》中的結果,平均每家企業已建立或正在使用的應用系統高達 760 個,負責的單位各有不同,沒有統一的窗口,且應用系統的實體位置可能在資料中心,也可能在不同的 PaaS 平台上,資訊長難以進行統合防禦。」
正因為企業應用系統如此多樣,企業在制訂防禦策略時,必須從最有效益-意即最不能夠中斷或出錯的系統開始防護起。根據《2018 Application Protection 報告》的調查結果,有多數企業認為電子郵件 (81%) 、遠端存取 (74%) 、文件管理與協同作業 (62%) 、辦公室軟體 (57%) 與備份儲存 (51%) 等應用系統,必須優先保護。
「不過台灣企業客戶的習慣卻與全球調查結果不同,一談到應用系統防護,多半是先採購 WAF (Web Application Firewall) 來保護網站,而欠缺全面的應用系統安全策略,忽略了其他應該要更優先保護的系統。」許力仁表示。
新興應用層攻擊行為
既然駭客們開始找企業應用系統的麻煩,那麼企業必須該注意哪些未來的應用層攻擊趨勢呢?許力仁特地整理出以下趨勢提醒台灣企業必須格外注意。
PHP Injection 攻擊:從去年開始,大量爆發針對 PHP 而來的注入攻擊 (Injection),特別是用 Deserialization 的手法,讓駭客能夠取得 PHP 網站的管理員權限。當 PHP 網站傳送資料時,需要先進行所謂「序列化 (Serialized)」的動作,將所有的資料擠在一起,形同一個超大的 cookies 。因此駭客可以修改序列化資料來攻擊後端的資料庫,可說是防不勝防。
應用層 DDoS 攻擊:和可達每秒上百萬次的網路層 DDoS 攻擊相比,應用層 DDoS 攻擊有個天生優勢-只要比人快就可以了,因此對 Anti-DDoS 設備來說,應用層 DDoS 攻擊反而不容易被發現,即使是 DDoS 清洗中心都難以發現,也導致有 74% 的 DDoS Bot 在這兩年內大量出現。
回放式 (Reflection) 攻擊:這是一種非常狡猾的攻擊方式,利用本應保護 Web 伺服器的內容遞送網路 (CDN),反過來攻擊後端的 Web 伺服器。其原理是攻擊者向 CDN Server 發出查詢,詢問並不存在的物件,導致 CDN 不斷回頭詢問 Web Server,若結合全球分散式攻擊網路節點,甚至可將攻擊查詢擴散到其他的 CDN Server,等於這些 CDN Server 對後端的 Web Server 發起了 DDoS 攻擊。
立即改善應用系統安全的五大步驟
F5 在 7 月份於台北舉辦 F5 Anticipate 2018 大會,建議台灣企業可立即採取五大步驟,改善企業應用系統的安全性。
- 了解你的環境:知道自己擁有那些應用程式以及它們存取的資料庫。協同開發團隊,同步追蹤應用程式、未來計畫和開發環境。
- 減少攻擊面:攻擊者將會在網際網路刺探任何可見的應用服務以尋找可能的入侵點。
- 依照風險設定防護優先性:一旦知道那些應用程式具有重要性,並且將攻擊面減至最小後,下一步就是找出需要額外資源的應用程式。
- 選擇彈性且整合的防護工具:你需要一個良好但可管理的強大彈性方案,以涵蓋既有和新興威脅的預防、偵測和復原需求。
- 將安全性整合到開發程序:比較有效率的方法是一開始就避免留下安全漏洞,而非等發現新問題才進行修補。