原标题:资安周报第54期:有3成政府机关面临XSS弱点,超过4成资安通报是非法入侵
行政院进行网路攻防演练时,有超过3成的政府机关都有跨网站脚本程式攻击(XSS)和错误的安全设定的漏洞问题。
图片来源:技服中心
行政院资安会报每年都会挑选几个政府部门或重要单位进行网路攻防演练,今年的演练成效,根据行政院资通安全会报技术服务中心(简称技服中心)的资料显示,今年实兵演练中,发现政府机关的弱点以跨网站脚本攻击(XSS)和错误的安全性设定比例最高,超过3成;而过往常见的SQL Injection弱点,今年演练结果中,只有5%的机关有这样的弱点。
另外,值得关注的问题则是,技服中心协助政府机关进行资安健诊时也发现,在检查各机关部会的网路架构时,总共发现19项风险,其中,网路架构部分则有12.29%的机关面临单点失效弱点,伺服器主机部分则有12.22%没有更新主机作业系统。
由于技服中心也协助政府各机关进行各种资安通报的应变处理,从数据中发现,今年技服中心接获的413件通报事件中,超过4成是非法入侵,将近9成是非核心资料外洩的一级轻微资安事件,机敏资料外洩的三级资安事件为2.18%,没有国家机敏资料外洩的四级资安事件。
政府机关XSS和错误的安全设定漏洞最多
政府进行的攻防演练主要是採用OWASP在2013年释出的十大弱点测试手法加上应用程式或系统弱点,总计11项作为检测政府机关系统弱点的标準,这也是各界进行弱点检测的共通参考指标之一。而政府进行的网路攻防演练则会分成实兵演练以及情境演练为主,技服中心协助实兵演练以及相关的资安健诊。
今年进行的实兵演练中,可以发现政府机关普遍的弱点,占比最高的就是跨网站脚本攻击(Cross Site Scripting,XSS)以及错误的安全性设定(Security Misconfiguration),占比都超过3成以上,这一般都和网站应用程式安全相关;此外,由于政府机关有许多共用系统,一旦有发现资安漏洞,不同机关不仅会遭受到相同漏洞的影响,连共同开发厂商都可以存在类似风险,这对于各个机关负责资安相关人员的影响甚大。
以影响最深远的跨网站脚本攻击为例,技服中心表示,有31.48%的机关都有发现这样的弱点类型,而这种攻击手法主要是允许骇客将恶意程式码(包含HTML和使用者端的脚本语言)注入到网页上,当其他网路使用者浏览已经被注入恶意程式码的网页时,就会受到影响。
以政府部门的网站设计来看,讨论区是最常被骇客用来输入XSS的攻击字串,其他像是个人联络资料、蒐集栏位或者是网址参数等,也都常见此类攻击手法。因此,技服中心则建议,政府部门负责网站的同仁都应该要过滤特殊符号,也应该设定可用的白名单与禁用的黑名单,才能确保浏览网站的网友安全。
再者,也有31.07%的政府部门普遍都有发现错误的安全性设定漏洞,最常是因为没有关闭网站「显示错误讯息功能」、「目录浏览功能」,骇客就可以从这些显示的资讯中,找到可以入侵系统的非公开资讯;另外常见的方式则是,启用网站档案上传功能时,并没有做好相关安全性设定,导致骇客可以上传任意的恶意档案,例如Webshell,以获取系统权限。
要解决这样的错误的安全性设定问题,技服中心建议,除了要避免使用预设的帐号密码、路径以及显示网页程式等错误讯息外,也应该要限制所有上传档案的类型,都应该是经过档案验证并确认档案正确性,避免骇客可以成功上传恶意程式。
避免使用预设帐号密码,有助强化共用性系统安全
另外,也有10.91%的政府机关发现,都有「遭破坏的认证与连线管理」弱点,最主要的常见原因,都是因为密码强度不足,导致使用者无法正确执行身分认证和Session连线管理,造成骇客可以破坏系统的身分认证机制。政府机关最常见的攻击手法多是,在网页系统登入页面中,猜测管理者(admin)帐号和密码(admin)后,就可以顺利登入系统管取得系统管理者的权限。
从技服中心揭露的案例可以发现,许多机关在设定网站的系统管理员的帐号和密码时,甚至是使用厂商提供的预设帐号密码而没有做任何更改,这就像是之前,有许多被骇客用来发动DDoS的网路摄影机一样,因为骇客掌握製造商预设的帐号密码,只要输入这些预设帐号密码,骇客就可以顺利掌控系统、为所欲为。
而政府机关因为偷懒,使用厂商提供的预设帐号密码,轻易让骇客取得系统管理源泉现实不可取,技服中心则建议,除了应该改用8个字母以上,英数大小写字母或特殊符号混杂、且不句任何有意义单字的强密码外,不同网站也不应该使用相同的密码,更重要的是,定期更新密码是确保网站系统安全的重要关键。
对政府机关而言,个别机关系统网站有弱点,往往只需要知道问题所在,就可以儘速和合作厂商解决问题;但问题在于,政府有非常多的部门都有使用共用性系统,例如,公文系统、财会系统等都是共用性系统,一旦这样的系统发现相关漏洞时,不同的部会也会受到相同漏洞的影响,影响相当深远。
不仅是使用这样共用性系统的使用者单位会受到影响,甚至于,连共同开发的厂商也可能存在类似的风险,同一个开发工程师在开发不同系统时都会有相同的惯性,如果在A机关可以利用sqlmap工具取得机关资料库内容时,使用这套共用性系统的B机关,也同样可以使用sqlmap工具取得机关资料库的内容。
技服中心认为,这类共用性系统容易爆发大规模的共通资安风险,使用者除了要使用更安全的帐号密码外,也应该留心是否有异常通报以确保相关系统的安全性。
部会资安健检,网路端面临单点失效,主机端是作业系统和Flash没更新
技服中心也协助机关部会进行资安健检,包括网路架构检视和伺服器主机检测两部分。从技服中心相关的资料显示,受测机关执行网路架构设计逻辑检视、网路区域配置检视,以及主机位置配置检视的作业后发现,有12.29%的受测单位面临单点失效弱点的风险,其次为应加强存取控制(4.1%)、需加强防护机制(3.7%)和强化备援机制(3.7%)。
若是伺服器主机端面临的风险,最主要是伺服器主机作业系统未更新(12.22%)、伺服器主机Adobe Flash Palyer未更新(12.22%),其次为伺服器主机防毒软体未更新病毒码(8.15%)、伺服器主机Java未更新(6.11%)和伺服器主机Office未更新(6.11%);不过,有4.7%的机关主机中有发现恶意程式,这也意味着,许多机关的主机端安全,仍存在有不小的安全性漏洞。
技服中心则建议,网路架构的安全性检视,可以从管理面与技术面下手,管理面除了要清楚知道网路设备和资安设备的拓朴外,也必须定期做网路灾害复原演练,也必须建立防火墙连线规则管理政策并定期检讨相关的连线规定;若是技术面则要做好备援架构,将对外主机都放在DMZ区,也可以增加防火墙和IPS(入侵侦测防御)防御设备,并且针对不同区域网路存取权限进行控管,也可以针对网路设备限制未经授权存取的来源设IP,可以降低相关风险等。
至于主机端的安全,技服中心则建议,管理面上应该要制定各种应用程式的更新作业流程并落实,以避免主机没有更新造成的资安风险;至于技术面则是要制定安全性更新程序的SOP,以及落实相关的应变通报流程,才能在发现恶意程式时,可以即时处理。
技服中心接获资安通报,近9成是轻微一级资安事件
技服中心统计从今年1月1日~12月7日,技服中心总共接到413件资安通报事件,其中,最主要的资安事件是非法入侵(43.1%),其次是网页攻击(22.28%);通报等级近9成(88.86%)是属于非核心资料外洩的一级轻微资安事件,机敏资料外洩的资安事件通报只有2.18%,国家机敏资料外洩的四级资安事件通报则没有发生。
技服中心表示,今年资安通报的数量比去年成长14.7%,超过7成(74.82%)的通报都是系统自动发出的警报,人为发现再自行通报的比例不到3成;而需要通报的範围,主要是包括政府自建或委外的资通讯系统,以及BOT关键资讯基础设施(CIIP)。
目前的资安事件等级轻重从最轻微的一级~最严重的四级,都必须综合相关事件对于机密性、完整性和可用性带来的冲击,所做的综合评估,一般而言,如果是非核心业务一般性资料外洩,多属于轻微的一级资安事件;核心业务一般性资料外洩属于二级资安事件;密级及机敏资料外洩属于三级资安事件,国家级机敏资料外洩属于最严重的四级资安事件。
政府也规定,一到接获资安事件通报,相关机关都必须在1小时内到通报应变网站完成通报作业,然后,一级、二级资安事件,要在72小时内完成损害控管或结案;三级、四级资安事件则必须在36小时内完成损害控管或结案。
技服中心也负责相关资安通报,2016年超过4成政府部门都有遇到非法入侵事件,但这些通报中,将近9成是轻微的一级资安事件。
?
相关:
微软在中国深圳WinHEC大会现场也示範用VR头戴装置来操作开启Windows10桌面应用,能将PC桌面上2D应用放进这个3D虚拟空间来操作,不仅能查看自己桌面的邮件、浏览照片,也能播放自己拍摄的360度环景影片。 ?穿戴装置
▲唐立淇运势周报。重要星象:水星逆行,火星进入双鱼,太阳进魔羯本周水星逆行,容易交通不顺而扫兴,适合宅娱乐、见故友,回顾往事、旧地重游,水星逆在魔羯,会检讨在上位者的缺失。火星进入双鱼,双鱼开始活耀,
安徽巢湖警方通报大规模医闹事件:行政拘留3人,训诫2人,中国青年网北京12月15日消息,14日,中国青年网报道了安徽巢湖第一人民医院发生大规模医闹事件后...10月20日18时16分,翁源县人民政府官网再次对翁源县人民医院“医
资安公司Webroot调查显示,2016年1月~9月期间,有84%的钓鱼网站存活时间短于24小时。 图片来源: 资安公司Webroot提供 根据资安业者Webroot统计今年1月~9月网路钓鱼(Phishing)的资料显示,今年观察到网路钓鱼邮
岳阳市纪委处理通报一批赌博吸毒干部2016-11-27 13:30新华网评论(人参与)A-A+新华社长沙11月27日电(记者帅才)湖南省岳阳市纪委近日通报并处理一批...自己吸毒、容留他人吸毒、非法种植罂粟……记者14日从湖南邵阳市纪