- 98 -

新世代資安威脅與防護

發掘資安死角，為企業資安把脈

一、 威脅攻擊現況1. 病毒的演化自從 1980年代第一個電腦病毒問世後，註定影響往後電腦資訊安全的發展。早年企業

的安全威脅只是單純的病毒感染(如：木馬、

蠕蟲病毒)到利用系統弱點散播病毒(如：疾

風病毒)到間諜軟體及 USB病毒的出現，隨著網際網路發展的成熟衍生出 Bot這類型的殭屍病毒，演變近年來資安界最火紅的議題

APT (Advanced Persistent Threat)目標式攻擊乃至最新的勒索加密病毒，讓電腦中毒數量

與日俱增 (圖一 )。

因應網路威脅的快速發展，企業在面對多種混合攻擊手法如社交工程攻擊，如何找出

自身的資安弱點並進一步強化，已成為企業在面對資安防護的挑戰之一，透過資安健檢與

弱點掃描可以為企業把脈，找出潛在或已知的資安風險進而加強防護。

2. 感染方式駭客使用的手法也從早期電腦單機資料交換

仰賴的磁碟片，演變成現在常用的隨身碟作

為感染媒介。隨著網路發展成熟及散播的便

利，其感染途徑也轉往網路作為媒介如：

E-mail、釣魚網站、網頁掛馬 ...等，甚至利用系統或網頁程式的漏洞作為病毒散播的方式。

3. 因應之道演變至今，企業經常會詢問一件：環境內

已經有了防火牆、IPS、Mail Spam等資安設備，為何還是會被駭客入侵系統被植入惡意

檔案。原因在於資安攻防的勝敗關鍵之一在

「弱點」的管理，如何面對環境內弱點及如

何改善，儼然成為防範未然的關鍵。

文 / 王仁和

圖一 威脅情勢

IntelligentBotnets

MobileAttacks

TargetedAttacks

WebThreats

SpywareSpamMass

MailersWorm

OutbreaksVulnerabilities

2011+201020072005200420032001

累積損失

- 99 -

新世代資安威脅與防護

二、弱點掃描成敗因素

如果資安攻防的勝敗關鍵之一在於掌握「弱點」

的管理，那如何掌握企業環境內部的系統存在

哪些弱點儼然成為棘手的問題，市面上有提供

弱掃的相關軟體，提供資安管理人員可以快速

掌握網路環境中，哪些系統存在哪些弱點風險，

以及是否會被駭客利用攻擊。弱掃軟體有免費

與付費兩種，兩者差別在於免費版本大多以公

開原始碼的方式提供安裝，在安裝時可能需要

額外安裝所需要的元件，才不會出現錯誤訊息，

安裝後需要再設定相關參數，這樣才能正常使

用，上述是安裝時非常順利沒有遇到失敗的狀

況。若遇到安裝失敗時無法向廠商尋求協助，

只能上網搜尋是否有類似問題或有網友提供解

答來做為參考，這些都需要一定的基本技能，

不是一般電腦管理員可以負擔的能力，且最重

要的弱點資料庫在更新頻率上可能不及付費軟

體。相對來說，付費軟體在使用操作上除了可

以獲得產品本身的技術諮詢外，另外在弱點資

料庫的更新也會來得更加即時，而弱掃的軟體

可以簡單區分成兩種類型：

● 系統弱掃 – 掃描系統漏洞，如 Windows/Linux，代表的產品有 McAfee Foundstone、Nessus。

● 原碼檢測 – 掃描程式碼漏洞，如網頁漏洞 (SQL injection，xss) 代表的產品有 HP WebInSpect。

在實務上，會執行弱點掃描的單位，通常是上

級單位的要求或是有導入資安相關認證 (例如：ISO 27001)才會安排弱點掃描，而一般執行的大致都是系統弱掃。因為原碼檢測較少執行的部

份通常是有自行開發系統，這部份在系統上線

前大都已執行完成，除非後來有再另外修改程

式碼，否則在沒有異動的情況下，會在執行原

碼檢測的機會就比較少；另外一種情況是單位

環境本身並沒有開發人員，而是將系統開發委

外，在這種情境下需要注意的是要請開發商在

系統上線前，也要執行原碼檢測後才可上線，

在此建議最好執行 2至 3種不同原碼檢測的產品，以便做交叉比對，且執行完成後，需要提

供報表並留存以利日後查詢，同時記載在合約

內容中，避免廠商有閃避的空間。

一般在安排系統弱點掃描的流程大致如下：

1. 定義出掃描範圍

2. 安排掃描時程與複掃的時間

3. 掃描的執行方式

4. 掃描後的說明會議

5. 針對無法立即改善的弱點，系統負責人員應填寫弱點改善計畫表以利後續的追蹤。

以 ISO 27001 的規範中，就明定單位環境內每年必須至少執行一次弱點掃描，但其中成敗的關

鍵在於上述的第 4、5點必須嚴格執行。當執行弱掃完畢後，弱掃軟體會提供一份掃描報告，

並依照風險的等級區分高、中、低與資訊等風

險 (圖二)，並擇日召集各系統負責人針對高、中風險評估回應是否可以做修補，會建議從高、

中風險優先做修補的原因在於高風險的定義是

「系統上偵測到易受攻擊的弱點，可能會直接

允許攻擊者透過遠端連線取得經過授權的機器

存取 (如管理員、root)」；而中風險定義「在系統上偵測到的弱點，可能會直接允許攻擊者

透過遠端連線取得未經授權的機器存取 (如標準使用者 )」。由此可知高、中風險的存在，可以讓駭客利用此風險取得機器的存取權或控制

權，進一步讓駭客做他想做的事情 (例如：竊取資料等)。

在實務上，常會聽到同仁抱怨在評估系統是否

可以修補的考量上，所擔憂的不是新上線的系

統，而是老舊的系統，原因不外乎是系統早期

是委外開發現在已找不到開發廠商、維護合約

- 100 -

新世代資安威脅與防護

已到期或系統太老舊無法修補或修補後發生系

統無法運作等理由而遲遲無解決，遇到這類問

題通常可以有幾種解決方式：

● 從防火牆限制相關的連線服務

● 從 IPS 開啟相對應的 CVE弱點

● 轉化成虛擬主機，並啟用資安軟體含有虛擬補丁的功能，例如趨勢科技的 Deep Security

如果遇到弱點無法立即修補，可以優先考慮將

風險降低或是轉移風險， 不要讓駭客可以簡單直接利用該風險取得相關控制權。總之要了解

既有存在的漏洞有哪些，才能解決漏洞問題，

而要降低資安風險問題，第一優先就是知道漏

洞發生在哪裡。

圖二 Foundstone報表

三、何謂資安健檢

如果系統弱點都已修正補強是否就不會遭受到

駭客的攻擊？答案是否定的。因為駭客還是可

以用其他管道來入侵系統，就像人的身體三餐

飲食正常，天天運動睡眠充足，就不會生病了

嗎？為何還要定期做健康檢查？為的是發現潛

在未知風險，同樣的道理資安健檢的目的是為

檢查企業內部是否已遭受到駭客攻擊或是發掘

潛在未知風險。

麟瑞科技提供的資安健診服務方案，主要是採用

業界知名的解決方案：「趨勢科技 Deep Discover Inspector」(圖三) 產品是以 Smart Protectionode於網路層進行掃描與分析，針對客戶資訊安全的

客製沙箱 (Sandbox)分析系統，以及對網路、電子郵件及端點的整合式偵測，提供進階的偵測系

統來攻擊，有效的偵測 C&C 通訊連線及一般防護無法偵測到的隱匿攻擊活動。

弱點 (依嚴重性 )

1031

1300

1200

1100

1000

200

300

400

500

600

700

800

900

0

100 3682

25

High LowMedium Informational

IBM Tivoli Storage Manager(TSM) Client AcceptorDaemon (CAD) 排程器緩衝區溢位

(MS15-034) MicrosoftWindows HTTP .sys 遠端程式碼執行 (3042553)

Web 伺服器支援過期的 SSLv2通訊協定

Web 伺服器支援弱式 SSL 加密憑證

Apache Tomcat 文件多重 XSS

Apache Tomcat JPS 範例Web應用程式 XSS

Tomcat 行事曆範例 Web 應用程式時間參數跨站台指令碼處理弱點

Apache Tomact SingleSignOnHTTP Cookie 揭露弱點

弱點 (依風險 )

風險等級 偵測到的主機弱點名稱

高

中

高

中

中

中

中

中 1

3

2

1

1

1

1

1

- 101 -

新世代資安威脅與防護

Deep Discovery Inspector 主要運作偵測 (如表一)

● 威脅偵測引擎多種特殊的偵測引擎與事件關聯規則，專門

發掘惡意程式、C&C通訊以及攻擊活動，幾乎涵蓋所有的網路流量，不單只有標準

的 HTTP 和 SMTP。 此 外 Smart Protection Network 和專職的威脅研究人員會不斷更新這些引擎和規則。

● 虛擬化分析單元客製化沙盒模擬分析，採用符合您系統組態

的虛擬環境來進一步分析可疑檔案和網站內

容。客製化沙盒模擬分析可準確偵測專門針

對企業設計的威脅，防止駭客的躲避技巧，

還可排除沒有影響的惡意程式。

● 即時威脅主控台Deep Discovery Inspector 主控台讓您即時掌握威脅情報與深入分析能力。讓您透過程

式來快速掌握關鍵資訊、追蹤威脅源頭、

利用觀察名單來監控重要資源、還有 Threat Connect威脅情報入口網站查詢攻擊的特性。

● 入侵指標 (IOC) 資訊分享Deep Discovery Inspector 能將沙盒模擬分析偵測的最新 IOC 資訊分享給其他 Deep Discovery、趨勢科技或第三方產品，建立一套即時的客製化防禦來防範駭客攻擊。

圖三 Deep Discover Inspector

表一 Deep Discovery Inspector偵測方法

駭客攻擊偵測 Deep Discovery Inspector偵測方法

惡意內容● 含有文件漏洞攻擊附件的電子郵件● 順道下載 (drive-by download)惡意內容● 零時差 (Zero-day)惡意程式及已知惡意程式

● 解碼及解壓縮內嵌檔案● 透過沙箱 (Sandbox)技術模擬可疑檔案● 瀏覽器漏洞攻擊套件偵測● 惡意程式掃瞄特徵和行為分析

可疑通訊

● 惡意程式的幕後操控通訊：殭屍程式、(Bot)檔案下載程式、資料竊取、蠕蟲、混合式威脅

● 駭客後門程式活動

● 目的地分析 (網址、IP、網域、電子郵件、IRC通道 ...等等 )，採用動態黑名單與白名單技術

● Smart Protection Network網站信譽評等● 通訊特徵規則

攻擊行為● 惡意程式活動：散布、下載、散發垃圾● 郵件駭客活動：網路掃瞄、暴力破解、濫用

● 規則式行為分析● 發掘及分析數百種通訊協定與應用程式的使用情形。包括使用 HTTP通訊協定的應用程式

Deep Discovery Inspector視覺化•分析•警示•報表

SIEM 與 IOC連結

ThreatConnect

虛擬化分析單元

觀察名單威脅偵測

網路流量檢查裝置

- 102 -

新世代資安威脅與防護

四、資安健檢導入案例

日前有家學術單位發現校內系統總是被植入惡

意程式但又無法檢查出相關問題，於是求助業

務希望幫忙安排做一次資安健檢，希望能找出

確切的原因。

於是利用趨勢科技的 Deep Discovery Inspector將校內重要主機及 Server Farm及 Core Switch 網路流量 Mirror進來分析 (圖四 )。

經過一至二個星期分析後，發現駭客主要先利

用漏洞 (圖五 )與寄送社交攻擊郵件植入惡意程式取得控制權，再利用內網網路芳鄰方式進行

圖四 健診架構示意圖

圖五 漏洞攻擊

橫向交叉擴散感染。從此一案例即可發現漏洞

修補的重要性與資安健檢帶來全方位的檢查，

發現已知或潛在的未知風險。

Server farm

趨勢科技

[ TRC ]

[ DDI ]

[ DDA ]重點主機

DNS

Mail ServerAD

Mirror

動態

分析

漏洞攻擊來源

- 103 -

新世代資安威脅與防護

結語

面對駭客日新月異的技術，沒有神奇的技術可

以一勞永逸地阻止駭客攻擊，但提前做好準備

如定期更新系統 Patch ，加強資安設備墊高資安防護，能夠對大部分的攻擊進行有效的防禦，

降低企業被駭客入侵的危害。

(作者現任職於麟瑞科技)

資料來源：http://www.trendmicro.tw/tw/enterprise/security-risk-management/deep-discovery/index.html