資安處理實務案案例六、國際電子郵件詐騙案

案例事實與背景

一家貿易商發生電子郵件詐騙案，它出貨給東歐的公司，對方收到貨之後接到電子郵件通知付款銀行的帳號異動，就依帳號付錢。

這是小型貿易公司沒有銀行信用狀擔保的困境，必須依賴極為簡單的方法卻又承擔極高的風險。不料發生資安事件，案發後，台商收不貨款，經過電子郵件與電話反覆查證，才知道往來的電子郵件已被攔截，雙方的信件都經過國際駭客攔截，被竄改信件內容，也看到要求修改付款帳號的那封信件。

郵件信箱也遭人設定只要具備特定關鍵字的郵件，就轉發到國外某郵件帳號。

（一）當訪談人員前往該公司要求檢查發信的筆電，由於沒有裝防毒軟體， 因此，當場用偵測軟體掃描，就發現木馬程式，鍵盤側錄等惡意軟體數量多達30多種駐留，更發現公司12人全部都未裝設防毒軟體。相同方式檢驗後只有2台電腦未感染，其餘都已經中毒。發信的筆電中毒後，電子郵件密碼遭側錄，致使駭客得以進入信箱。這次詐騙案公司損失近10萬美金，若使用防毒軟體，一年花費只約數千元左右。非常不對比

（二）這次詐騙案公司損失近10萬美金，若使用防毒軟體，一年花費只約數千元左右。非常不對比。後續兩家也有相似的場景幾乎相同的故事，但是3家國內的業者都因電子郵件詐遍案件發生財損，都是未裝防毒軟體或者防毒軟體過期。

資安事件處理的經過

（一）這三家公司都位於台北市辦公大樓，其中兩家都是醫學相關行業，符合國外資安組織調查醫院相關行業最容易發生資安事件，它們都不像沒錢，只是缺乏正確觀念，喜歡投機取巧，使用防毒軟體很容易降低風險。

（二）找到原因後也檢查作業系統是否更新? 太久沒有更新的個人電腦也容易遭受威脅導致風險。

（三）公司使用應用軟體白名單，使用規定的軟體，不用來歷不明的軟體。駭客經常使用電子郵件的副檔傳遞惡意軟體，郵件含有密碼企圖令客服人員開啟，對於來歷不明的郵件，建議不要開啟。

 (四）最好考慮使用網路白名單，即使內部遭惡意軟體入侵，也無法與外界溝通接受指令。

後續的追蹤

過了六個月之後再跟這些商家聯絡，很高興知道都沒有再發生類似案件。

資安處理實務案例五、更新是最有效防止網路攻擊的措施

案例事實與背景

一家殷實的傳統產業公司四年前進入電子商務的領域，網站的經營每天額外增加上百件的新增業務，老闆很重視公司的名譽，當時發生了好幾件的個資外洩案件，客戶打電話抱怨，老闆苦於無法找到根本原因解決。EC-CERT 工程師在購買商品時，聽老闆訴苦遭受網路攻擊，才提供應變的措施。

（一）這家公司聘用一名網路工程師，用兩台電腦組裝資料庫以及網站伺服器，卻沒有備份機制，當然也無防火牆。

（二）這個網站使用Linux的系統但是有兩年沒有更新，這當然會發生資安事件，除了立即進行更新之外，也建議調整系統成為虛擬主機的架構，檢查系統與資料庫沒有駐留惡意軟體後，再度上線，當然不再發生外洩的情形，面對網路的攻擊，系統持續更新依舊是最有效的方法。

 (三) 經過兩年後，這家公司再度爆發少許個資外洩的問題，這網站使用一種的應用開發系統Ruby on Rails，稍早從資安通報知道這個應用框架發生漏洞，再經過訪談後才知道這兩年應用程式的框架都沒有更新， 經過整頓後，協助與軟體工程師簽約定期維護更新， 至今維持良好的紀錄。

資安事件處理的經過

資安訪視的建議

（一）面對網路各種的惡意軟體攻擊，更新作業系統迄今仍是最有效的方法，一開始這家公司沒有更新作業系統的觀念與機制，完全仰仗應用系統的控制措施，經過一段時日，整體資安防禦能力出現漏洞，使駭客有機會成功利用。

（二）Ruby on Rails 是使用Ruby的程式語言用在開發網站應用系統的框架，這樣的框架，也對網站常見的弱點提供預防性的工作套件，開發後的成品已經具備基本的防禦措施。其實產業的應用框架大都具有同樣的功能。但是框架本身也需要更新以防禦日新月異的各種威脅。

（三）儘管應用程式系統有足夠優異的能力，但是畢竟建立在作業系統的基礎，如果作業系統無法與時俱進，自然開始出現漏洞，維持更新是很重要的項目。

 (四）微軟的系統更新經常固定於每月的第二個星期二，但是駭客往往用逆向工程找出原本彌補的漏洞，在禮拜三發動攻擊尚未更新的作業系統。

 (五) 資安工程師購物跟老闆討論事件，這就是形成通報，這家廠商接受應變的建議，將系統更換成虛擬機，也適時更新作業系統與框架系統，解決了問題，這就是通報與應變的好處。

後續的追蹤

這家公司爾後不僅不再發生資安事件同時也將低了營運成本，老闆很興奮的說明，換成虛擬機並搬到雲端之後，光是冷氣費就足以抵過雲端租金。

資安處理實務案例四、外部網站的弱點

案例事實與背景

這家電商5年前還在使用視窗2003的系統，微軟已經宣布不再支援，但因為公司多年下來投資在這個系統很多人力與資源，以致於無法短期內升級到Windows 2008 R2，不過已安裝軟體WAF保護，弱點掃描只找到SSL的弱點，訪談人員說明這個系統微軟已經不再支援，尤其業界公認TLS 1.2可以提供安全的交易環境? 因此只要解決這個問題，資安事件應該不會發生，但事件依舊持續。

（一）技術人員安裝一台Linux 主機執行TLS1.2 ，再從路由器將HTTPS導向這部linux 主機，其餘不變。原本以為解決SSL的問題之後，情況就會改善，可是情況依舊。

（二）經過鑑識後，發現原來它的資料庫另外提供其他網站使用，公司的主管以為，公司的資料庫管理得很好，如果額外承接另外一部網站儲存資料會是另一筆收入。這個外部網站使用fckeditor，它具有上傳的弱點，駭客利用他將木馬植入網站，藉由這個網站存取資料庫，也建立其他資料庫管理員的帳號。

 (三) 原本不安全的視窗2003系統環境，經過WAF以及TLS1.2 的建置，已經漸低了風險。 但是沒料到與外部系統銜接，卻沒有任何控制措施，這就是風險接受，不算意外的承受個資外洩的風險。

資安事件處理的經過

（一）原本網站已經有了WAF，應用程式也經歷10 餘年的調教，從弱點掃描只找到SSL 的弱點，因此改善的方向從升級至TLS1.2 著手，他們用Linux 接受443 port的方式很好。

（二）沒有料到原本足以抵擋外部攻擊的系統與其他網站分享同一個資料庫導致資安事件， 因為那個網站存在外部軟體的弱點，使用Fckeditor上傳的弱點，很多駭客很喜歡找這個程式並加以利用。

（三）移除這個網站的連結之後，就不再發生資安事件。它原本的防禦機制因為網路埠 443 已經轉換到linux，網路埠80 以及表單都由WAF 保護，只要攻擊面積縮小，降低了風險的發生。

後續的追蹤

經過了4年，雖然常常聯絡資安承辦人，確認一切正常。 使用逾期的作業系統這個作法雖不足取，但是有效的它的WAF防護機制， 一直都有人員經常維護，遇到攻擊的樣式立即封鎖IP 一天，持續檢查防火牆的規則等等。

任何資安人員都不鼓勵使用逾期且不受支援的作業系統。

資安案例三、密碼不改的代價七年七千萬

案例與背景

    兩年前發生一則新聞，一位女子任職於手機通信公司，藉由幫主管登打帳務資料的機會，取得會計系統的密碼，多次修改帳務資料並躲過稽核，將不法取得的手機出售牟利，七年獲利達7000萬。 明明公司的生意很好，但卻一直虧損，經過蒐證才發現這名女子犯罪，現已被判8年徒刑

（一）這名女子趁主管交辦登打資料時，偷偷記下可修改公司會計系統的管理權限帳號及密碼，事後侵入公司電腦會計系統，以「調降手機商品成本、增加手機商品數量方式」，更改銷售會計系統，使帳面銷售金額與實際銷售金額一致，藉此規避公司會計查核，再侵占浮報的手機商品。但是犯案人每月只進入一次修改，非常的小心。

（二）一般資訊資產如智慧財產、帳務資料，交易資料、客戶名單、專案資料等都是，對於公司都是具有財務價值，存取這些資料都有應軌跡資料,可以究責與追查。

（三）在資訊安全的三個層面，這屬於破壞資料的完整性，蒙騙公司高階主管與財務人員以獲利，與一般網路詐騙案利用消費者的訂單資料的機密性以詐騙獲利。前者不需要駭客與車手， 後者需要駭客，詐騙集團，與車手聯手做案。

事件省思

這個案件其實源自於公司重要的資訊資產的密碼長期未更改，這名女子一時被委任接手主管登打資料的工作，取得帳號與密碼，爾後小心的長期利用。因為密碼沒有要求定期更換，使用該項資訊資產的紀錄也沒有人定期稽查。才造成這樣的後果。

這家公司分店有60餘家，理應有資訊人員管理，如果沒有至少也應該每年做一次資安稽核? 但或許公司不知道這樣的稽核對公司的效益為何? 或許公司認為沒有很多的資產設備? 費用是否很高? 直到案件爆發後。

資安稽核的建議

（一）至少要知道組織的資訊資產，並依其重要性予以分級，目的在於知道應該投入何種資源與成本來保護資產，例如購買防毒軟體，建立防火牆等。

（二）規範使用資訊資產的群組，區分使用的範圍以及權限，審查使用人的權限，期限等。以本案為例，這名女子可能臨時指派，如果規範財務群組使用，她可能無從接觸，也避免事件的發生。

（三）公司的資安政策規範使用資訊資產必須可以究責(accountable);凡使用必留下紀錄，任何的資安政策都會規定進入資產設備密碼必須定期更換。

 (四)因此，重視資訊資產也應當每年固定做使用紀錄稽查，針對非上班時間使用，非固定IP使用，異常登入錯誤等疑點進行查核。

資安處理實務案例 二、沒有免費的午餐，資安也是如此

案例事實與背景

    國內一家廠商經營電子商務，業務發展迅速，卻苦於經常性的發生個資外洩案件，從國內ISP機房搬遷至國外著名的雲端機房，也增購了雲端防火牆等保護措施， 但是外洩事件依然持續發生。經深入處理後發現

（一）電商的網站設計已經沒有線上資料庫儲存訂單以及個資，用戶購物下單之後，網站將訂單資料以兩次加密方式暫存檔案，並後送回台灣總部的資料庫，網站加密的檔案立即刪除。

（二）公司總部的ERP 處理系統提供客服查詢客戶訂單資料，但由於已經在公司內部可信任的環境，因此客服進入ERP系統自動解密，因此如果駭客潛伏內部找到ERP，個資資料就會外洩。

（三）在公司內部並未做針對部門業務屬性不同做網路分離， 因為每部電腦都裝防毒軟體。卻曾經在客服的電腦用偵測木馬程式找到大量的病毒。從網路攻擊的型態區分，這屬於內部攻擊，數量最多的一種。

資安事件處理的經過

資安訪視的建議

（一）資安訪查當場發現防毒軟體使用的版本使網路試用版，每三個月必重新尋求使用執照，建議付費購買防毒軟體。

（二）關於ERP 的系統使用建議與其他部門網路分離。

公司內部網路數位鑑識

（一）發現公司內部一半以上的電腦未使用正版作業系統，而是用KMS-R@1nHook.exe以破解金鑰，但卻也發現遭植入VPN等軟體。

（二）多台電腦普遍安裝TeamViewer 並以系統服務的方式開機就啟動。

（三）雖然公司防火牆設定深夜後就斷網但是不會中止已經連線的設備，鑑識的結果顯示數台電腦超過5天以上並未關機。

以上結果可以想見，公司的內部網路實際與外部的網路透過OpenVPN 或者 TeamViewer連接，駭客可能有很大的機會找到ERP 的系統入口。

實際改善措施

一、使用正版的作業系統以及防毒軟體。

二、移除公司內部電腦的TeamViewer 以及OPEN VPN 等軟體 。

三，客服部門單獨使用網路不與其他網路連接，達成網路實體隔離

後續的追蹤

事實證明還真有效，自此以後就不再發生任何的資安事件，當然也沒有個資外洩的案例。 主要癥結在於網站上的加密機制以及沒有真正的線上資料庫的做法，駭客也沒有利用的機會。但是，客服部門以及ERP 系統與內部網路實體隔離的做法，才是有效的防止駭客對訂單資料的獲得。

我國很多小型電商，也可以參考這個案例的做法，將客戶的線上成交紀錄即刻轉移它處資料庫，並限制唯有自家的IP 才能進入，並在內部的網路也限制使用範圍並做網路分離，訂單資料外洩的機會降到最低，自然不容易再發生個資外洩的事件。

使用正版的作業系統以及防毒軟體原本天經地義，也是遵守法律的行為，在這個案例反而彰顯守法直接保護了企業個資的好處。若有使用非法軟體的企業，不要因小失大，不僅觸法也影響聲譽得不償失。

資安處理實務案例一、勿以量小而不為

案例事實與背景

MRTG是一套紀錄網路流量的軟體，每10 分鐘紀錄網路的進出封包數量，以圖形的方法顯示使用紀錄，網路管理著名的軟體。沒料到它居然成為防駭抓漏的工具。

（一）一家著名的上市公司，員工的電腦數量超過1200台以上，其他伺服器也超過上百台。發生資安事件後，導致客戶的個資持續外洩，公司苦無良策，委託著名的資安公司鑑識，但是範圍太大了，經費有限。於是選擇由客戶自行決定可能範圍內的電腦，經過處理後仍舊找不出原因，事件依舊持續…

（二）公司內一位MIS員工，觀察MRTG的紀錄發現到一件異常的事件，對外使用的網路共有7條100M雙向網路， 其中一條線路在晚上的時候，流量無故增加了20K 左右，雖然非常小， 但卻引起注意，使用這條線路的設備不多，晚上更無人使用，追查下發現一部主機潛藏惡意軟體，後續就陸續找出其他潛藏的惡意軟體。

資安事件處理的經過

（一）經過訪談後了解了原因，原本公司使用的網路頻寬，有一半以上是應付阻斷服務攻擊(DDOS)，經年累月持續的攻擊都沒有癱瘓網路，但這只是掩人耳目，其實駭客主要目的運用社交郵件攻擊植入惡意軟體進入公司網路潛伏與擴散。

（二）不同部門的網路建議予以區隔，功能類似潛艇的防水艙。一旦發生惡意軟體，容易識別也不容易擴散。

（三）公司使用應用軟體白名單，使用規定的軟體，不用來歷不明的軟體。

 (四）視情況使用網路白名單，避免公司內部員工使用遠端桌面軟體，遭外部駭客利用，即使內部遭惡意軟體入侵，也無法與外界溝通接受指令。

 (五) 由於公司電腦數量頗多，使用政府組態基準進行一致性的安全性設定。

 (六) 公司內部仍有部份Windows XP 作業系統，建議予以汰除。

後續的追蹤

這家公司爾後就不再發生資安事件了，時至今日，每次談起這個案例，還是有人認為僅有20k的流量不足引起注意。不過，勿以量小而不為，就是異常，才需要去注意。

考取ECSA證照-我在恆逸的學習心得

從事資安這個行業，要面對不斷推陳出新的駭客技術，必須要求自己分析問題的見解與時俱進，只靠自己摸索進步有限，與高手討論或者有系統的學習進步更大。工作上雖然都在處理資安事件，也找了業界好手相互討論，但是對於某一個系統供應商的資安事件持續發生，苦於找不到真正的原因。 ECSA提供一個分析資安問題的框架，主要的目的就是訓練學者成為資安分析以及滲透測試的專業。

目前在台灣應該只有恆逸教育訓練中心(http://www.uuu.com.tw)提供這門課，以前在恆逸參加過一次教育訓練，感覺很扎實，上課的環境也很好，可惜沒有免費午餐，跟其他專業的IT訓練中心不同，這一點我一直耿耿於懷。好不容易公司核准了上課的申請，對於這麼難得的機會，我想中午吃好一點，根據網路的推薦找了一家日本拉麵，結果踩到地雷，隔天還是乖乖地向櫃台繳費，預購便當。

ECSA這門課價格不斐，五天的課程居然要6萬多，當然包含一次考試的費用。如果第一次考不過，還要再花美金500元自費再考一次，再考不過的話，我真的不敢想下去。老婆一開始就告誡，第一次就要考過，在這個壓力下，從開始老師作課程的簡介開始，上課穿插笑話以及時事評論，我都聚精會神，不敢放鬆以及也不能放空。老師在業界很有經驗，不僅是教學，也有資安的實務，所以上課遇到問題就直接開問，以往苦思不得其解的想法，往往就獲得另一個啟發。

我自認為自己是一個認真的學生，所以還沒上課，就跟同事要ECSA的考古題，所以五天的課程結束後，將整個課程講義完整的看過一次，然後開始作考古題，如果做錯就去看講義的部分，確認考古題的答案是否正確(3題答案有誤)。這樣就有了感覺，感覺可能可以考過，之後零星的繼續看講義。中間有一段時間沒有看書，最後一個禮拜我請三天假，將考古題做三次，因為中間沒有看書，感覺很生疏。考試前一天再作最後一次練習，所以我一共做了5次考古題。

總共150 題我對了122題，考古題的答案次序會調整，所以不能只背答案。去看講義的重點的部分要抓關鍵字，答案往往來自關鍵字。約有6成以上來自考古題，有10 幾題很難也沒有見過，出現後都搭配簡單的考古題。 這種類型所以我當初考CEH 看了 10 次就一次考過，這次雖只看5次。因此認真做題目，去比對講義的正確性是很好的做法。對於一些比較難的考題，也不是亂猜答案，而是比較答案的最大正確性回答。參考考古題的心得，有的考題還是可以合理的判斷正確的答案，不要去亂猜。

一定要有會過的信心。雖然中間一段時間沒有看書，所以最後一周準備時有點生疏的感覺，但是看了4次，信心就出來了。要有強烈考試通過的意念建議中間多少也看一點書。講的好像很簡單，但是，我覺得運氣也不錯，很幸運地考過了，謝天謝地。