案例事實與背景
一家殷實的傳統產業公司四年前進入電子商務的領域,網站的經營每天額外增加上百件的新增業務,老闆很重視公司的名譽,當時發生了好幾件的個資外洩案件,客戶打電話抱怨,老闆苦於無法找到根本原因解決。EC-CERT 工程師在購買商品時,聽老闆訴苦遭受網路攻擊,才提供應變的措施。
(一)這家公司聘用一名網路工程師,用兩台電腦組裝資料庫以及網站伺服器,卻沒有備份機制,當然也無防火牆。
(二)這個網站使用Linux的系統但是有兩年沒有更新,這當然會發生資安事件,除了立即進行更新之外,也建議調整系統成為虛擬主機的架構,檢查系統與資料庫沒有駐留惡意軟體後,再度上線,當然不再發生外洩的情形,面對網路的攻擊,系統持續更新依舊是最有效的方法。
(三) 經過兩年後,這家公司再度爆發少許個資外洩的問題,這網站使用一種的應用開發系統Ruby on Rails,稍早從資安通報知道這個應用框架發生漏洞,再經過訪談後才知道這兩年應用程式的框架都沒有更新, 經過整頓後,協助與軟體工程師簽約定期維護更新,
至今維持良好的紀錄。
資安事件處理的經過
資安訪視的建議
(一)面對網路各種的惡意軟體攻擊,更新作業系統迄今仍是最有效的方法,一開始這家公司沒有更新作業系統的觀念與機制,完全仰仗應用系統的控制措施,經過一段時日,整體資安防禦能力出現漏洞,使駭客有機會成功利用。
(二)Ruby on Rails 是使用Ruby的程式語言用在開發網站應用系統的框架,這樣的框架,也對網站常見的弱點提供預防性的工作套件,開發後的成品已經具備基本的防禦措施。其實產業的應用框架大都具有同樣的功能。但是框架本身也需要更新以防禦日新月異的各種威脅。
(三)儘管應用程式系統有足夠優異的能力,但是畢竟建立在作業系統的基礎,如果作業系統無法與時俱進,自然開始出現漏洞,維持更新是很重要的項目。
(四)微軟的系統更新經常固定於每月的第二個星期二,但是駭客往往用逆向工程找出原本彌補的漏洞,在禮拜三發動攻擊尚未更新的作業系統。
(五) 資安工程師購物跟老闆討論事件,這就是形成通報,這家廠商接受應變的建議,將系統更換成虛擬機,也適時更新作業系統與框架系統,解決了問題,這就是通報與應變的好處。
後續的追蹤
這家公司爾後不僅不再發生資安事件同時也將低了營運成本,老闆很興奮的說明,換成虛擬機並搬到雲端之後,光是冷氣費就足以抵過雲端租金。
沒有留言:
張貼留言