撰文 / 數聯資安編輯部
前一陣子我們技術團隊協助3S資安訂閱用戶處理一起入侵攻擊事件,所幸3S資安服務團隊第一時間發出告警通知「觸發高風險事件」並阻擋該行為,加上3S資安技術支援工程師察覺異常主動反查攻擊來源IP,才得知整起攻擊原貌,後續並協助客戶蒐證及處理事件,完整且即時的處置使客戶系統與服務未受到影響。該起事件的起因其實源自於2年前被公告的CVE-2018-13379漏洞,當時許多廠牌網路設備都存在此漏洞,而漏洞一揭露後,多家網路設備商也立即修補並通知用戶,包括Fortinet在內。遺憾的是許多企業仍抱持著僥倖心理,但存在企業的漏洞就像是不定時炸彈,不是不爆只是時候未到。
多如牛毛的漏洞公告讓您麻木了嗎?
面對每年被揭露1萬多個新漏洞,(根據NVD資料庫統計,2020年總計公告18,362個漏洞),許多企業MIS看到廠商公告的漏洞訊息早已麻痺,以微軟Windows為例,2020年共被揭露907個漏洞,其中132個列為嚴重等級。這使得許多MIS經常抱持著「有空再更新」、「不會那麼衰發生在我們家」這樣的鴕鳥心態,殊不知企業已暴露在極大風險之中。正如同客戶這起事件,也是因為擔心更新防火牆韌體後影響系統服務,而忽略公告未即時更新。但就像新聞所報導,客戶也因而成為被公告在暗網50萬筆Fortinet VPN帳密的受害者,在新聞發布後不到一週內,就有不正常連線嘗試登入內網系統。後續3S資安顧問團隊除了提供資安事件處置諮詢服務外,也為客戶整體環境提出防護建議(如圖)。Fortinet這起事件也再次凸顯漏洞攻擊武器化的趨勢,一旦有外洩的帳密或攻擊標的在暗網被公告,預先訂閱這些訊息的犯罪集團,在第一時間就能運用手邊其他武器資源發動攻擊,訊息發酵速度非常快。
面對漏洞不用自己瞎忙,為數位轉型打好基礎
不管是Fortinet這類設備漏洞,或是Windows MSHTML漏洞,企業MIS必須有能力理解這個漏洞對企業的影響範圍為何,並知道從哪裡補強。以Windows MSHTML漏洞為例,駭客能利用此漏洞撰寫含有惡意程式的Office文件,若使用者開啟該文件就會遭植入惡意程式。一旦搭配社交工程郵件發動攻擊,使用者極有可能中招。而這類以Office為攻擊對象的漏洞,企業必須能了解優先防護對象是所有PC用戶端,應特別提升PC防護風險等級。而對此漏洞,微軟也釋出3次更新修補程式才緩解漏洞風險。
資安是一門專業,將資安交給專業,企業IT人員可更專注於推動數位轉型,提升企業數位競爭力。如何以巧勁取代蠻力,從容面對系統漏洞及資安威脅?
|