F5發表2018應用保護報告 直指企業應用將成為駭客的提款機

俗話說:「最瞭解你的人,是你的敵人」,對企業資訊安全來說,最好的防禦方式,就是比駭客更早一步瞭解自己的弱點。

「現今企業的資訊安全最重大的挑戰,在於87%的企業開始在多重雲端(Multi-cloud)的環境中部署應用系統,導致企業網路暴露出非常多可供駭客攻擊的弱點。」F5 Networks台灣區總經理張紘綱表示在今年與Ponemon Institute一同合作發表的《2018 Application Protection報告》中,有53%的網路攻擊行為已經轉向針對應用系統而來,其中有33%的特定攻擊目標更是朝著使用者認證(User Authentication)而來。

F5 Networks台灣區總經理張紘綱

前端應用是後端資料庫的閘道器

為什麼駭客們紛紛將注意力投向應用系統?「因為對攻擊者來說,前端應用系統等於是進入後端資料庫系統的閘道器,」F5 Networks台灣區資深技術顧問許力仁明白指出關鍵因素,「只要能夠找出前端應用系統的漏洞,攻擊者幾乎就等於可以長驅直入後端資料庫系統任意取用,這也是為何帳號密碼外洩的案例層出不窮的原因。」

既然如此,為何多數企業仍然無法做好應用系統防護呢?

「因為應用系統的環境十分複雜,」許力仁說明:「根據《2018 Application Protection報告》中的結果,平均每家企業已建立或正在使用的應用系統高達760個,負責的單位各有不同,沒有統一的窗口,且應用系統的實體位置可能在資料中心,也可能在不同的PaaS平台上,資訊長難以進行統合防禦。」

F5 Networks台灣區資深技術顧問許力仁

正因為企業應用系統如此多樣,企業在制訂防禦策略時,必須從最有效益-意即最不能夠中斷或出錯的系統開始防護起。根據《2018 Application Protection報告》的調查結果,有多數企業認為電子郵件(81%)、遠端存取(74%)、文件管理與協同作業(62%)、辦公室軟體(57%)與備份儲存(51%)等應用系統,必須優先保護。

「不過台灣企業客戶的習慣卻與全球調查結果不同,一談到應用系統防護,多半是先採購WAF (Web Application Firewall)來保護網站,而欠缺全面的應用系統安全策略,忽略了其他應該要更優先保護的系統。」許力仁表示。

F5 Networks為傳統的應用層定義中,再細分出5大層面,包括網路、DNS、TLS/SSL、存取與服務,協助企業有效制訂應用層安全策略。

新興應用層攻擊行為

既然駭客們開始找企業應用系統的麻煩,那麼企業必須該注意哪些未來的應用層攻擊趨勢呢?許力仁特地整理出以下趨勢提醒台灣企業必須格外注意。

PHP Injection攻擊:從去年開始,大量爆發針對PHP而來的注入攻擊(Injection),特別是用Deserialization的手法,讓駭客能夠取得PHP網站的管理員權限。當PHP網站傳送資料時,需要先進行所謂「序列化(Serialized)」的動作,將所有的資料擠在一起,形同一個超大的cookies。因此駭客可以修改序列化資料來攻擊後端的資料庫,可說是防不勝防。

應用層DDoS攻擊:和可達每秒上百萬次的網路層DDoS攻擊相比,應用層DDoS攻擊有個天生優勢-只要比人快就可以了,因此對Anti-DDoS設備來說,應用層DDoS攻擊反而不容易被發現,即使是DDoS清洗中心都難以發現,也導致有74%的DDoS Bot在這兩年內大量出現。

回放式(Reflection)攻擊:這是一種非常狡猾的攻擊方式,利用本應保護Web伺服器的內容遞送網路(CDN),反過來攻擊後端的Web伺服器。其原理是攻擊者向CDN Server發出查詢,詢問並不存在的物件,導致CDN不斷回頭詢問Web Server,若結合全球分散式攻擊網路節點,甚至可將攻擊查詢擴散到其他的CDN Server,等於這些CDN Server對後端的Web Server發起了DDoS攻擊。

立即改善應用系統安全的五大步驟

F5在7月份於台北舉辦F5 Anticipate 2018大會,建議台灣企業可立即採取五大步驟,改善企業應用系統的安全性。

  1. 了解你的環境:知道自己擁有那些應用程式以及它們存取的資料庫。協同開發團隊,同步追蹤應用程式、未來計畫和開發環境。
  2. 減少攻擊面:攻擊者將會在網際網路刺探任何可見的應用服務以尋找可能的入侵點。
  3. 依照風險設定防護優先性:一旦知道那些應用程式具有重要性,並且將攻擊面減至最小後,下一步就是找出需要額外資源的應用程式。
  4. 選擇彈性且整合的防護工具:你需要一個良好但可管理的強大彈性方案,以涵蓋既有和新興威脅的預防、偵測和復原需求。
  5. 將安全性整合到開發程序:比較有效率的方法是一開始就避免留下安全漏洞,而非等發現新問題才進行修補。
關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416