網路攻擊轉向Web應用程式層 開發階段就開始防範才是治本之道

[digipro]

引用 Digitimes 耿慧茹／台北 2007/07/26

　前言：為了防堵應用程式層的攻擊，造成企業網頁被植入惡意連結，損及形象與獲利，美商Armorize購併X-solve，計畫從主機端與網頁端雙管齊下，提出網站的安全解決方案，不過企業願不願意買單，還得觀察產品的功能與效益能否抓住多數企業主的需求。

從前，確保網路安全的方式，不外乎安裝防毒軟體與架設防火牆，不過，現在這樣做絕對是不夠的。根據Gartner統計，目前超過70%的網路攻擊都是針對Web應用程式而來，也就是所謂的應用程式層（Application-layer）攻擊。

但還有另一個可能會迫使企業更重視Web應用程式安全性的理由，就是Google的大動作；為了強調網路服務的安全，Google利用購併GreenBorder公司，開始為使用者提供網站過濾服務，在使用者搜尋結果中，會自動標示不安全的網站。

Google在全世界的使用率極高，爭取在搜尋結果上的排序，往往是各企業行銷佈局的重點，但儘管在搜尋結果上名列前茅，若是因為網站安全的問題，被標示為不安全網站，不但影響公司形象，也會降低使用者造訪公司網頁的意願。若公司是憑藉網路來提供服務，網站不安全，就會直接衝擊到公司獲利。

在開發階段就偵測網頁安全　是治本之法

大家都瞭解網頁安全的重要性，但究竟應該如何確保網頁安全呢？以企業開發網頁的流程來看，可分為4個步驟，分別為：規格定義期（Define Specification）、產品開發期（Development）、產品測試期（Testing）及產品上線發佈期（Deliver），
在這些流程中都可以控制網頁安全，只是在越前面的階段作，效益越高且所花的成本越少。

要從網頁開發時就照顧到安全的設計邏輯並不容易。多數的開發者對於開發語言的操作或許熟悉，但卻不一定具備該語言的安全認知。美商阿碼科技（Armorize）創辦人兼執行長黃耀文認為，許多開發者因循教科書的編寫邏輯，但教科書的作者未必具備足夠的安全知識，這就可能造成開發上的弱點與漏洞；因循不安全的邏輯所撰寫的網頁，就很有可能產生明顯的漏洞與風險，如果這些漏洞一直未被發現，等到網頁上線，甚至是遭受攻擊時才發現，那時企業的損失就會很高。

為了協助企業自行檢測網頁開發階段的安全，Armorize研發CodeSecure源碼檢測技術，便於開發者自行檢查程式是否符合安全原則；同時在7月也推出採線上服務（Software-as-a-Services；SaaS）的Protector，隨時偵測企業網站中是否被植入惡意程式。

阿碼科技購併X-Solve　期望兼顧應用程式的前台與後台安全

有鑑於既有技術，僅集中在網頁程式的檢測上，阿碼科技在7月宣布購併艾克索夫（X-Solve）。黃耀文指出，2家公司的合併，主要是為了兼顧對於企業網頁的主機端（Host）與網頁端（Web）。一般來說，駭客的攻擊可分為2個層面，1個是以惡意程式入侵網站主機；二則為攻擊網頁本身，如果只針對某一層面來防堵，都會有所不足，因此專注於Web端防護的Armorize，才會期望藉助X-Solve在Host端對惡意程式的偵測技術，以嚴密防護駭客對主機的攻擊。

X-Solve過去主要專精於惡意程式威脅防護系統（MTDS）與智慧型惡意程式分析系統（Archon Scanner），艾克索夫創辦人兼技術長邱銘彰強調，惡意程式分析系統軟體，採用特殊的軟體惡意行為模式分析演算法，而非採用傳統的特徵比對（signature-based pattern matching）技術，無須等待病毒碼的更新，而是直接將攻擊阻絕於主系統。邱銘彰指出，利用直接模擬使用真實情況的方式，並採取類似VMware軟體的機制，讓病毒只能在虛擬環境中發作，隔絕於主系統之外，徹底阻斷零時差攻擊（0 Day Attack）。

事實上，提供網頁惡意程式偵測的還不只是Armorize與X-Solve；資安解決方案廠商趨勢科技（Trend Micro），先前也針對企業客戶推出網頁信譽評等服務（Web Reputation Services；WRS），即根據舊有病毒的特徵，分析網頁可能帶有的風險。趨勢科技台灣區資深技術顧問戴燊指出，WRS透過網域歷史、網域關聯性、垃圾郵件特徵、網址分析等技巧來判斷網站風險，並提醒使用者不要點擊、進入，以避免被植入惡意連結。

邱銘彰強調，X-Solve與一般資安廠商的惡意程式過濾解決方案最大的不同，在於一般廠商是提供網頁過濾的服務，以避免瀏覽者中毒；而X-Solve則是從企業網頁安全維護的角度來看，在與Armorize結盟後，期望照顧企業網站與各種網頁應用程式，從設計到運作階段的各層面安全。

預先檢測網路安全立意雖佳　但適用性與企業接受度仍待觀察

這樣的產品誠然能夠大幅度提升企業網站的安全，不過仍有幾個重點值得進一步思考。首先，儘管目前企業已經逐漸認知到，若在網頁開發階段就利用偵錯工具檢測可能的弱點與漏洞，是治本之法，不過，由於早先缺乏這樣的工具，且目前業界也幾乎沒有相類似的軟體產品可供選擇，因此，要如何向企業端推廣、說服他們使用這樣的工具，Armorize還需要加強行銷作為。

由於CodeSecure目前僅能支援PHP與J2EE（JAVA與JSP）等網頁語言，至於也為許多企業所使用的ASP與.NET語言，則要等到下一代版本才支援，無法覆蓋到所有使用者的開發語言，使得產品打開市場的速度會比較慢。

此外，值得注意的是，當程式設計者的設計理念有所不同時，有可能會被源碼檢查軟體誤判。儘管程式原始碼檢測工具CodeSecure Verifier，可針對一些特定的資安弱點，如XSS跨站腳本攻擊、SQL資料隱碼攻擊、後門嵌入攻擊、命令注入攻擊、檔案注入攻擊、以及XML/Xpath攻擊等弱點來進行檢測，但程式開發者可能擁有與檢測原則相衝突的設計理念，這些撰寫程式的想法，雖並不一定形成弱點，卻被產品偵測為弱點時，對於網頁設計者來說，不啻為是一種開發上的干擾。

大多數企業的網站，並不需要符合最高規格的安全標準，也就是說，他們能夠容忍網站的些許弱點與漏洞存在；而對於網站安全有極高標準的企業來說，也不一定非得仰賴這樣的產品來照顧網站安全。如：金控單位，或是大型購物網站等，基於對廣大消費者資料的保護責任，必須對網站安全採取高度保護策略，這些公司除了採購網頁源碼偵錯工具來增加網頁安全外，亦可選擇聘僱資安人員，專職網站安全的弱點偵測、改良。對多數企業主來說，1位專門的資安人員，或許比軟體產品更值得信賴， 這也是阿碼科技要努力說服企業採用的挑戰。