企業有API漏洞怎麼辦?資安團隊靠滲透測試,模擬駭客找到問題!

2017/09/19

資安問題有多嚴重?當企業有API漏洞怎麼辦?專業的資安團隊靠著滲透測試,模擬駭客思維來找到潛在問題,加強企業的網路資安的安全性,並降低企業未來被駭客攻擊的風險。根據消基會和資策會共同合作的針對消費者認知的資安調查報告顯示,80.9%民眾認為資通訊安全威脅日趨嚴重。此外,有83.9%民眾認為企業或政府相關單位應積極提升資訊安全相關機制。

IG也會出現API漏洞?當心恐釀資安危機!

幾乎每週都有資安洩漏問題上新聞版面,最新的受害對象是社群媒體Instagram。官方證實駭客利用 Instagram API 應用程式介面在身份驗證上的漏洞,竊取用戶的電話號碼、電子郵件與聯絡資訊等,主要鎖定名人、明星等特定對。駭客竊取Instagram特定個資的用戶數超過 600 萬個,並將這些個資建立資料庫,以一筆10美元的價格出售,引發外界對 IG 在個人資料保護上的質疑聲浪。
一般大眾可能覺得IG個資被盜沒什麼特別感覺,但事實上每天都在上演資安攻防戰,舉例來說,每個人切身相關的電子支付也存有API漏洞。目前電子支付採取綁定手機號碼,然而盜刷者可經過權限認證的漏洞改變預設手機號碼,讓銀行將驗證碼傳送到盜刷者的手機,再使用電子支付來付款。
從上述兩件案例顯示,API已成為近年來資安新威脅。根據OWASP(The Open Web Application Security Project ,開放網路應用程式安全專案)2017年新版歸納的十大資安風險中,其中兩項新增的風險都與API的安全性有關。
果核數位資安顧問陳昱崇(Zero)表示,隨著行動上網普及,企業蜂擁開發App,但背後的API伺服器卻沒有做好保護措施,讓API存有安全漏洞,導致駭客未經過身份驗證即取得相關資料。導致駭客可利用漏洞在未經身份驗證情況下取得使用者權限或相關機敏資訊。

弱點掃瞄V.S 滲透測試

面對駭客的威脅,企業要做的即是提昇資安防護水位,除了傳統的弱點掃描(Vulnerability Assessment)外,還要深化到滲透測試(Penetration Test)。Zero解釋,所謂弱點掃瞄主要倚賴自動化掃描軟體檢測既有的安全漏洞,但無法檢測出最新的資安漏洞或與邏輯思維相關的漏洞並給予修補建議。滲透測試則是由資安專家團隊,仿駭客思維實際瞭解企業營運模式與系統架構的邏輯進行測試,以實戰方式找出任何可能突破目前的網站安全防護,獲得企業內部資產或資料。藉此找出系統架構邏輯不完整或是其他漏洞風險,並協助客戶制定更完整安全的防禦措施。

Zero進一步補充,滲透測試就是資安專家或有道德良心的駭客(或稱白帽駭客,White Hat Hacker),以假想敵駭客入侵會使用的方法與戰術滲透到企業內部,用其專業技能仔細巡察企業的系統架構是否有未知的弱點,或運作流程有邏輯上的錯誤,並協助改善系統加強安全。若以健康檢查來做比喻,弱點掃描就是利用儀器檢查身體狀況,只能找出目前顯性的病症,但沒有醫師來對症下藥;但滲透測試除了深入分析偵測一般健康檢查無法檢查到的項目外,針對病症協助治療與改善。還能針對病人體質與病症提供正確的治療與改善建議。

資安團隊利用滲透測試,找出網站的潛在問題

以電子支付商務網站的滲透測試為例,果核資安團隊會以整個電商系統的運作邏輯,來思索駭客可能侵入的點。首先分析網站架構、管理流程與商業運作模式,如購物系統怎麼做、訂單後台資料庫系統、金流找誰合作,可使用哪些信用卡或特殊付費模式等,以及委外與自建的程式邏輯問題,再加上員工搭配後台管理可能出現的社交工程漏洞等,模擬不同類型駭客威脅進行實戰攻擊與檢測,找出網站系統的潛在問題,從整體宏觀的角度來分析檢測,確認客戶網站是否有潛在問題,必須加強安全性。

除了網站外,滲透測試人員也會使用APT後滲透測試,從企業內部端點開始試圖取得企業同仁的使用者權限,例如寄送病毒社交工程郵件、使用其他員工帳號信箱,利用破解密碼等方式取得管理權限,以獲得資料庫伺服器內的機密資料的。並可一併檢視整體資安防禦架構設計是否完善,網站防火牆或入侵防禦系統是否有過濾或提出警示。

立即瞭解:滲透測試服務

Zero認為,系統架構是人設計的,事實上所有的資安問題就是人的問題,因為追求便利是人的天性,但便利與安全互為矛盾,如何在安全與便利之間取得平衡,確保在資訊安全之前提下,才能享受資訊便利。

目前以政府機關、金融產業、電子商務或遊戲產業較為積極進行滲透測試。Zero認為,每個產業都需要做滲透測試,只要企業網站與消費者有互動,客戶個資能讓駭客賣錢或企業本身營運價值是駭客有利可圖的,都需要做滲透測試,將企業的資安水位拉到最高以降低受駭風險。

目前有許多白帽駭客實驗室訓練學生,分析駭客攻防手法再進入滲透企業網路進行實戰攻擊,在滲透過程中找出漏洞並提出建議。果核數位在9月14日下午舉辦「駭客思維滲透測試」的資安社群論壇,邀請資安專業講師包括台灣駭客年會 HITCON Community 總召,同時也是戴夫寇爾 DEVCORE 執行長Allen Own、國防大學理工學院電機系助理教授張克勤教授與曾獲得資安技能競賽金盾獎同時也是OWASP 2017 Taiwan Day 的講者Wayne Tseng,分享如何思考假想敵駭侵使用的方法與戰術,讓您一窺白帽駭客如何進行滲透測試,透過知己知彼找出未知的弱點以百戰百勝。



延伸閱讀:
要如何預防駭客攻擊?6步驟教你如何提升網路資安的安全性!

如何防範網站速度的延遲即停機?看國外在特賣期間是如何做到的!

當心!台灣金融業已經成為國際駭客攻擊標的,下一個又會是誰?


數位時代文章來源: https://www.bnext.com.tw/article/46221/security-hacker-test




其他動態