2008年12月22日 星期一

同樣的防毒軟體為何A公司有效,B 公司沒效?

反應: 

資安採購決策過程中,同業的網路安全架構是參考指標之一。但是企業常面臨一個普遍的問題:同樣的防毒軟體,安裝在 A 公司有效,安裝在 B 公司未必達到同樣的效果。趨勢科技長期支援各產業 IT 部門的技術支援專案經理人(Technical Account Manager, TAM),將在本文為您解析箇中源由。
在我們接觸的案例中,外在條件一樣的公司,有些一天平均發生6-7件病毒事件,有些卻對照強烈的一天只有一件(後者的內部電腦使用台數甚至比後者多出一大半),這些中毒較頻繁的公司往往有以下共通性:

  • 公司的Policy 不夠強勢,無法嚴格落實資安政策
    資安政策較嚴謹的公司,.對員工與外來廠商都採取強勢的措施。有些甚至在門口設金屬探測器,舉凡USB、照相手機任何有可能帶走資料的都無法入境,連洽公廠商的筆記型電腦都要用易碎標籤彌封。除此之外,外包廠商約聘人員每個月都要在確認防毒軟體確實安裝、病毒碼更新完畢後貼上准許使用標籤,因此發生資安事故的機率低。另一個相反的案例是,某些Power user 覺得電腦運作不順暢,將自己的筆記型電腦重灌卻沒有安裝防毒軟體,結果中毒而影響整個公司網路不通。
  • 研發人員比例影響資安政策的執行強度
    在趨勢科技建議的資安政策還沒派送執行之前,我們回報的數據是研發產業中毒比較多,而製造業在資安政策的執行度則相對較高。資安政策不見得被全盤接受的原因在於不能到網站下載檔案,會引發內部反彈阻力。所以只能採取比較被動的作法,比如內部中了網頁病毒後才把該 URL列入禁止瀏覽的黑名單等等。
  • 習慣把 Google 當資安顧問
    根據趨勢科技一項隨機調查顯示,多數 IT 管理者遇到資安疑惑或系統出現異狀時,第一個反應是藉由 Google Search尋找相關答案。這個經常性的動作,往往中了網頁掛馬病毒而不自知,甚至感染其他使用者。
    下表是趨勢科技的免費的網頁掃毒工具 WRS 統計分析結果顯示,其中台灣網友被阻擋的惡意連結(包含轉址)主要來源是大陸。光是 10 月份就有7,773,173 次中國黑心網頁被 WRS 阻擋,除了上網瀏覽到被植入惡意連結的網站外,也有可能安裝 BHO 等瀏覽器 Plug in 時遭背景轉向至惡意程式所在地的大本營-中國網站。
  • 多數未曾即時察覺背景轉址
    WRS分析結果呼應了這篇報導 微軟:木馬是最大威脅 瀏覽器攻擊在中國最普遍 。這些背景安裝的惡意程式,不會敲門或按電鈴就直接跑進你家躲起來,然後呼朋引伴(自動下載其他惡意程式)準備大展伸手了。節錄前述微軟報告說的:「中國高居首位是因為當地的軟體開發者在寫程式時,尚未建立考量安全的習慣,而龐大的市場也成為惡意軟體寫手的顯著目標。」
    因為目前大部分的網頁惡意檔案都是在中國,駭客集團採用分工運作模式,通常是先攻擊一般的網站,比如插入iframe 指到中繼站,中繼站再指向下載惡意程式的網址,但是一般使用者瀏覽時不會去注意到的背景正在執行轉向的作業。
    所以不管你有沒有在網址列輸入結尾是.CN 的網址,都有可能因為瀏覽到被置入惡意連結的網站,而被引導至帶有木馬等惡意程式的中國黑心網頁。
  • Power User 擅自卸載防毒軟體或重灌電腦
    我們曾接獲很多案例是Power user  習慣在電腦不順時,把自己的筆記型電腦重灌,而這些未將防毒軟體重新安裝的筆記型電腦卻從此成為資安防護網的漏網之魚,多起案例均因此造成網路癱瘓。
  • 未曾遭受重大的資安事件,沒有切膚之痛
    不可諱言的落實資安政策的公司,往往是遭受過重大資安事件後,導致生產力大量損失後,才得已順利推動。執行率開始提升往往是在有人被殺雞儆猴後才大力發揮作用,比如違反者當年考績掛零,擅自偷渡使用 USB 者開除。「從此之後資訊安全部門,發佈的消息就是聖旨,像天條般不得違背。」一位 MIS說。

建議:除了防毒軟體之外,更要落實資安政策,以達到事半功倍的效果

趨勢科技曾觀察到一個值得探討的現象:一台電腦偵測到上萬隻的病毒,但是中毒的卻不是該台電腦,而是被其他電腦攻擊。而攻擊的電腦沒被偵測出來的原因之一是該用戶端卸載防毒軟體。
若以偵測的數量來看,有公司平均一個月下來,偵測到最多的病毒數量的電腦頂多20多隻,但也有企業一台電腦會被偵測到上千或是上萬隻的病毒數目。有這樣的數字差別,主要還是資訊安全管理的政策面以及執行面有不同。
依據趨勢科技的經驗,有些企業當發生問題後,主管會持續追蹤問題的原因以及是否已經獲得解決。並會依照這次的問題經驗,提出相對的防護措施以及政策,並且強烈要求所有單位遵照辦理。
對比的案例是,該企業常常會問其他公司的做法,但不見得全部都照單全收,原因是他們IT會遭受到使用者的反彈而會有所顧忌而不敢實施。前述中毒報告較少的企業還會透過內部稽核的方式來做強烈的要求。
在趨勢科技的經驗裡,有兩間公司所使用的趨勢科技產品與設定完全相同,僅僅在政策面的執行強度不同,但呈現的資安成效卻是兩極化的結果。

總歸一句:除了防毒軟體之外,也要同時落實資安政策才能事半功倍。

趨勢科技建議:

一、 閘道端確實防護與管理
如果未做好閘道端的防護與管理,很容易發生內部大量病毒爆發的事件,甚或導致企業內部資訊外洩。建議採用InterScan Web Security Suite/InterScan Web Security Appliance 閘道端網頁防護機制。

二、 網頁伺服器確實進行嚴謹的權限控管及相關的漏洞修補
正常網站遭受不明入侵(例如:SQL Injection)的情況與日俱增,網站應針對網頁伺服器確實進行漏洞修補並提升網頁相關應用程式的嚴謹度。若伺服器應用程式的權限控管不當,將導致病毒在企業內部迅速流竄,甚至造成相關應用程式無法運作。

三、審慎評估移動式儲存裝置的管控
企業主應審慎評估對於各種移動式儲存裝置的管控,USB病毒一旦透過網路連線,往往可造成更嚴重的病毒感染及資料竊取,進一步成為重大網路威脅的手段。建議採用資料外洩防範解決方案( Trend Micro LeakProof )並透過用戶端即時監控防範病毒疫情擴散。

此文章轉貼自 2008技術通報 - 同樣的防毒軟體為何A公司有效,B 公司沒效? - Trend Micro Taiwan