新闻链接：
http://www.ithome.com.tw/news/94778
新闻时间：
2015-03-25
新闻正文：
在台湾替许多电子商务公司、网站公司以及政府部门提供资安咨询顾问服务，和以骇客攻击思维提供渗透测试服务的戴夫寇尔执行长兼共同创办人翁浩正，即将于4月初在iThome举办​​的台湾资讯安全大会担任主讲者。

他专研骇客攻防技术已经超过10年，创办资安团队NISRA并培育相关资安技术人才，他在研究生时，还曾经赢得资安技能金盾奖竞赛2010年亚军和2011年冠军，曾经担任过台湾骇客年会（HITCON）副总召，目前仍是核心成员之一，持续担任国内企业、学术及政府单位资安讲师及顾问，并曾进行多件政府单位渗透测试专案。

他认为，台湾负责资安的IT人员应该要避免，只仰赖资安设备发挥功能而不穷究资安事件发生的原因，而当嵌入式系统及物联网装置陆续被骇客作为傀儡电脑跳板和中继站时，企业应该要有意识对相关产品做检测或隔离以确保安全性。以下为书面采访内容：

就你的观察，台湾企业网站最常犯哪些资安毛病？是否也和OWASP中所列的资安威胁类型一致呢？

台湾网站​目前最常见的还是​​以下5种常见的资安老毛病，从跨站脚本攻击（Cross-Site Scripting​，XSS）、注入攻击（Injection）、​跨站冒名请求（Cross-Site Request Forgery，​​CSRF）、​商业逻辑漏洞（Business ​Logic ​Flaw​）以及资讯泄漏（Information Leakage）等，而前三种更是名列OWASP前10大资安威胁的排行榜中。

这些企业网站的资安毛病，带来哪些后遗症？

除了导致企业的个资外泄外，有些个人资料也会卖给诈骗集团，成为诈骗集团谋利的工具，更严重的是网站主机遭到入侵，骇客渗透至企业内网，企业资料全都露。

更让人担心的是，台湾有不少电子商务网站或者是有导入金流的网站，因为对网站都没有正确的保护方式已经发现部分电商网站，即使是一般人，也可以尝试修改消费金额，造成企业损失，而只要用一般的工具拦截浏览器连线就可以修改了。

去年包括Heartbleed或者是Shellshock等重创网站资安，甚至有漏洞存在超过10多年，企业真正面对的网站资安隐忧为何？

​企业面对存在那么久的资安漏洞，往往也表示，企业IT人员并没有落实应有的资安作为，可能连基本的弱点修补或升级都没做到。

除了没有落实漏洞修补外，许多企业IT人员普遍面临的共通问题则是，过度依赖或习惯使用资安设备的防御功能，甚至觉得，只要设备可以发挥防御功能，可以阻挡外部攻击就能万无一失。

但进一步细究，企业资安真正的风险却在于，攻击者有能力绕过各种资安设备，甚至可以直接入侵资安设备而进到企业内部，但企业负责资安的IT人员却浑然不觉其严重性。

企业IT人员又该如何避免过度仰赖资安设备提供防护的因应方式？

「态度决定高度」，重点是，企业的IT人员必须避免侥幸、便宜行事心态，彻底落实渗透测试（PT）等资安检查，切勿因为成本考量而只使用自动化的资安工具、扫描了事。

态度改善之外，也必须加强监控机制，增加企业内部的监控以及SIEM等检查机制，以便于企业遭到入侵后，企业负责资安相关的人员，都可以在第一时间得知并掌握异状。

黑箱的渗透测试和白箱的源码检测，究竟孰优孰劣？

黑箱白箱各有优缺点，搭配得一，就是企业最好的防御工具。

首先，黑箱检测比较能确实知道，当企业面对外界威胁时的自我防御能力，可以真正检视企业目前的防御等级；再者，可以透过真实的方式，得知攻击者可以透过哪些漏洞取得哪些资料，并藉由资安公司的评估，来做快速、有效的漏洞修复。

至于，白箱测试的话，因为目前多半还是使用自动化工具进行测试，会产生数百页甚至上千页的报告书，对企业来说帮助不大，甚至造成负担。这些都是不佳的资安服务提供者，将分析报告的时间成本转嫁回企业客户身上。

那企业应该如何搭配黑箱和白箱检测，达到最大效果呢？

白箱黑箱各有好处，通常我们会先建议客户进行黑箱检测，日后再导入白箱。​建议企业可以先针对黑箱渗透测试的精准检测修复完毕之后，再导入白箱扫描机制至开发流程中，针对小部分每次异动的程式码进行扫描，才能最有效的确保程式码开发的安全。

包括物联网（IoT）、穿戴式装置等，是今年必须持续关注的资安关键议题吗？

我们​从一些资安事件的研究报告​中发现，目前嵌入式系统、网路设备及IoT等相关设备，在这几个月的攻击事件中，都被拿来作为中继站、傀儡网路（Botnet ）。因此，这些设备的安全性，势必是企业今年重大的资安课题。

面对这样新型态威胁，企业应该怎么预防呢？

由于目前尚没有一个合格的标准，可以证明上述相关设备没有隐含资安问题，只有负责任的设备厂商，会自行找资安公司进行检测，确认该设备无安全疑虑。

因此，企业目前仅能要求厂商提出安全证明（检测报告）、自行进行检测，或者是将外购设备进行企业内部隔离监控，确认不会因这些设备而导致企业被入侵。

若要评比台湾和其他国家对于资安防御的能力，你觉得台湾的评分为何？

很难给予台湾资安做评分，但相较于其他国家对于资安的重视程度、应变能力，其实都高上台湾一截。

我们可以从资安人才的培育计画、竞赛成果、面对大型资安事件时的应变能力、国家政府对于资安事件的作为等，都可以看出，台湾离真正安全的资安环境，还有很长一段路要走。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课