擔心網站商業機密安全?

害怕駭客攻擊,企業名譽受損,造成金錢損失,使網站淪落成僵屍網站?

安裝WAF隨時作好最新防禦,為你的網站擋下各式各樣的入侵方式。

WAF 是防禦網站最佳夥伴,封阻駭客,即時升級最新防禦。
WAF 保障電子商務的安全性,捍衛企業無形資產。
政府把關,網站要求資安防護。
WAF服務介紹
WAF Introduction

WAF 是什麼?

WAF 全稱是 Web 應用程式防火牆,屬於軟體型防火牆,保護的對象是網站主機。WAF 能夠防禦各種針對網路應用程式的攻擊手段,ASP、PHP、CGI、JSP這 些都屬於網路應用程式。

WAF具備如下特點:

可以防禦 多種攻擊手法

軟體升級 隨時自動更新

支援主機 多種系統模式

清楚顯示 程式漏洞所在

詳細記錄 攻擊手法來源

依據狀態 微調繁瑣設定

WAF 是防禦網站最佳夥伴

駭客攻擊隨時推陳出新,用盡手段攻擊網站。WAF(Web Application Firewall) 研發團隊也總在研擬新的對策、新的因應方式。即時針對新型態攻擊方式,更新資料庫進行軟體升級。使網站擁有最新的防護,免於因為陳舊的資料庫,慘遭入侵成功。與駭客對抗,是漫長無止盡的攻防,WAF 隨時更新永不怠懈,保護客戶網站。

補強網站資安,裝 WAF 作起
會員個資、訂單紀錄、帳務資訊,透過網站累積的資料是一家企業的重要資產。確保資料庫安全無虞,不會遭駭客偷取,是 MIS 首要任務。許多企業改善網站安全第一步,從安裝 WAF 開始,將駭客抵擋在外。
網速不明變慢 網站遭駭利用
曾有小型企業 MIS 發現,網站不定時連線速度變得緩慢,才發現網站被駭客當成跳板,被利用去攻擊其他網站。裝設 WAF 之後,為網站過濾掉惡意的連線行為。
政府把關 網站要求資安防護
因應近年對於政府資安逐漸的重視,安裝 WAF 能應對常見的駭客手法,過濾惡意的連線攻擊,作到最基礎的防禦措施。
善用 WAF 使程式趨近完善
重視資安、態度嚴謹的客戶,在網站製作階段,即租用 WAF,讓網站一上線即可趨近完善。

客製化 WAF 防禦架構

一些看似無關緊要的徵兆,可能是網站遭入侵的警示!此時如果你等閒視之,等於敞開網站歡迎駭客光臨。請提高警覺,切莫等到網站已無可救藥,再來後悔莫及。您的網站如果有如下情況,或許就是被駭客盯上了。

網站連線速度忽快忽慢

客戶接到網站詐騙電話

網頁遭到有心人士竄改

公司網站流量大量增加

遵循服務 SOP 發揮 WAF 最大功效

第一步為網站進行弱掃,精準揪出漏洞所在。安裝 WAF 完畢,根據報告結果,逐項調整設定值。後續持續觀察網站運作狀態。

網站進行 弱點掃描
幫客戶網站作弱點掃描,分析漏洞風險及所在網頁。
工程專業 解析報告
分析哪些漏洞務必要修正程式,哪些則可以由 WAF 防禦。
安裝 WAF 調教設定
依據報告內容,逐步調整網站每一個項目的設定數值。
觀察網站 監控運作
裝完 WAF 觀察網站運作,檢視是否影響流量或連線品質。

危機解除 成功封阻漏洞風險

比對安裝 WAF 前後的弱掃報告,可發現高風險性的數值明顯降低,證實程式漏洞被 WAF 確實封阻,客戶可進一步透過報告得知,每個程式漏洞的風險嚴重性有多高,以及存在於哪個網頁或哪支程式中,明白過去網站曝露在多大? 危機當中,WAF 為網站阻擋了多少風險!

活用 WAF 為你的網站擋下各式各樣的入侵方式

IIS 伺服器安全

一直以來,微軟產品給人的印象就是不如同業的那樣安全。尤其是微軟 IIS 伺服器,微軟把許多 IIS 功能預設為開啟的狀態,導致衍生不少安全性的問題。

不用複雜繁瑣的設置步驟,IIS 伺服器很快就能設定完成,讓網站上線運行。因此,不少使用 IIS 的網站管理員安裝完畢後,懶得多設定幾個步驟確保他的網站程式安全。駭客就是看準這一點,入侵伺服器及網站。

越來越多的駭客針對網站程式進行攻擊,所以微軟很努力的提升所有產品的安全性,當然包含 IIS 伺服器在內。第 6 版 IIS 伺服器中,微軟將許多功能的預設狀態改成關閉。第 7 版中,微軟盡可能減少安裝步驟,減少預設安裝的元件數量,降低駭客嘗試攻擊的可能性。

IIS 相關的潛在風險

雖然微軟大幅改善 IIS7 的安全性,但是把 IIS7 當作網站伺服器仍有許多需注意的風險。記住!微軟是以讓網站管理員便於操作為導向,而非網站安全性。現在可以透過瀏覽器操作 IIS 伺服器,因此導致風險性大增。

安裝軟體太容易

利用 Windows 系統,可以簡單地完成安裝 WordPress、Joomla 或 ZenCart 這一類程式,但同時也帶來風險。網站管理員對於程式的風險漏洞沒有一絲警覺性時,一不小心,可能把危險軟體裝到伺服器上。當然,還是可以透過下指令的方式或 GNU / Linux shell 安裝應用程式。但管理員能善用這些工具時,他們對於基本安全風險會更有警覺。

惡意軟體帶來的傷害

許多網站管理員仍對紅色代碼病毒 (Code Red) 以及 Nimda 蠕蟲對於 IIS 伺服器造成的傷害記憶猶新。當時駭客透過 DDoS 攻擊及路徑探索 (path traversal) 等方式,任意竄改網站或攻擊網站。

由於微軟樹大招風,永遠是惡意軟體攻擊的目標之一。即使微軟的工程師盡心盡力修補已知漏洞,但數以千計的惡意軟體仍在外散布,對微軟伺服器造成極大的威脅。

保護 IIS 伺服器

如同其他伺服器一樣,必須採取某些步驟強化 IIS 伺服器的安全性。雖然防禦惡意軟體、入侵檢測/防禦系統、網路防火牆,和其他工具和技術可以防禦部分的攻擊,卻無法充分抵抗由已安裝的第三方軟體所發動的攻擊。

WAF 可以抵禦 IIS 伺服器以下漏洞

路徑探索 (Path Traversal) / 已知蠕蟲 / 遠端命令執行 / 探針 (Probes) DDoS 攻擊 / 伺服器入侵

透過執行 SaaS(Security-as-a-Service) 解決方案,無論網站管理員功力厲害與否,WAF 能為網站伺服器提供保護,為網站程式避免掉許多威脅。透過檢測分析網站流量內容,確認是否符合或違反通訊協議、port 或 IP,避免網站程式被攻擊。WAF 能提供優化後的防禦服務,防禦 DDoS 攻擊、XSS 跨站攻擊、SQL Injection、path traversal 以及其他網站攻擊技術。

為何 IIS 伺服器需要 WAF?

抵禦過去已知和最近新興的駭客攻擊手法

提供最佳化即時防禦的預設安全規範

提供管理界面及 API,輕鬆管理多台服務器

不需另外增購硬體設備,且能彈性擴充

避免攻擊的必要性

每年因為網路犯罪造成的損失高達數億美元。比起損失的金錢和遭竊的資料,企業應該更在乎名譽受損帶來的傷害。當網站出現漏洞時,用戶或者訪客就會開始質疑網站的安全性。而且如果搜尋引擎在網站上發現惡意軟體或垃圾信件時,就會把網站標示為惡意網站,將網站從搜尋結果中刪除,導致網站合法流量大幅下降。

雲端安全

現在已經有越來越多的企業開始了解雲端運算所帶來的企業優勢:

有效降低企業的 IT 總體成本

IT 管理方面更具彈性

降低 IT 硬體及資料的管理成本

透過自動更新,降低程式管理成本

提供更大的雲端資料儲存空間

雲端的潛在風險

雖然雲端運算對企業來說非常具有優勢,但也不少專家指出,雲端仍需要考慮安全性的問題。雲端運算的潛在風險:

資料交給別人管理的事實及風險

選擇將企業資料移到雲端上,表示你需要非常信任你的主機商。基本上,他們算是監控你所有的網路資料。如果主機商無法為客戶提供充足的資訊安全防護的話,駭客攻擊便會蜂擁而至。SQL Injection 攻擊、盜用伺服器、session hijacking (會話劫持)等攻擊手法都將導致你的企業資料暴露在他人的監控之下。

交由他人幫你管理程式的風險

許多企業已經把網站程式視為不可或缺的一部分。將網站搬到雲端上,必須更加嚴格監控管理這些程式。雲端雖然便利,安全卻更加重要。當主機服務商進行必要的軟體更新時,並不會幫你們家檢視程式碼的潛藏漏洞,確保企業資料是否安全,或者程式能否抵禦 XSS 跨站攻擊之類的入侵。

保護網站的概念已經改變

雲端的本質就是資源共享的概念。雲端安全的概念跟傳統的資訊安全大不相同。例如使用 Amazon 的網站服務時,你會發現無法檢查 LOG 或是使用流量監測和入侵監控系統等部屬工具。甚至部分主機商的服務條款禁止進行網站漏洞掃描,更別說進行原始碼檢測了。如果你的網站必須合乎 PCI 標準規範的話,還是乖乖裝 WAF 吧!

保護雲端安全

雖然藉由雲端運算跑資料執行程式有一定程度的安全疑慮,然而 Google、IBM、Amazon 及 IT 大廠強力推動健康照護以及電子商務等雲端服務,意味著這些安全疑慮是未來雲端發展不得不克服的問題。

部屬 WAF 便是保護網站程式及資料的一種方式,雲端服務商不需額外增添硬體設備,可以安裝在網站程式前面提供保護。

WAF 可以抵禦雲端以下漏洞

當部屬完成,WAF 即可為網站程式抵禦以下已知的威脅:
路徑探索 (Path Traversal) / 已知蠕蟲 / 遠端命令執行 / 探針 (Probes) / DDoS 攻擊 / 伺服器入侵 WAF 也能深入執行傳統的安全檢測,例如深度檢測網站服務的流量分析,而這種威脅卻是入侵檢測系統和入侵預防系統常常疏忽掉的。

避免駭客攻擊的必要性

不少企業縮減 IT 部門規模,雲端計算這類能有效縮減成本的服務,越來越受企業歡迎。雖然主機商提供雲端管理服務,企業仍必須合乎安全規範。為了符合 PCI DSS 標準規範、HIPAA、SOX 及其他標準安全規範,資訊的安全性便是企業決定是否移到雲端的考慮點之一。

XSS 跨站攻擊

XSS(Cross-site scripting) 跨站攻擊是利用網站的漏洞,讓使用者在瀏覽網頁時,不知情的情況下執行了駭客植入的惡意程式。XSS 跨站攻擊,不需要太高深的技術就能做到,所以名列駭客攻擊的常見手法之一,也是網站常見的漏洞之一。

比較常見 XSS 攻擊的例子,如討論區、留言版或任何能輸入資料的地方,允許使用者輸入 HTML、JavaScript,並且正常解析執行。當其他使用者瀏覽這篇留言時,便會執行惡意程式。

而且 XSS 跨站攻擊,是在資料加密前開始執行的。所以裝 SSL,對於 XSS 跨站攻擊是沒有防禦作用的。任何的網站伺服器或應用程式伺服器,都容易受到 XSS 跨站攻擊。

XSS 跨站攻擊的潛在風險

正如上面所說的,XSS 跨站攻擊容易得手。如果網站沒有任何防禦措施的話,就容易遭受以下攻擊:

結合其他入侵手法,竊取網站用戶的帳號和密碼

跟蹤特定使用者,追蹤其瀏覽行為,侵犯個人隱私

濫用伺服器以及頻寬等網路資源

透過瀏覽器,使你的電腦變成駭客控制的殭屍電腦之一

竊取網站資料或者是網站內容

任意修改或者破壞你的網站內容

避免 XSS 跨站攻擊

WAF 監測網站流量,並確認網路是否暴露在 XSS 跨站攻擊或其他風險當中。WAF 安裝完成後,即可立即生效。並針對 XSS 跨站攻擊、SQL Injection、path traversal 及其他網站攻擊方式,提供優化防禦。

為何需要 WAF 來抵禦 XSS 跨站攻擊?

簡單就能安裝在 Apache 和 IIS 伺服器上

針對已知或新興的駭客手法進行防禦

針對即時防禦,預設最佳化的安全規範

提供介面及 API,便於管理多台伺服器

無需額外的硬體設備,隨業務規模彈性擴充

駭客 XSS 跨站攻擊流程

攻陷網站前,駭客必須找到能利用 XSS 跨站攻擊的程式漏洞。不幸的是,多數的網站程式是利用免費開源軟體或商業軟體改寫而成,容易受到攻擊。駭客只需要透過 Google 搜尋,幾分鐘內即可找到數以千計使用這些軟體的網站。一旦發現網站,駭客就立即展開入侵。

編寫惡意程式

一旦決定攻擊目標,駭客會開始編寫惡意程式。常見的手法有三種:

儲存型 XSS

當惡意程式被放入目標伺服器後,例如公布欄、訪客記錄、或留言板,訪客就會在無意間執行了惡意程式

反射型 XSS

訪客被誘導點擊惡意連結或是填寫某個網站表格,程式被導向已經受感染的網站伺服器,並反過頭來發送請求給訪客的瀏覽器。而瀏覽器會認為這些請求是來自受信任的伺服器,執行這些惡意程式

以 DOM 為基礎 XSS

這種攻擊 script 是基於處立並查詢同一頁面的 DOM(document object model)。透過遠端執行這類型的攻擊,駭客能在受害者的電腦上執行惡意程式

坐收豐碩成果

當惡意程式被放在有漏洞的網站上之後,駭客就等著收割成果了。

如果駭客目的是竊取用戶的身分驗證,帳號密碼就會輕易到手。如果目標是輸入紀錄的話,駭客就會從受害者拿到輸入紀錄。如果目的是在網站中植入惡意連結,就會看到更大的流量以及更多的搜尋流量導到這個網站來。一旦得逞,駭客便會在其他網站上如法炮製。

避免 XSS 跨站攻擊的必要性

XSS 跨站攻擊不僅造成企業資料被竊,也使企業的聲譽受損。

受到攻擊的企業,都是想要打造一個受人信任的網站,努力的向使用者傳遞內容、服務及產品。卻發現因為一次的駭客攻擊,失去忠實客戶對他們的信任。當一個無辜的使用者發現個資外洩或者電腦受到感染,即使你再三保證網站的安全性,他們都會對於再次造訪你的網站猶豫半天。

即使你事後修復了網站漏洞,但卻已經被 Google 和其他搜尋引擎列為危險網站了。把時間和精力浪費在恢復搜尋結果上的名聲,額外支出的成本是絕多數網站擁有者所沒有計算到的。

不是只有 XSS 跨站攻擊會造成威脅,結合其他手法像是 SQL injections、path traversal、DDoS 攻擊及緩衝區溢出等,都需要網站擁有者或網站管理員提高警覺防範。

電子商務安全

網路交易越來越興盛,透過 Zen Cart、Open Cart、Magento 等開放原始碼程式,架設一個購物網站快速又簡單。越來越多的企業透過架設網站銷售他們的產品及服務。

利用上述程式,或是請人幫你寫購物車程式,不需要太專業或高深的知識,就可以在網路開店做生意,輕易取得客戶的信用卡資料。由於電子商務的利益龐大驚人,購物網站自然成了駭客眼中的肥羊,覬覦裡面的信用卡及客戶資料。基於以上理由,購物網站必須要考慮到網站程式的安全性。

電子商務的潛在風險

經過多年以來,電子商務的安全性已經獲得大幅度的改善。讓客戶更加信任網路,願意在網路上花錢消費。每年成長的網路購物金額證明了消費者認為網路購物是安全的。但對企業來說,駭客要入侵他們的網站程式也更加方便了。

信用卡盜用及欺詐

駭客利用僵屍電腦對無辜的網站發動攻擊,藉此竊取信用卡資料。信用卡資料安全性對於電子商務來說格外的重要。著名的 TJX 事件,便是公司沒有採取安全措施的最佳例子,導致 9400 萬個帳戶遭到入侵,TJX 公司被 300 家以上的銀行聯合訴訟,賠償金額超過 70 億美金。駭客落網後,發現他透過 SQL Injection 技術,在各個網站竊取了超過 130 萬張信用卡資料。

WAF 可以抵禦電子商務以下漏洞

常見竊取金融資料的駭客手法:
SQL Injection / XSS 跨站攻擊 / Path Traversal
Session Hijacking (會話劫持) / 惡意軟體 (Drive-by downloads)

避免電子商務風險的必要性

網路服務中斷

也許是對手惡意攻擊你的企業,或是一名駭客正在拿你的網站小試牛刀。更有可能是,有某人已入侵你的網站伺服器,佔用了硬碟空間、CPU、頻寬等主機資源。不論理由為何,服務中斷會傷害到企業,因為客戶無法瀏覽網站。這不僅是收入上的損失而已,下次客戶在你的網站上購物時會三思而後行。

品牌名聲受損

當網站信用卡資料遭竊,通常都會成為隔天的新聞頭條。而現有客戶或潛在客戶看到新聞,便會逃之夭夭。即使最忠實的顧客在購物前也會三思而後行,更有可能因此轉而向其他對手購買。

不只這樣,不少網路使用者會利用一些外掛程式辨別惡意網站。當你的網站被認為是散播惡意軟體或垃圾信件的話,你會發現網站流量明顯的大幅下降。

從搜尋引擎上消失

當網站信用卡資料遭竊,通常都會成為隔天的新聞頭條。而現有客戶或潛在客戶看到新聞,便會逃之夭夭。即使最忠實的顧客在購物前也會三思而後行,更有可能因此轉而向其他對手購買。

為了出現在搜尋結果前幾頁,不少企業花了大把金錢請 SEO 專家想排名排得更高更前面。可是只需要簡單的 XSS 跨站攻擊,辛辛苦苦得到的排名可能一瞬間暴跌。某些搜尋引擎更會將惡意網站完全從搜尋結果中給刪除掉。

即使企業重新修補網站,重新將網站提交給搜尋引擎,但過程一定是耗時又費力。不但害到網站流量,更害到網站收入。

2004 年,為打擊信用卡欺詐和盜竊,組成了信用卡安全標準委員會 (PCI SSC)。目的是為了提供發卡公司保障,確保有提供刷卡服務的店家在處理持卡人資料時,有合乎最基本的安全規範。

PCI 標準規範要求店家(包含網路及實體商店)須合乎以下規範:

建立並維護一個安全的網路系統

保護持卡人資料

需有漏洞管理的程序

實施有效的連結控管措施

定期監測並測試網路系統

需有資訊安全政策

未能遵守 PCI 標準規範的公司,無法提供信用卡付款的服務,並可能受到懲罰和罰款。

防禦攻擊的必要性

找到最合適的解決方案來保護客戶信用卡資料,絕對是最的重要。為確保每家公司都合乎規範,因此制定了 PCI 標準規範。信用卡資料外洩一定會引起 PCI 委員會的關注,並追查誰讓此網站通過檢查。除了導致收入損失之外,更會收到 PCI 委員會的懲處。

駭客攻擊

網路不只是娛樂而已,更成為日常生活的一部分。我們利用網路來溝通、收集資料、研究、銷售產品以及處理其他業務。

駭客攻擊的潛在風險

在網路上傳輸的敏感財務資料何其的多,自然成為網路犯罪的天堂。此外,不安全的網站越來越多,導致駭客攻擊越來越猖獗。駭入電腦系統早已不是新聞。隨著網站程式的興起,不需要高深的專業知識,你也能夠當個駭客。

惡劣的駭客利用工具進行自動化攻擊。先利用工具尋找下手的目標,同時掃描多台電腦、路由器、伺服器及網站,尋找特定的漏洞。加上利用僵屍電腦,駭客可輕易提升攻擊規模。

WAF 可以抵禦駭客攻擊以下漏洞

一旦決定攻擊目標,便可利用以下方式展開攻擊:

XSS跨站攻擊 / SQL Injection / 遠端命令執行 DDoS攻擊 / Path Traversal / 其他
一旦找到漏洞,駭客便直接展開攻擊。更可以利用僵屍電腦擴大攻擊範圍,達到最大效果。

駭客攻擊帶來的影響

駭客肯定是會對受害網站造成影響。還會依據駭客使用的手法及攻擊的目標的不同,而達到不同的效果。更慘的是,絕大多數受駭的網站不只遭受單一種攻擊。

透過惡意軟體竊取電腦中的管理員權限或 FTP 憑證。一旦擁有權限或憑證,可隨意存取網站、網站伺服器甚至公司網路的其他資源。

伺服器操作系統上的漏洞,讓駭客可以存取網站的檔案。發送垃圾郵件或惡意檔案給無辜的訪客。如此一來,網站便會被搜尋引擎列為惡意網站,之後被搜尋引擎從搜尋結果中刪掉。

有網站程式的動態網站,更是提供駭客多種管道攻擊網站,甚至進到網站資料庫中。資料庫中包含財務資料或個人資料,可用於信用卡詐欺或是盜用他人身分。

DDoS 攻擊則會導致網路服務中斷,如果有任何透過網路執行的重要業務,最好即刻中斷。

對抗駭客攻擊的必要性

當網站或網路遭到攻擊時,用戶只會抱怨公司或企業,並不會責罵駭客。確保服務或者程式能夠抵禦駭客攻擊,便是企業的責任。

為了保護客戶和員工的財務或個人資料不被竊取,業界和政府針對常見的駭客攻擊手法進行規範。為打擊信用卡詐欺,業界建立一套PCI標準規範,要求店家採取具體措施保障客戶資料安全。

駭客攻擊不只竊取資料,也會造成公司損失客戶和收入。當一家公司因為駭客入侵而上了新聞,肯定失去忠實客戶的信賴。流量掉了還不打緊,一旦被搜尋引擎列為惡意網站,你為 SEO 優化所做的努力都白費了。

信用卡安全

雖然近年各界都嘗試建立不同的電子支付方式,信用卡依舊是網路購物付款的主要選擇。如此龐大的信用卡金流在網路中流通,世界各地的網路罪犯早已覬覦垂涎許久。信用卡付款,是任何網路商店不可或缺的一部分,同時也是最關心的議題。

信用卡的潛在風險

防堵信用卡詐欺方面,雖然已經小有成效,但對於信用卡安全,大家都不應該掉以輕心。為了提供信用卡支付,店家會安裝程式,處理信用卡資料。

以下程式也潛藏著許多漏洞:

SQL Injection / XSS跨站攻擊 / Path Traversal / Session Hijacking(會話劫持) / 惡意軟體(連程式一起被偷渡下載)

早期,駭客還必須有一定的水準,才能成功駭進網站。現在透過網路機器人,駭客簡單幾個步驟即可對網路商店發動大規模的攻擊。

保護信用卡交易安全

信用卡最令人擔心的就是:交易糾紛。當有疑似詐欺情況發生時,總是買賣雙承擔風險及損失,而非信用卡公司本身。除了損失收入之外,這些有詐欺交易紀錄的公司還會被登記在信用卡公司網站上。當累積次數太多,信用卡公司將終止其交易行為。

PCI 標準規範

2004 年,為打擊信用卡欺詐和盜竊,組成了信用卡安全標準委員會 (PCI SSC)。目的是為了提供發卡公司保障,確保有提供刷卡服務的店家在處理持卡人資料時,有合乎最基本的安全規範。

PCI 標準規範要求店家(包含網路及實體商店)須合乎以下規範:

建立並維護一個安全的網路系統

保護持卡人資料

需有漏洞管理的程序

實施有效的連結控管措施

定期監測並測試網路系統

需有資訊安全政策

未能遵守 PCI 標準規範的公司,無法提供信用卡付款的服務,並可能受到懲罰和罰款。

企業有形以及無形的損失

如果網站的信用卡資料常常遭竊的話,除了營業損失之外,還得時常面對法律訴訟以及其他罰款。消費者一旦認定說,在這個網站消費不安全,不願在此消費時,會明顯影響公司的收入。品牌聲譽受損,比任何罰款都來得嚴重。

透過 WAF,我們可以即時檢測網站的流量內容,尋找那些已知或未知的惡意封包。這可是原始碼檢測所做不到的。一旦 WAF 設置完成,便可抵禦以下攻擊: 路徑探索 (Path Traversal) / 已知蠕蟲 / 遠端命令執行 探針 (Probe) / DDoS 攻擊 / 伺服器盜用 / XSS 跨站攻擊 / SQL Injections

避免信用卡風險的必要性

找到最合適的解決方案來保護客戶信用卡資料,絕對是排第一的重要。當然也必須公司能夠負擔得起。沒有人可以精準預估,要花在原始碼檢測的成本和資源有多少。之後,還必須有專門的人力和成本來修補發現的安全漏洞。

Apache 伺服器安全工具

如果認為 Apache 伺服器比微軟 IIS 伺服器安全許多的話,那可真是大錯特錯。跟其他軟體一樣,Apache 也是充滿漏洞容易受到攻擊。Apache 伺服器或由 Apache 驅動的網站,都面臨不同程度的威脅。網路犯罪早就不玩竄改或綁架網頁那一套了,他們渴望獲得金錢或資料等實質利益。無論使用那一套伺服器軟體,網站管理員都必須更加警覺才能保護網站程式。

設置 Apache 伺服器的潛在風險

跟其他網站伺服器一樣,沒有正確設置 Apache 的話,等於敞開大門歡迎駭客光臨。預設安裝變得更加容易,但也因為裝了許多不需要的服務,而導致伺服器的安全性降低。執行越多的程式服務等於暴露在越高的風險當中。管理員如果沒有警覺性的話,將無法阻擋駭客入侵。

零時差 (Zero-Day) 漏洞

即使軟體已更新至最新版本,監控更加嚴密,並正確設置伺服器,還是可能被零時差 (Zero-Day) 攻擊。一旦遭受零時差 (Zero-Day) 攻擊,可能需要花上一天才能找到修補方式,這段時間內,網站將遭受到難以數計的攻擊。沒有別的方式,網站管理員必須監控並找出非法惡意網路流量,才能阻擋。

WAF 可以抵禦 Apache 伺服器以下漏洞

Apache 伺服器的安全性一直都在網路管理員的優先名單之內。但你沒有用同樣嚴謹的態度對待這些網站程式的話,還是很容易壟罩在駭客攻擊的陰影中。 常見針對網站程式的攻擊手法有:
XSS 跨站攻擊 / 路徑探索 (Path Traversal) / SQL Injection
會話劫持 (Session Hijacking) / Link Injection / 惡意軟體 / DDoS 攻擊

正確設置 Apache 的必要性

跟其他伺服器一樣,必須採取特定步驟才能強化操作系統的安全以抵禦攻擊。防禦惡意軟體、入侵偵測/防禦系統、網路防火牆,或其他工具和技術可以防止某些攻擊,但卻無法處理由已安裝的第三方程式發起的攻擊。Apache 開發者意識到需要 WAF 來保護程式。

PCI 標準規範

網站程式已成為網站犯罪竊取信用卡資料的溫床。為打擊氾濫的網路詐欺,因此組成 PCI 委員會,確保有提供刷卡服務的店家在處理持卡人資料時,都必須合乎 PCI 標準規範。不分大企業或小公司,即使店家一年只有一筆刷卡紀錄,也必須確實維護持卡人資料安全,避免曝露給未經授權的使用者知道。

PCI 標準網站程式規範

許多網站都有網站程式,駭客特別熱中攻擊網站程式,PCI 標準規範特別指出該如何保護網站程式的安全。當中提到,處理信用卡資料的網站管理者,必須透過以下兩種方式其中一種,達到 PCI 標準規範的要求:

原始碼檢測

企業通常擁有不只一種網站程式,並時常新增。所以我們難以評估說,進行所有程式的原始碼檢測需要耗費多少人力及成本。IT 部門不僅要準備檢測用的原始碼,提供檢測單位支援。檢測報告出爐後,還要安排時程修補及測試程式,確認程式可以正常執行。

並且規定必須透過以下四種方式來完成:

人工程式原始碼檢測

使用自動程式原始碼檢測(掃描)工具

人工網站程式安全性漏洞評估

使用自動網站程式安全性漏洞檢測(掃描)工具

「尋找漏洞、修補漏洞、測試程式」這種測試周期不可能一次找出程式中所有的漏洞,因此導致這周期必須周而復始的不斷重複。你還必須確認程式的修補與測試不會影響到網站的正常營運。

最重要的是,原始碼檢測只能檢測當下已知的漏洞,無法抵禦未知的漏洞。因此選擇為網站安裝 WAF 顯得更具吸引力。

為網站安裝 WAF

委員會 (PCISSC) 規定可以安裝 WAF 來取代定期的原始碼檢測。不論是硬體版或是軟體版的 WAF,都是架在客戶端以及網站程式之間。不同於傳統防火牆和入侵防禦系統,WAF 能明白應用程式層的邏輯,這對保護持卡人資料來說是必要的。

為合乎規範安裝 WAF 的必要性

WAF 提供一個直接且節省成本的安全解決方案。不僅合乎 PCI 標準規範,也針對 SQL injection、XSS 跨站攻擊和衝著網站程式來的攻擊,提供即時性的防禦。WAF 強調預防入侵,而非偵測漏洞。針對網站流量進行深入的封包檢測,在網站程式前架設一道安全防禦。

優點如下:

合乎 PCI 標準規範

不需付出額外的研發成本

適用於由第三方開發的程式或元件

WAF 可以做到原始碼檢測所做不到:

一旦 WAF 設置完成,便可抵禦以下攻擊:
路徑探索 (Path Traversal) / 已知蠕蟲 / 遠端命令執行 探針 (Probe) / DDoS 攻擊 / 伺服器盜用 XSS 跨站攻擊 / SQL Injections

WAF服務價目表
Price List

依照需求 選擇適合您的最佳型別

WAF 系統採用先進的比對技術,搭載豐富的特徵資料庫

網站面對威脅不斷變化,也能給予全面防護

單一網站架構NT$2,500元/月
NT$30,000元/年

WAF 架構說明

立即聯絡
Contact Us

上班時間:週一至周五上午 10:00 至下午 6:00

服務專線:02-87732320

電子信箱:service@wide.com.tw

映鴻設計有限公司