精誠資訊產品技術服務處資深處長賴來忠表示,在資訊安全的範疇中,漏洞問題一直都是資訊安全中主要的隱性風險,依照精誠服務客戶的經驗看來,高達9成以上的企業,都有這樣的風險存在。
賴來忠表,建議企業在面對漏洞處理的議題,應該採行更為主動的心態來面對,平日養成固定使用,像是使用McAfee Vulnerability Manager弱點安全評估工具的習慣,持續找出所有網路或伺服器設備的漏洞根源,並根據專業資安顧問的建議與做法,具體實施,防範於未然,才能從根本有效降低企業商業損失的風險。
精誠資訊資安中心顧問廖本凱表示,Shellshock漏洞問題幾乎涵蓋所有的Unix和Linux相關設備,其中影響最大的是網頁伺服器,有心人士只要利用系統中的Bourne Again Shell程序(簡稱Bash),進行惡意操作,即可跳過權限檢查竊取企業機敏資料。建議資訊管理人員立即透過指令檢查主機是否存在「Shellshock」漏洞,或是透過資安廠商所提供的免費檢測工具,快速針對相關伺服主機進行檢查。
此外,精誠表示,對於已經擁有新世代IPS(Intrusion Prevention System)入侵防禦系統設備的用戶,如McAfee NSP(Network Security Platform)或者是Check Point IPS等,可以在第一時間收到新的威脅特徵訊息,在第一時間進行緊急防護。資訊管理人員可以將重點放在進行後端的Unix/Linux設備漏洞修補工作。
精誠指出,如果企業並沒有建置新世代IPS等設備進行即時防護,也可透過下載網路技術領導廠商A10 Networks所提供應用程式,來阻擋Shellshock漏洞。