不只是更新就好,資安通報到底有多重要?
我們常常會在新聞頻道、社群平台上聽到或看到「資安通報(Security Advisory)」,影響了多少產品和廠商,大廠們和許多機構們正進行修補,或者是又有人被駭客入侵,造成數位資產與金錢上的損失。
資安通報到底是什麼呢? 我看不太懂怎麼辦 ?
簡單說,資安通報是政府、企業和組織,透過許多方式收集並彙整資安情資後,發現需要通知所有網友、相關用戶,針對產品、軟體、服務等等受到那些潛在安全威脅、安全性漏洞以及補救、修復措施的一種業界標準方式。
資安通報的內容具體上有那些東西呢? 它通常包括了這個資安漏洞的詳細描述、受影響的產品和版本、解決方法或緩解措施,以及更新檔案的資訊。資安通報的目的,是為了確保受影響的所有用戶,及時去了解這個問題的嚴重性與影響範圍,並儘速採取行動,以防止安全漏洞被惡意利用,這樣才能保障用戶們設備、服務中的資料,以及整體系統的安全,避免更多人受到危害。
但是,如果每一個廠商都有自己的安全性漏洞資料,各家的格式也不同,要怎麼知道你的漏洞不是我的漏洞? 我們在討論安全性風險與漏洞時,要如何確保大家在討論同一件事呢?
全球有一個通用的資安漏洞編號系統,也就是著名的通用漏洞與曝險(CVE, Common Vulnerabilities and Exposures)資料庫,專門收集全球各種資安弱點及漏洞並給予編號,這樣就方便全球用戶查閱。
如此一來,所有的資安設備、軟硬體廠商、防毒軟體、端點軟體等,都能夠有統一的資安漏洞編號,由此為基礎來做安全性內容的自動化溝通與產出。
所有的CVE都是給每一個漏洞一個專屬唯一的編號,格式是長這樣:
CVE-YYYY-NNNN
CVE為固定的前綴字元,YYYY為西元年分,NNNN則是流水編號,從時間可以看出前後順序。NNNN原則上為四位數字,不足四位時前面補0,必要時可編到五位數或更多位數。這幾年因為駭客活動猖獗,資安研究人員也變多,整體找到和發現的資安漏洞多,編碼近年普遍已經到了5位數。
通用漏洞評分系統(CVSS)是什麼?
有了 CVE 來識別我們已知的所有資安漏洞後,再來就是判斷它的風險評鑑,因此有了著名的通用漏洞評分系統(Common Vulnerability Scoring System, CVSS),也就是讓公眾知道每個不同的 CVE 弱點,對應的危險程度分數是高還是低。
美國政府國家標準暨技術研究院維護的國家漏洞資料庫 (NVD) 列出的 CVSS 不同版北的分數計算與嚴重性分級方式。
CVSS是由美國國家基礎建設諮詢委員會(National Infrastructure Advisory Council, NIAC)所發起,會考慮漏洞的技術細節和相關屬性,如攻擊複雜性、機密性、完整性和可用性等來產生基礎評分,再考量漏洞的時間評分和環境評分,所以呈現的整體分數相當專業,是我們在資安領域中的標準評估工具,這樣可以讓大家有相同基準的的評估方法去判斷不同軟體漏洞、資訊安全漏洞的影響程度有多高,來決定要如何應對。
分數越高的 CVE 漏洞,就更需要提早與即時優先修補它們,這也是業界許多資安人員、研究人員、軟硬體開發人員在各自領域所進行的努力。
一個和 ASUS 路由器有關的資安通報中,裡面就有標示 CVSS 分數,通常大於7分以上的分數都算高,都會需要優先修補,9分以上就是非常嚴重了,需要立即修補,以策安全。
漏洞還有分等級?
透過上述的 CVE、CVSS,業界也訂出了嚴重性等級(Severity Level),這是基於該漏洞的 CVSS 分數所分配的嚴重性等級。範圍從V5(Critical)到V1(Information),最高等級的就需要優先處理。
最後是處理狀態(Status),這是針對每個資安漏洞的狀態做出定義,隨著時間與廠商的處理等因素,會持續地更新在這些資安資料庫中,讓大家能查詢到,狀套包括:Investigating(調查中)、Not Affected(未受影響)、Fixing(修復中)、Resolved(已解決)、Information(資訊)等狀態,方便我們辨別這些漏洞的風險是否還存在,並採取對應的措施。
綜合上述關鍵資訊,我們會了解到,一份標準的資安通報會包含以下元素:
- 漏洞描述:詳細說明漏洞的性質和影響範圍。
- 受影響的產品和版本:列出所有受影響的軟體或硬體版本。
- 風險評估:對漏洞可能導致的威脅程度進行評估。
- 解決方案和緩解措施:提供修復漏洞的更新或配置變更建議。
- 更新檔案資訊:如有修補更新檔,提供下載連結和安裝指南。
國際大廠的資安通報
國際知名廠商如微軟、蘋果、谷歌等都高度重視資安通報。他們通常會有專門的安全團隊負責監控和發佈通報。例如,微軟每月發佈的「週二更新檔」是一個固定的安全更新周期,提供詳細的資安資訊和修復更新檔。這些資安通報不僅僅是防禦手段,還是企業對用戶安全承諾的一部分,旨在提高整體的網路安全。
比方說 Google 的 Android 平台,涵蓋全球大量的 Android 行動裝置、工業用裝置與娛樂設備等等,每隔一段時間都會發布新的安全性版本資訊在 Google 網站上,把不同版本 Android 系統在近期更新中會更新到的版本號碼,以及大概修正那些程式錯誤、排除掉的資安風險漏洞,以及與更新功能的項目有哪些列出來,但並不會詳細把修正的內容公告出來,需要更詳細內容的話,可以在 Google 的開發者社群中獲得更進一步的資料, Google 也會發布資料給相關使用到 Android 的廠商,包括版本更新的詳細資訊內容、變動的檔案清單,都是為了提供給廠商升版之所需。
Google的立場畢竟是全球重要平台的主要維護者,所以他們會提前向全球的 Android 合作夥伴通知公告列出的所有問題,這些問題的原始碼修補程式,也會隨著 Android 不同版本的版本釋出,發布到 Android 開放原始碼計畫 (AOSP) 存放區,這樣廠商的開發者就可以取用、開發、測試與實作。
資安業界著名的大廠 Fortinet,是許多企業、機構與工廠OT方面的防火牆設備、交換器與資安設備供應商,該公司的資安通報也類似,會說明碰到的資安問題為何,比方說常見的SSL-VPN安全性漏洞,會建議各家使用Fortinet設備的用戶,一定要更新到最新版韌體後,開放這個功能讓設備與用戶連VPN回公司網路才比較安全。
每一次的設備韌體更新,就會是一長串系統程式修補、改善既有問題,並通知未來可能衍生的問題有哪些等等。
Fortigate 設備如果出現這個提醒,就會需要進行備份相關設定檔加上執行更新這兩個動作,但執行之前,先去看官方給的安全性更新公告內容,了解有哪些服務或功能會受到影響,以及更新的項目有哪些。
儲存設備大廠 HPE 針對旗下設備的更新內容公告,會列出不同設備的版本名稱,以及會更新與強化的內容。譬如說更新了開源套件的版本,OpenSSL to 3.0.13, OpenSSH to 9.6p1, curl to 8.4.0, busybox to 1.36.1.,這種會寫出更新的軟體版本號碼到多少。
其他的修復內容的一併列在下方,如果更詳細的資料就需要以客戶的身分和 HPE 索取,對外上網公告的版本就會是相對較簡單的形式。
而市場上常見的開源軟體,其軟體更新訊息,也會依據碰到的 CVE 做出回應,以及這次更新中還有哪些改進。
以 FileZilla 這個著名的 FTP軟體來說,最新版本就拿到了修改了哪個資安漏洞 (如 CVE-2024-31497),是關於私有安全性金鑰的漏洞,也在這次更新中獲得修補。
QNAP的資安通報是怎樣的呢?
QNAP在全球面對客戶有多年的服務與市場經驗,對資安問題同樣非常重視。QNAP的資安通報機制包括以下幾個方面:
每年持續的韌體更新:QNAP持續發佈其設備的韌體,以及伴隨使用之作業系統的安全更新和更新檔,修復已知的漏洞。
資安公告:在QNAP官方網站和用戶登入 QTS 系統的預設首頁中,也會自動提醒用戶資安公告公報,點進更新日至,會說明潛在的安全威脅和修復措施,在閱讀過程中,可以知道大概受影響的範圍是那些,以及系統更新的內容為何。
專業團隊:QNAP擁有專業的資安團隊,如QNAP PSIRT,負責監控最新的安全威脅,並用最快的時間應對。
QNAP 用戶可以做甚麼?
作為QNAP NAS的用戶,您可以採取以下措施來保護您的設備和資料安全:
定期關注更新方面的訊息:經常檢查並安裝QNAP發佈的軟體更新和修補檔。
啟用安全設置:設置較強的密碼、啟用兩步驗證、限制外部訪問等安全措施。
監控系統:使用QNAP提供的監控工具,隨時了解設備的運行情況和潛在威脅。
備份資料:定期備份重要資料,確保在遭受攻擊或故障時能夠快速恢復。
碰到有韌體更新時,可以點選看看版本資訊,會顯示有哪些更新的內容,方便用戶知悉。
點選本次更新韌體的更新日誌 (Changelog) ,可以看到本次更新的相關重要內容摘要,包括修正了那些安全性漏洞,以及系統功能的強化等資訊。
除了QTS系統韌體的更新外,你所安裝的應用程式,QNAP也會有在應用程式更新時,通知你有更新可用。
會建議所有 QNAP 用戶都安裝安全中心這個應用程式,會有更安全的整體使用體驗和提醒。
QNAP 安全中心 App 會提供使用者基本、中度、進階三種不同等級的安全性政策建議,幫你掃描整台NAS設備,並給出掃描後的建議事項,照著做,可讓你的NAS設備安全等級提升不少。
安心使用並更新並維持好習慣
我們可以看到,國際大廠,常常會有漏洞的發現和通報,以及版本更新,這些工作都是持續在進行的,同時為了確保不讓更多用戶受害,有些攻擊的手法和關鍵的訊息並不會對外全部揭露,需要開發者帳號或合約中的客戶才能夠獲得更詳細的內容,QNAP 目前的運作也是和國際大廠走在同樣的國際軌道上,發布漏洞的更新檔案時效也是相當迅速,有需要更詳細的資訊,會在系統更新發布後,擇期再提供詳解,這樣做也是要保護更多家庭導向的用戶們。
資安漏洞的修補,換個角度比喻,如同醫院急診的傷檢分級,重要的、最嚴重的都會優先處理,依序再往下分級。
如果問題不嚴重,還知道怎樣處理的話,一般我們在正式區域使用前,會先在測試區的設備測試後好後,再進行更新也沒關係。但如果問題有點難解,在不更新系統的情況下要繼續運作服務,就得做出適當的隔離和保護,等到原廠釋出了這次有問題更新檔的再更新版本才拿來用,這也是業界偶爾也會出現的妥協性辦法。
對於一般家庭、小型工作室的NAS設備用戶而言,儘量維持最新版本的更新是最常見的建議,如果你的設備是很需要透過網際網路來傳輸檔案進你的NAS,或在外面工作或旅行時透過手機網路來存取你NAS上的圖片或資料,儘量都更新到最新版本,並採取前面建議的各種防護措施,就不用擔心自己的重要資料、機敏資料、家庭影音、私密照片外流的風險。但更重要的,是避免你的NAS被當成對其他人發動攻擊的跳板裝置,駭客常會利用被駭過的裝置做違法的事情,降低自己本人被找到和發現的機率。
駭客之所以會選擇各家廠牌的NAS設備來當攻擊跳板,除了使用者常讓設備在網際網路上對外運作,最重要的原因是NAS近年功能越來越多,支援虛擬化、容器等技術,駭客有現成的工具來部署和安裝到被駭的NAS裝置,可以拿來做更多不同型態的攻擊用途,也因此,我們對 NAS 設備的防護與保全,都更較以往有更強大的保護,也需要使用者一起和我們共同維護這些環境的安全。
為了讓您的QNAP NAS設備更加安全,建議保持以下良好習慣
持續學習:關注最新的資安動態和QNAP的資安公告,提升安全意識。
定期檢查:定期檢查設備的安全設置和日誌,及時發現並處理異常情況。
慎選應用:僅安裝來自可靠來源的應用程式,並定期更新應用程式。
安全網路:確保您的網絡環境安全,使用防火牆和VPN等工具進行對你重要資料的保護。
藉由以上措施,我們可以更好地保障自己的QNAP NAS設備和資料安全。在現今數位時代,資安威脅無處不在,保持警惕並採取適當的防護措施,避免讓自己的設備變成駭客的工具,而QNAP 也會設法維持整體 QTS、QuTS hero 系統生態系的資訊安全,確保第一時間能讓全球用戶更新到最安全的版本,共同打造更安全的數位環境。