網站是黑客攻擊盜取資料的目標之一,又或利用作為殭屍網絡,一不小心就變成黑客的幫凶。但企業對自己的網站安全有多了解?香港互聯網註冊管理有限公司(HKIRC)以大數據分析細數 .hk 網站的安全性,並為 .hk 的中小企提供免費網站掃描服務,避免陷入危機而不自知。
為了讓中小企負責人更了解網站的安全狀況,HKIRC 早前在「網絡安全研討會 2019:網站安全技術講座」上闡述一份由該公司所研究的《.hk 網站伺服器大數據分析》報告。該報告於今年 6 月從搜尋引擎如 SHODAN 及 Censys 等收集逾 70 萬條記錄,就當中擁有 IP 位址的 .hk 域名進行大數據分析,得出的結論是 .hk 網站安全狀況並不理想。
經分析後發現不少安全風險,其中是採用共用伺服器及共享同一 IP 位址。HKIRC 網絡安全經理簡正修表示,調查所有 .hk 網站後發現當中大多寄存在第三方公司,如雲端服務供應商及本地的互聯網服務供應商,而非設置在公司內部。「中小企將網站寄存在共享環境,話事權很低,例如伺服器版本是否夠新、安全設定等都必須跟從寄存服務,惟成本較低。」
共享寄存曝露風險
報告又發現,雖然目前採用獨立 IP 位址的 .hk 網站較多,但整體使用加密通訊協議 HTTPS 仍屬少數只有 16%。簡正修強調:「有加密定必比沒有的安全,但相信隨著更多中小企得悉 Google Chrome 瀏覽器會對 HTTP 的網站發出不安全提示後會增加使用,更預期這情況在下一個報告會有改善。」
另一重大發現是伺服器作業系統版本過時,根據調查範圍內的 .hk 網站所採用的作業系統,以 Apache、nginx 及 Microsoft 為主,分別佔 53%、25% 及 22%。nginx 屬新興平台,暫未有過舊又停止支援的版本,相反仍沿用 2.2x 或更舊版本 Apache 伺服器的網站合共超過 14%,同時有 64.5% 為未知悉的版本。使用 Microsoft 伺服器的網站亦有類似情況,有 11% 仍然用上終止支援的版本。
簡正修補充,沿用舊版本的系統容易對網站造成重大的安全風險,建議中小企應盡快升級系統及改用獨立位址、獨立伺服器的網站寄存服務或將網站移回內部管理,以策安全。
免費報告改善網站安全
為讓中小企更容易了解現有網站的安全狀況,HKIRC 特別推出免費 .hk 的中小企網站驗身服務,在一般情況下接獲申請後兩至三週可向申請者面對面詳解報告內容。
參加此服務的語文翻譯服務(Multilingual Translation Services)總經理姚文海表示:「服務正好為資訊保安資源緊絀的公司提供支援及額外資源,應付層出不窮的網絡攻擊。因參加計劃後會收到一份詳細的網站掃描報告,逐項列出網站在安全方面需要改善的地方,以便針對漏洞盡快作出系統修正。這項服務除可提升公司網絡安全,亦可讓客戶更安心瀏覽公司網站。」
自計劃推出以來,短短兩個月已有約 200 個網站參加計劃。