针对先前发生一连串的邮件云端服务与邮件安全闸道资安事故，廖长健说明电子邮件为何成为黑客想要攻入的目标。

理由是电子邮件是最容易经手处理各种信息的重要管道，所传递的内容未必很机密，但是，攻击者可以通过邮件了解很多组织的脉络，以及最近关切的事情，有了这些信息，能够进行很多的社交工程，设计出能够欺骗用户的东西，所以，攻击邮件闸道、邮件系统是全世界黑客最喜欢做的事情，而过去这几个月以来，许多厂商都中招，也包含网擎信息。

他们之所以被盯上，廖长健认为，可能因为攻击者的最终目标是大型金控公司、一级政府单位、重要的医院，或是关键区域设施，但因为这些企业与机构不断强化资安，所以黑客不容易攻进单位内部，于是攻击者把脑筋动到供应商，开始从合作的系统集成厂商、IT维运厂商、软件供应商着手，希望从中找到破口。除此之外，企业与厂商使用的IT产品与服务，如果本身集成第三方提供的软硬件组件，像是PHP、Java，以及一些工具，或是攻击者得知目标单位所用的Linux操作系统版本，有个资安漏洞，而这些歹徒可能就会直接攻击这些第三方组件，就能够渗透到供应商内部，最后，并且通过遭骇厂商，而得以侵入企业IT环境。

基于上述理由，企业与组织不只是自己要防得好，利害关系人也要守好，因为攻击是非常多面向的。廖长健表示，对于网擎信息而言，在供应链攻击的对象当中，他们成为黑客目标的可能原因，一方面在于本身扮演供应商、解决方案公司的角色，另一方面是本身采用第三方软件组件，黑客从这个层面寻找漏洞、乘虚而入，后续这些存在漏洞滥用风险，甚至已被渗透或窜改的组件，若不慎被包入网擎的软件产品或云端服务，就可能成为破口。因此，他们必须要做到许多防护，而且持续提升资安。

而在实际资安事故的因应能力上，廖长健表示，今年截至目前为止，网擎总共发出9次资安通报，其中有60％是低风险漏洞，多为跨站脚本（XSS）类型的弱点，40％为高风险漏洞，而在这些弱点中，专属于网擎产品本身的漏洞占了一半，其余是他牌邮件服务器或邮件安全闸道共通的弱点：第三方组件的问题。

廖长健提到此事，显然是为了借机驳斥市场传言，他强调，网擎产品本身的高风险漏洞只占20％，而且，很多都是他们主动发现、主动更新的。

难阻止黑客取得产品，从中可研究本体与第三方组件弱点

面对外界质疑攻击者为何熟悉网擎的系统，廖长健无奈地解释软件开发商目前面临的产品资安挑战局面，相当严峻。

他说，现在想要拿到软件产品的源码不难，无须通过内部人员或离职员工泄漏。首先，对于商用软件厂商而言，可经由许多管道申请测试版与操作文档，例如，发出电子邮件或通过经销商索取，网擎过去都有尽力把关，但仍无法完全杜绝；攻击者一旦取得套装软件，即可设置测试环境，查看当中使用的第三方组件与版本，此处若具有已知漏洞，他们能就设计出可滥用此漏洞的文件进行渗透。

第二个取得源码的方式，是经由逆向工程反组译而成。网擎的经验是接到资安厂商的通报，他们在长期监测国家级黑客攻击活动的过程中，发现网络钓鱼信件涉及的恶意程序，命名与网擎信息的英文名称Openfind有关，因此他们经由某种管道取得网擎的程序进行逆向工程，而在该公司的通报是以他们剖析出来的源码，指出网擎某款软件存在的资安漏洞，所以有可能被黑客利用。廖长健表示，虽然资安厂商以此种方式取得的源码，变量名称与网擎这个产品所用的不同，但程序逻辑是接近的，就能根据这些信息推断弱点所在。因此，对于软件开发厂商而言，在用户端环境运行的已编译的双比特档，如果本身没有加上严密防护，具有足以抵抗逆向工程的能力，程序源码是能够被反组译出来。而且，既然资安厂商能够这么做，其实，也代表黑客可以借此找到可乘之机。

第三种探测产品使用间隙的方式，也是在测试环境安装套装软件之后能进行的，那就是从操作系统层级的处理进程追踪，以Linux环境而言，可经由strace的指令查看目前各个应用程序使用的系统调用，进行逐步分析，了解每支处理进程打开的文件与文件所在位置，或是连接的网址，有了这些信息，攻击者能够考量恶意软件酬载适合置入的方式与途径，找到能够偷偷夹带或调用的管道，然后再将这些内容放到指定位置、伺机而动。

国家级黑客手法更专精、能组合多个弱点，又能自动打击，令人防不胜防

关于台湾软件供应商之所以无法挡住国家级黑客攻击，除了人力规模悬殊与具有强烈动机的落差，廖长健认为有三个因素必须克服。首先，国家级黑客渗透手法更为高超，而且是持续、专精投入研究攻击目标的弱点；第二是不只是利用单一、严重度高的弱点，攻击者也懂得将多个低风险漏洞组合起来运用，形成具有高度危险的漏洞滥用手法；第三是打造工具，降低操作技术门槛之余，黑客也能发动自动化攻击，一口气侵袭多个目标，营造「遍地开花」的现象，而非一步步渗透、投放恶意软件、再进行后续的调度指挥，对于软件供应商而言，如果产品资安没有顾好，采用客户越多，一旦遭遇这类攻击，同时要处理的资安事件可能也会很多。

想要打造具有强大防护力的软件产品，对于开发人员而言，有个先天的劣势，那就是必须考量到运作性能而不能毫无限制地持续进行安全性处理。廖长健举出的例子是JavaScript的过滤，为了避免遭到跨站脚本的攻击，软件产品会过滤所有输入的JavaScript，为了确保性能，会进行32次清洗，然而，对于攻击者而言，当他们取得厂商的产品、建置使用环境之后，可以不厌其烦地循环测试，观察究竟要过滤到多少次才停手，一旦他们找到这个处理上限，就可以设计出33层的恶意酬载，应付完32次脚本过滤，下一次就能引发跨站脚本攻击，设法溜进软件产品。

至于组合多个漏洞的做法，廖长健提到的一种模式，是设法让输入夹带的恶意酬载躲过第一道检查，而顺利进到内部存储的设置档，而且攻击者知道文件存放位置，当另一支程序加载这个设置档时，开发人员可能以为这是内部数据而疏于检查，运行之后触发恶意酬载要做的事情、拿到系统权限，甚至形成命令注入攻击（command injection）。

基于上述提及的软件产品资安态势，廖长健认为，作为防御方，要有三个基本的前提。首先，攻击者已有产品完整实验环境，也就是前面提到，可通过合法管道、冒名欺瞒等方式，下载测试版。第二，攻击者可以轻易找到目标服务器，如果有锁定的对象，对方要掌握这些IT基础架构的所在位置，并不困难。

第三，攻击者已有目标环境的用户帐号。由于在不同在线服务与系统使用重复密码的情形相当普遍，再加上网站数据外泄事件频传，以及在公共场所上网却没用VPN防护等情况，导致帐密被侧录，黑客都有能力取得这些帐密，廖长健表示，我们要假设当攻击者手上有用户帐密的时候，产品资安还能防得住。