網路攻擊形態每年都有不同變化,根據賽門鐵克(Symantec)最新發布的2012網路安全威脅報告,網路安全共有4個面向需要注意:APT針對式攻擊、網頁漏洞、行動惡意程式、及Mac安全威脅。
第一、APT針對式攻擊:攻擊目標和手法正在轉變中
從攻擊目標來看,中小企業、製造業、研發/業務人員,是駭客主要的攻擊目標。從企業規模來比較,遭受APT攻擊的企業有50%的員工人數超過2501人,至於員工人數小於250人的企業雖然只占31%,卻是成長幅度最高的一個,比前(2011)年的18%增加了13個百分點,台灣賽門鐵克資深技術顧問張士龍認為,這樣的轉變意味著很多針對性攻擊是以小企業做跳板,因為中小企業的安全防護意識較為薄弱,且對於網路攻擊的防禦能力較低,讓駭客攻擊得逞的機率較高。
也因為駭客將攻擊目標鎖定在產業供應鏈中的中小企業,藉以接觸並竊取合作大廠的商業機密,使得針對研發或業務人員的攻擊比例越來越高,針對高階主管的攻擊比例反而略微下滑,而製造業則躍升為APT攻擊頭號目標,其次才是金融與政府。
至於攻擊手法的轉變,則是從社交工程郵件轉向水坑式攻擊。以前,駭客多半會寄送夾帶惡意檔案或釣魚網址的電子郵件給攻擊目標,現今則是觀察攻擊目標習慣瀏覽哪些網站,再去入侵那些網站並植入惡意程式,等待攻擊目標造訪該網站時再趁機感染進而竊取資料,這也就是所謂的水坑式攻擊(watering hole)。
張士龍指出,很多水坑式攻擊會結合零時差漏洞,或是在網頁程式插一段JavaScript或HTML碼,當攻擊目標瀏覽被感染的網頁時,電腦會自動下載一個惡意檔案,這份檔案會導引攻擊目標至C&C Server下載真正的惡意程式,此時的C&C Server就像一個下載伺服器,可以隨時更新惡意程式,避免被防毒軟體偵測到、提高成功率。
第二、漏洞攻擊:網站經營者並未積極修補漏洞
駭客組織Elderwood興起,造成零時差漏洞攻擊快速成長,在2013年共有14個零時差漏洞攻擊,Elderwood就貢獻了4個,張士龍表示,Elderwood甚至提供一個專門在撰寫零時差攻擊程式的平台,加快漏洞的成長速度。另外,在網頁漏洞統計上,53%的合法網站有未修補的漏洞,61%的惡意網站為合法網站,換句話說,有很多合法網站已經被駭客入侵,但經營者本身卻不自知,還以為是正常網站。
第三、行動惡意程式:惡意程式與OS漏洞無明顯關係
Android惡意程式成長與變種的速度相當快,在2012年,1個行動惡意程式家族有38個變種程式,也就是1:38,但在2011年這個比例僅有1:5,張士龍預期,未來行動裝置的惡意程式數量會大於PC。
從行動裝置作業系統的漏洞來看惡意程式,Apple iOS有387個漏洞,Android只有13個,但是Android惡意程式的數量卻遠高於iOS,張士龍指出,這是因為有些作業系統的漏洞與惡意程式無關,舉例來說,之前iOS 6.1.3有一個漏洞是,只要打開語音控制功能,就可以繞過螢幕密碼鎖喚醒裝置,看到照片與聯絡人電話。至於Android惡意程式的數量高於iOS的原因,主要應與軟體上架機制、Android是開放平台有關。
第四、Mac安全威脅:感染速度快
根據目前在Mac上發現的威脅,專為Mac而設計的惡意程式只有2.5%,乍看之下Mac似乎還算安全,也因此Mac使用者容易陷入「自身是安全的」迷思中,導致安全防護機制偏低,只要出現1隻病毒,感染速度就會非常快。
總結來說,過去1年網路安全威脅共有5個特殊現象,第1、小型企業成為駭客攻擊的新目標;第2、APT攻擊所使用的社交郵件,從過往假造釣魚網址到如今入侵合法網站,使其變成惡意網站,這種新興的水坑式攻擊(watering hole)手法能在短時間內造成大規模損害;第3、有很多合法網站已經被駭客入侵,但經營者本身卻不自知,還以為是正常網站;第4、行動惡意程式與OS漏洞目前沒有顯著關係;第5、蘋果裝置較缺乏安全防護機制,導致威脅擴散速度快。