2012年,從社群網路、雲端服務,到行動裝置,是不同平台快速成長同時必須面臨整合挑戰的一年。隨著智慧型手機迅速普及,應用程式的開發也更加蓬勃,業者們試圖讓這些應用與人們的生活越來越緊密,並讓服務在不同平台之間的連結和整合度越來越高。這樣的趨勢伴隨攜帶個人裝置(Bring Your Own Device,BYOD)的發展,同時也開始衝擊企業環境,當更多的行動裝置進入企業網路環境中,如何有效控管便是一大難題。
一.2012年十大資安威脅回顧
回顧過去一年,駭客將攻擊觸角延伸到不同的平台,並有效展開跨平台的攻擊,同時發展出更快速的手法、以及更有效率的利用零時差漏洞(zero-day)。延續2011年,駭客主義(hacktivism)行動依舊猖獗、網路間諜(cyber-espionage)攻擊不斷、帳密被盜事件頻傳。雖然許多駭客組織受挫,包括LulzSec的首領Xavier Monsegur以及Anonymous的許多重要成員遭到逮捕,這些駭客組織依舊十分活躍,另一方面,超級間諜病毒Flame和Gauss的現身,也讓網路間諜活動提升到新的層次,一個更加複雜、集結國家資源的網路戰爭。
根據卡巴斯基實驗室(Kaspersky Lab)的2012十大安全事件,彙整並摘錄如下:
1. Flashback木馬讓70萬台Mac淪陷
在2011年首度現身的Flashback木馬程式專門用來竊取個人資料,2012年Flashback變得更加普及,而且出現許多變種版本,還一度利用Java上的漏洞,感染高達70萬台Mac電腦。
2. Flame和Gauss引爆國家層級的網路間諜活動
2012年出現的超級病毒Flame和Gauss,兩者的架構與攻擊手法類似,都被用來竊取機密性資料,而且高度複雜,被視為受到國家級支援的網路攻擊武器。攻擊地區都以中東地區為主,但Flame竊取特定政府單位、組織或系統的資料,Gauss則鎖定個人網路銀行,顯示國家級的網路戰爭也延伸到金融機構。
3.Android平台威脅迅速升溫
Android病毒在2011年開始快速成長,2012年更大幅增加,根據Kaspersky報告,2012年偵測到至少3.5萬個以上的Android病毒樣本,該數量是2011年的6倍,甚至是2005-2011年所有總和數目的5倍之高。
4. LinkedIn等網站的密碼外洩事件
商業社群網站LinkedIn在六月份時遭駭客入侵,導致高達650萬筆會員密碼外洩,而Yahoo、英國線上音樂平台Last.fm, 雲端儲存服務公司Dropbox、遊戲服務商Gamigo等也都在2012年成了資料外洩的受害者。
5. Adobe憑證伺服器遭駭
Adobe在九月時宣布,發現有兩個惡意程式,透過嵌入Adobe的數位簽署偽裝成Adobe開發的軟體。由於駭客必須入侵Adobe的系統才能簽署,而Adobe也在一個軟體建構伺服器中找到惡意程式,因此透露出Adobe已經遭受進階持續性滲透攻擊(Advanced Persistent Threat,APT),而駭客也可能取得產品的程式碼。
6. 不移除DNSChanger木馬就不能上網
感染規模一度超過400萬個用戶的DNSChanger木馬程式,總算在2011年11月被FBI成功破獲其集團,並關閉了DNSChanger網路,不過為了避免大規模用戶的網路服務受到影響,FBI提供臨時DNS伺服器,讓受感染的電腦仍能上網,但DNS伺服器已在2012/7/9時正式關閉,因此未清除病毒的電腦就無法上網。
7. Madi網路間諜行動鎖定中東地區
從2011年到2012年上半年,有持續性的網路間諜行動在中東地區發生,被稱為「Madi」惡意攻擊。Madi的攻擊過程中使用一種惡意木馬程式,並利用社交工程技術對攻擊目標進行仔細篩選,其手法不算複雜,而且證明了即使是低成本的投入,只要手法得宜,仍能帶來相當大的影響。
8. Java零時差漏洞衝擊加劇
因為兩個嚴重的Java零時差(zero-day)漏洞被駭客用來做為目標式攻擊(targeted attack,使得甲骨文(Oracle)破例的在2012/8/30發布緊急更新,不過就在更新後不久,立即又被發現新的漏洞,讓Java漏洞問題在2012年的批評聲浪不斷。
9. Shamoon病毒不只竊取資料,還要刪除
全球最大石油公司Saudi Aramco在八月時被駭客攻擊,導至3萬台、占整體75%的電腦遭受病毒感染,該事件判斷是透過惡意程式Shamoon造成。Shamoon除了竊取資料外,還會進而清除受感染電腦中的資料,以達到癱瘓電腦的目的,這種摧毀資料式的攻擊手法並不常見,而且這也不是典型的目標式攻擊手法。
10. 巴西Modem和華為路由器突顯硬體安全威脅問題
巴西電腦網路危機處理中心( Computer Emergency Response Team Brazil,CERT)在三月時證實有超過450萬台數據機(modem)遭感染,並被網路罪犯使用在詐欺行動中,另外,華為(Huawei)路由器的安全性也在2012年遭受質疑。這兩個事件突顯了硬體設備潛藏的安全威脅,也讓安全防禦變得更複雜和困難。
二. 2013年資安趨勢預測
因應2013年,綜合了各家資安廠商的威脅分析與年度預測,包括來自賽門鐵克(Symantec)、趨勢科技(Trend Micro)、卡巴斯基實驗室(Kaspersky Lab)、邁克菲(McAfee)、Check Point、F-Secure、IBM、Sophos、Verizon和Websense等單位的報告,彙整了以下幾大重點趨勢,以做為所有組織與企業於2013資安規劃的參考依據。
1. 勒索軟體竄起,且將蔓延至行動裝置
隨著使用者越來越仰賴電腦裝置執行工作和金融交易,歹徒於是將目標放在「綁架」使用者電腦,這個問題在2012年首度嶄露,多數資安公司也不約而同的將勒索軟體(Ransomware)列為2013年重要的資安威脅。
Ransomware是指歹徒從遠端透控制受害者的電腦或加密電腦中的檔案,然後要求受害者必須支付一筆金額,才能解開遭鎖定的電腦。Ransomware這種網路犯罪手法在過去幾年來有緩步增加的趨勢,但影響不甚嚴重,直至2012年,Ransomware威脅在異常快速增加,McAfee的報告顯示,Ransomware病毒樣本從第一季到第三季成長了一倍,偵測到的Ransomware數量則幾近是直線性的成長。
在2013年,Ransomware的犯罪模式也將越來越成熟,而且歹徒將善用各種威脅和掌握人們的恐懼心裡,脅迫受害者付款。舉例來說,在2012年年底就出現一款新的Ransomlock木馬變種程式Ransomlock.G(又稱Reveton),該病毒還宣稱如果不付款,病毒將刪除你電腦中的資料。另一方面,Ransomware病毒也可能越來越複雜,未來一旦電腦受到感染,恐怕將更難復原。
此外,有鑒於使用者越來越仰賴智慧型手機和行動裝置,Ransomware威脅將從個人電腦蔓延至行動領域,並且會有更多針對行動裝置的Ransomware攻擊包出現。目前資安公司也已經偵測到攻擊Android OS X行動勒索軟體,並有針對Windows平台的Ransomware kits。而行動勒索軟體也為攻擊者帶來新的可能性,如果使用者不願意付款,歹徒除了可限制使用者使用通訊和存取資料之外,還可能威脅散布通訊電話以及儲存在手機上的照片和資料。
2. Android病毒更氾濫,費用詐欺成為新行動威脅
行動威脅在近年來備受關注,McAfee指出,行動威脅從2012年第二季到第三季增加了一倍,而多數的威脅事件是來自App Stores上的惡意應用程式。由於Android平台目前已成功稱霸智慧型手機市場,因此,在所有的行動平台中,Android平台則仍會是最多駭客攻擊的目標。趨勢科技更預測,在2013年,惡意與具有高風險的Android apps,將從2012年的35萬成長三倍至100萬 。
伴隨手機App的成長,行動廣告程式(Mobile Adware, Madware)對使用者隱私也構成重要威脅。Symantec指出,在2012年的前九個月中,這些包含行動廣告程式的app成長了2.1倍。使用者可能在某些app上會看到廣告,或出現彈跳式視窗廣告,但這些廣告很可能會改變使用者的瀏覽設定,或是蒐集使用者的個人資訊,比如使用者所在地點、聯絡資訊、撥過的電話號碼等資料。雖然蒐集使用者資訊是絕大多數廣告程式必備的模式,以達成行銷的目的,但有心人士很可能變賣這些個人資料以賺取利益,因而遭歹徒所用。
除了惡意手機Apps之外,資安專家提醒,網路詐騙(cybercrooks)將成為駭客新的攻擊選擇,即不需要使用者下載任何程式,病毒撰寫者將利用手機上的漏洞以感染手機。舉例來說,手機遭受感染後,會主動發出付費簡訊(Premium SMS)以訂閱服務,同時透過手機完成付費程序,然後將款項直接匯入駭客的帳戶中,而達到費用欺詐(Toll fraud)。
3. 國家層級戰爭白熱化,關建基礎建設大挑戰
2012年,Flame的出現開啟了一個新的國家層級的網路戰爭。Kaspersky描述,我們現在正進入一個「網路世界的冷戰(cold cyber-war)」,國家之間的戰爭將不再侷限於現實的世界,而且國家將具備在網路世界互相攻擊的能力。
2013年,國家、組織和個人之間的衝突加劇,而間諜手法在網路世界將持續發酵,可以預見的,會出現更多由國家發展的網路武器,用來竊取資訊、破壞系統,而這樣的手段比起實體的戰爭,可能更具經濟效益和效率。
F-Secure首席研究長Mikko Hypponen指出,Flame和Gauss超級間諜的出現,證明了國家之間的攻擊正在網路世界中發酵,2013年將有更多例子可以證明,加上軍事競爭升溫,有更多這種國家間的攻擊手段會被揭露。
此外,這種國家之間的攻擊手法,也可能被複製在非國家層級的競爭,比如可能應用在能源供應、運輸控管設備、金融和電信系統等其他主要的關鍵基礎建設等領域。此外,基於駭客主義的攻擊,也將持續展開大規模的行動,甚至採用非常簡單的攻擊模式,來證明某些大企業是不堪一擊的。
4. 雲端威脅更顯著,BYOD讓威脅複雜化
許多企業在近一兩年內已經開始陸續使用雲端服務或採用雲端架構,2013年,受惠於產業生態與相關解決方案的成熟,預計使用雲端服務的企業和個人將顯著提升。Kaspersky指出,價格和彈性將是推動2013年雲端服務的兩個主要動能,一方面,雲端服務將逐漸達到經濟規模,並能為企業節省可觀的成本,另一方面,資料可以在任何時間、任何地點,以及任何裝置上被存取,包括筆電、平板電腦和智慧型手機,也讓更多企業願意使用雲端。
然而,雲端運算的發展也伴隨更多的安全威脅,有鑑於此,許多資安廠商都將雲端安全列為2013的安全防禦重點之一。首先,雲端服務商的資料中心勢必引來網路犯罪者的興趣,其次,雲端可做為病毒散播的平台。此外,雲端上的資料會被前端的使用裝置所存取,而其中有越來越多是來自員工的個人行動裝置,而這種所謂的攜帶個人裝置(Bring Your Own Device,BYOD)趨勢將在2013更加成熟。根據Gartner的預測,手機將在2013超越個人電腦成為最主要的連網裝置,而至2014年前,多數的企業都將透過私人的App Store提供企業用的行動應用程式給員工。
Novell全球產品行銷經理Justin Strong提醒,BYOD將是2013年最重要的IT趨勢之一,因此企業必須有效控管這些行動裝置,包括支援不同行動裝置平台,並結合適當的政策和規範,當新的裝置平台出現時,也能夠快速的將它納入既有的管理機制中。Strong表示,企業的行動應用將成為企業創造生產力的關鍵,不過如果企業沒有辦法有效管理BYDO,那麼IT消費化( IT Consumerization)對他們來說則會是一大威脅。
5. 鎖定Windows 8的攻擊迅速發展,Mac用戶也不能掉以輕心
微軟新的Windows 8被公認較過去的Windows版本更為安全,可讓消費者獲得更高的安全性,但在企業方面,由於多數仍不考慮在2013年升級,因此影響有限。根據Gartner的預測,直到2014前,多數的企業都不會考慮採用Windows 8。
雖然Windows 8提升與增加許多安全功能,不過另一方面,針對微軟新的Windows 8作業系統和HTML5的攻擊,將在2013年迅速的發展,並將遭受病毒和釣魚(phishing)技術的攻擊,而Rootkits惡意程式將透過BIOS、主開機紀錄(Master Boot Record, MBR)和開機磁區(Volume Boot Record, VBR)等技術持續演進和變得更多元。
儘管許多人認為Mac平台非常安全,但在過去的兩年內,鎖定Mac的病毒正持續在成長中,並有針對特定的Mac族群或個人所展開的目標式攻擊發生。此外,Mac的使用者可能有根深蒂固的觀念,認為自己不可能成為受害者,因而掉以輕心。資安專家再度提醒用戶,針對Mac的威脅確實存在,而且將會在2013年持續增加。
三. 建議
面臨2013的安全威脅,資安公司提供許多建議,以提升風險抵禦能力,以下分別針對個人和企業,進行重點摘要:
使用者
1. 確保所有的安全軟體處於最新版本:
軟體更新通常包括防禦最新惡意程式,以及修補安全漏洞,因此確保自己的安全軟體為最新的版本是最基本的保護措施。
2. 將手機納入安全保護中:
除了個人電腦外,智慧型手機以及快速興起的平板電腦,也都必須在安全保護計畫中。除了開啟手機上的安全功能之外,也可考慮使用手機安全軟體,另外,避免使用不安全的Wi-Fi連線,審慎下載app,在下載app之前仔細檢查和讀取訊息,包括其他使用者的評價等。
3. 提高密碼複雜度並定期更改:
使用普遍、簡單的密碼非常的危險,會讓自己暴露在極高的風險中,因此最好提高密碼的複雜度,比如可結合不同的字元和符號,而在不同的網頁,也避免使用相同的密碼。此外,最好每數個月就更換一次密碼,如果怕自己會忘記密碼,也可以考慮使用管理工具,幫助密碼管理。
4. 定期確認自己的銀行帳戶和行動付費:
透過這個方式,你可以發現任何可疑的付款和交易,以盡快採取補救措施,免得自己成了受害者仍不自知。
5. 永遠留意你的網路使用行為:
不論來自哪個寄件者的email或訊息,千萬不要輕易點擊其中夾帶的網頁連結、開啟附件、或是撥打訊息中提供的電話,如果是認識的人寄出的附件,打開前最好先掃描檔案。此外,留意網頁要求的軟體更新,並切記不要在email、即時通訊軟體、不明的網頁上提供你的個人資料。
企業
1.使用有效的解決方案保護你的企業
隨著越來越多的企業開始建置雲端和使用雲端服務,安全防護就變得更複雜和必要,因此企業可以考慮布署基於雲端的防護,除了在資料中心端採用適當的加密機制外,前端裝置的保護、從裝置到資料中心之間的傳輸也不能疏忽,必須讓資料保護更全面。考慮可即時偵測和辨別威脅的解決方案,並提供深度的分析以及相關的情報,以協助評估、修復和抵禦目標式的攻擊。
2. 為客戶的利益做好把關
將組織的溝通標準化,並讓你的客戶了解你的email和網頁使用政策,透過這樣的方式,你可以協助你的客戶判斷正確的訊息。
3. 建立和落實有效的IT使用規範
員工的使用行為將決定企業的安全,因此建立和教育員工安全的使用與瀏覽行為非常重要。趨勢科技建議,完善的IT使用規範必須含括:(1)保護措施(Prevention)-定義方案、政策、流程以減少可能被攻擊的風險;(2)解決方案(Resolution):以資料外洩為例,公司必須定義計畫和流程,並決定可以動用哪些資源以處理威脅;(3)回復計畫(Restitution): 為可能引發的衝擊做最好的準備,包括對於員工和客戶的溝通和補救措施,盡量將信任或商業損失降到最小,以及在最短的時間內回復。
相關文章請見2013資安關鍵字一文