觀點

2007資訊安全調查彙整

2008 / 05 / 12
編輯部
2007資訊安全調查彙整
又是一年的尾聲階段,各家資安廠商和研究調查機構針對資安議題的調查報告也紛紛出爐,調查報告的內容除了提供調查期間內所發現的資安現象,也對即將發生的趨勢提供解析及預測。我們彙集了各家報告的重要資訊,冀能提供給讀者對2008年資安工作的參考。
在這份彙整的報告中,提供了技術面的網路攻擊、安全弱點、垃圾郵件、釣魚詐騙及惡意程式的統計及趨勢。另一方面也提供Deloitte Touche Tohmatsu(DTT)的GFSI(Global Financial Service Industry)針對對資安問題格外敏感的國外金融單位在資安預算的調查(Deloitte 2007 Global Security Survey)結果,提供資安預算在應用上的參考。
網路攻擊活動恣意妄為 弱勢者成俎上肉?
發生在全球網路的攻擊活動,可說是各種型式都有,包括破壞業務正常運行的阻斷式服務、掠奪資源(包括盜取機密資料、竊用系統資源)、挾持操控他人電腦設備從事不法活動等不一而足,影響面也是全球性的。調查顯示,美國是遭受DoS攻擊最為頻繁的國家,佔61%,但是由美國所發動的攻擊活動也是最多,佔25%。在美國所發現的網路惡意活動也是全球最多的30%。平均每位Internet使用者所遭受的惡意活動次數最多的是以色列,其次為加拿大、美國。有4%的惡意活動,經偵測後發現,是由財經100大公司所註冊的網路IP所發動。
? 平均每天有52,711台電腦淪為受人控制的殭屍電腦,較之前的調查下降17%。有29%的殭屍電腦是在中國,為全球最多,其中有7%在北京。美國有全球最多的殭屍電腦指令或控制伺服器,佔43%。
? 46%的資料外洩導致身分竊盜問題,肇因於電腦或儲存裝置遺失。發生資料外洩導致身分竊盜問題以教育單位最多,佔30%,教育單位通常擁有龐大的資源,但在安全上卻也是相對的疏於防護,成為攻擊者的目標不足為奇。
? 由於本身對資安防護能力的不足,家庭使用者往往成為攻擊者眼中的軟柿子,不是成為受害者,就是在不覺中淪為駭客的幫兇。
資訊系統、軟體弱點數量微幅下降 Web Application成攻擊標靶
根據各家調查報告統計,2007上半年針對各資訊系統、軟體所發現的弱點數量有較去年微幅下降(賽門鐵克:2,461、XX:3,273、NIST:3,596),約減少3%。而在所有各家報告發現的弱點中,最多有72%極為可能被攻擊者利用來入侵系統,其中最多有將近1成是被定義為嚴重影級等級的弱點。

而在各家的報告中,一個共同的發現就是:Web Application和瀏覽器已成為攻擊的最主要標靶。有61%的弱點發生在Web Application。而在各個廣為使用的瀏覽器中所發現的弱點數量,Microsoft IE有39個,Mozilla為34個,Apple Safari有25個,Opera為7個。同時賽門鐵克同時也發現在237 個瀏覽器plug-ins的弱點中,有89%為是針對IE的ActiveX元件。

有鑒於Web Application已成為商業應用和個人資訊取得的重要途徑,而瀏覽器亦是重要的應用工具,面對以Web Application和瀏覽器為主要目標的攻擊趨式,資訊系統和軟體開發人員更應該在開發階段中,投入更多的安全開發思維。
垃圾郵件惱人 美國是最大元兇
垃圾郵件已成為企業成本中,一項極不具生產力的無謂支出,並且為使用者帶來困擾,而這些惱人的郵件,很不幸的,看起來並不會有任何減少的趨勢!
在所監測到的E-mail流量中,有61%是被歸類為垃圾郵件。而從調查報告中的統計數字可以看出一些端倪:
? 在所監測的垃圾郵件中,有60%是屬於英語系文字。
? 有47%的垃圾郵件是由美國所寄出。
? 全球有10%被利用來寄發垃圾郵件的殭屍電腦位在美國。
? 和垃圾郵件相關的網站,其中來自於美國的就佔了1/3,其中含有色情暴力的網站,有許多也來自美國。而超過一半近6成的釣魚網站也設在美國。
? 垃圾郵件的發源地,依數量排名依序是:美國、波蘭、俄羅斯。
所有的調查證據顯示,全球垃圾郵件氾濫,美國難辭其咎。
在垃圾郵件的類型中,有27%為圖像式的垃圾郵件。而垃圾郵件除了以不勝其擾的商品促銷信件為最大分類(佔22%,以信用卡促銷為大宗),最大的威脅還是以垃圾郵件做為惡意程式、威脅、詐騙及連鎖信的散播工具,根據調查結果,平均每攔截到233封垃圾郵件中,就有一封是帶有惡意程式。
駭客遍處撒網 釣魚攻擊持續快速增加
在調查期間,總共有196,860個不同的釣魚攻擊訊息被偵測到,較2006下半年增加了18%,平均每天有1,088個新的釣魚攻擊訊息。每天平均可攔截到1,250萬封的釣魚郵件(調查期間共攔截了23億筆釣魚攻擊訊息),較2006下半年增加了53%。
而在被冒用來做為釣魚攻擊誘餌的企業或品牌中,有79%為金融財務單位。在所有被發現的釣魚網站中,有72%亦為金融財務單位。因為本身所蘊含的龐大金錢利益,使得金融財務單位成為網路釣魚攻擊中的「大魚」不難理解。
能夠快速架設釣魚網站的自動化工具也助長了釣魚攻擊的氣焰,根據調查,在所發現到的釣魚網站中,有42%的釣魚網站,是利用三個釣魚網站工具套件的其中之一所建置。
惡意程式圖謀不軌 小心「木馬屠城」
調查期間總共發現212,101個惡意程式威脅,較2006下半年大幅增加了185%。而在所偵測到的惡意程式碼,前10項中有4個為木馬程式,3個為病毒,1個為蠕蟲,2個為含有病毒的蠕蟲。而在惡意程式排行榜的前50名中,更有超過一半(54%)為木馬程式。
在所偵測到的前50項惡意程式,對機密資訊會造成威脅的即佔了65%,其中有5%是針對線上遊戲,而天堂和魔獸世界更是二款最常被惡意程式當做目標的線上遊戲。
而在調查中也發現,有35%遭受惡意程式攻擊的電腦,感染超過一種以上的惡意程式,顯見使用者的電腦使用安全習慣尚待加強!而由國內主計處所做的調查顯示,95年間曾經遭遇資安事件者有51.85%,反較94年增加11.3%,顯示資安事件除了防護設施的加強外,尚需配合使用者安全意識與習慣的提升。
針對各家報告對網路攻擊、已知弱點檢視、惡意程式碼、釣魚和垃圾郵件活動趨勢所做的觀察,得到下列的現象總結:
? 惡意活動專業技巧和能力更加提升,同時更加隱含有商業利益目的。
? 針對特定區域所量身打造的威脅增加。
? 多階段的攻擊手法增加。
? 從受害者所信任的目標著手發動攻擊,化被動為主動。
? 匯集多種攻擊方法。
資安風向球-資安預算支出解析
金融單位對於資訊安全的認知和感受,相較於其他產業總是較為敏感,對資訊安全的投資相較之下也較為積極。根據Deloitte 2007 Global Security Survey針對國外金融單位資訊安全投資所做的調查,在98%的受訪者所服務的金融單位中,花費在資訊安全上的支出持續成長,其中有11%的受訪表示,經費成長超過15%。