觀點

2008年資安環境與事件回顧

2009 / 07 / 20
編輯部
2008年資安環境與事件回顧
資料外洩持續發酵,許多防禦的觀念也轉到用戶端點防禦,包括了防制資料外洩、資料加密與端點存取管理等方案。

  今年可以說是資安市場極為低調平淡的一年,但也是各種新手法上演百花朵朵開,大鳴大放的一年。因為資料外洩持續發酵,許多防禦的觀念也轉為到第二線的用戶端點防禦(End Point Security),包含防制資料外洩(DLP)、資料加密與端點存取管理(NAC)等方案,在今年算是大豐收的一年,也因為這樣,其餘的資安產品就相形失色,沒有特別突出的現象。

  再者,從攻擊的趨勢面來看,除了網路犯罪利用時事新聞,預期受害者的動向,來個甕中抓鱉,像四川地震時大陸部分紅十字會官網遭非法入侵捐款帳號遭竄改這樣的不道德入侵都發生了,那也不必對於網路犯罪的各種可能性持太保守的觀點;還有資安相關的防禦逐漸擴增到各種行動平台之上,像是手機等行動裝置,還有我們隨身都會攜帶的捷運悠遊卡等RFID裝置的破解與竄改,也就是各種新手法不斷翻新造成新的資安問題與挑戰。另外一個值得觀察的現象是,從網頁上來的攻擊事件倍增,Web Attack增加的現象來自於多數用戶和應用系統已經以Web為介面的趨勢,尤其是在各種部落格、貼圖區與影音分享的大量成長之下,整個 Web 2.0的蓬勃發展,讓惡意攻擊的來源轉向為以用戶的網頁瀏覽器作為攻擊對象,最後偷取個資或應用系統帳戶作為獲利來源,甚至將該用戶的電腦變成所謂的殭屍電腦以獲取另外一種收益。

  最主要的原因則是,透過Web的攻擊方式成本已經遠較於攻擊傳統企業網路來的更低,一般企業也已經在邊界網路上佈署了相當的防禦能量,所以,這樣的攻擊趨勢想必會繼續成長,直到另一種低成本高獲利的犯罪方式出現。

  因應這樣的威脅轉變,許多資安與IT業者開始往雲端(cloud computing)裡面跑,也許大家對這個模式還不是很熟悉,但是其重點在於以最大的接觸面去獲取各種威脅原始資料,然後建構一個大型或超大型的資料處理交換中心,收納這些從小至個人用戶,大至企業上千台電腦所傳回的資訊,再透過一定的機制加以分析儲存運用,形成一朵很大的雲,由很多小水滴所組成。一旦需要用到裡面的資料也會透過很快的比對搜尋找到威脅資訊,提供給用戶。但是這樣的機制,很可能會儲存很多過時的垃圾,而且在新資訊進入雲端時,要如何確保其品質與確實性,這都要經過一段時間運作累積之後才會看出誰勝誰敗。

恐嚇與犯罪手法翻新 但企業警覺心不足

  從今年7月由Dan Kaminsky所發現的DNS系統漏洞,加上DNS攻擊程式碼快速地在網路散佈。至今,仍然還有近兩成五的DNS伺服器未做好更新修補,而仍舊曝露在快取污染的攻擊風險中。因為DNS所牽涉的層面非常廣,一旦組織或企業的DNS受到攻擊,那麼就可能出現諸如無法讓使用者連到其網路服務,或是將流量導向偽造的網站等具破壞性的後果。此事件理應受到大力的關注,不過似乎雷聲大雨點小。到了11月由網路服務安全廠商Infoblox的一項報告中指出,有1/4的DNS伺服器沒有執行隨機配置來源連結埠(source port randomization),而且逾4成的DNS伺服器允許遞迴查詢,這會使該DNS系統可能遭受快取污染DDoS攻擊的可能。

  針對蘇聯與喬治亞紛爭的DDoS 攻擊再度浮出檯面,讓該國的政府網路消失在地球上一段時間,但是對於一般企業現在也許平時早已受到攻擊但是流量未大到影響,所以也喪失了對於DDoS攻擊的發現與應對的警覺性。像是今年4月國內的遊戲相關論壇網站遊戲基地、巴哈姆特就遭到駭客勒索而以惡意的DDoS攻擊癱瘓該網站許久。專家們研析,7月間對喬國的這波攻擊,應是俄方後來掀起全面網路戰爭的暖身操演。隨著DDoS成為犯罪的恐嚇工具與手法,但是一般企業已經喪失警覺心,而面臨企業網站可能從網路上消失的風險,這個攻擊的危險性來自於網路上被控制的殭屍電腦或者是惡意的ISP,利用網路頻寬或消耗服務能力的方式讓您消失在網路上,正常的消費者或用戶反而連不上您的網站。這樣的問題只要發生在與網路高度相關的營運企業中,可能就會造成重大的災害。

  談到恐嚇還不只一件,加密資料檔案勒索用戶也時有所聞,當惡意軟體或木馬後門成功入侵電腦之後,他不做任何破壞而是利用加密方法把你電腦上的文件資料通通加密,綁架你的資料檔案,必須要自己和綁匪聯繫付款取得解密的方式,才得以救回你的珍貴資料。此外,現在還充斥了很多假好心、偽善的安全軟體,即偽稱電腦已遭毒害,或稱為恫嚇軟體(Scareware),在Fortinet威脅概況 (Threatscape)」報告中持續位居惡意軟體分類第1名,總數從4月的1,000萬到9月的3,000萬,持續激增。

  此外今年還出現了很多創新的犯罪手法值得我們注意,例如:利用搜尋引擎與關鍵字犯罪、隨用即丟的網域名稱、大規模自動化SQL Injection等。

麻木心態面對資料外洩仍舊的現象

  在CSI年度電腦犯罪與安全調查報告中,還是有26%的企業根本不知道或不清楚是否有發生資安事件,而更有8成的受害者都不是自己發現問題的,但是在整體資安事件的件數統計上是呈現下降的趨勢,這是好現象、資安危害減低嗎?還是攻擊更善於隱匿了呢?在今年最嚴重的一件個資外洩案,想必大家比起一般小案件(相對小)還是只留下一點點的印象,就是5,000萬筆個資外洩(2008年8月),雖然當時曾引發短暫的熱烈討論,至今也早已在低調冷處理的刻意操作下銷聲匿跡、乏人問津,連同個資法修訂在眾多法案排隊中可能也比不上兩岸與民生議題的優先性。此外,還有「國中基測31萬考生資料外洩」、「職訓E網9萬筆個資外洩」等,比起5,000萬筆根本就相形失色,但是國外TJX的4,700萬筆資料外洩就引起法律上訴訟和銀行團的賠償相比,我們的確大事化小息事寧人許多,雖然中道但卻錯得離譜。

  根據Yahoo!奇摩民調中心的網路安全調查發現,高達6成網友公認「個資外洩」為頭號地雷,其次分別為病毒攻擊與網路詐騙。各種個資外洩發生的原因五花八門,最常見的包含網站被入侵,內含一些個資就被竊走,相關受害產業如線上購物、保險、金融與醫療教育等網站,因為這上面確實存在詳盡的個資與交易記錄,很容易被變賣而進行第2階段的詐騙轉帳。另外則是用戶端遭到入侵,可能上了一些有問題的網站或者開啟不該開的惡意郵件,用戶端被入侵後,電腦上的個資與機敏資料被竊,常見者為線上購物的賣家為受害對象,然而所有相關的買家資料因此而外流,衍生後續的網路平台或個人用戶資料外洩羅生門。一般企業能想像的資料外洩方式有限,但是網路犯罪者的創意無窮,試想連實體隔離的資料都會外洩,何況是放在內部網路或供應鏈上資料的安全性呢?

零時差攻擊減緩轉為駭客地下經濟

  零時差攻擊(Zero-Day)是令資安廠商又愛又很的事情,在創造出新的資安需求與資安市場的同時,也間接提升了資安廠商的應變能力。今年,出現零時攻擊的狀況,已經在資安廠商「適度控制下」(如今年Clickjacking之零時差漏洞,廠商就與欲發佈者協商緩頰)數量已經減少。Fortinet的Derek Manky表示,「數位世界的黑市變得更複雜。」駭客利用惡意網頁大量散佈Malware的主要管道,也在網路上採購新的攻擊武器,藉以換取入侵後獲得資料與殭屍電腦做為報酬,以謀取金錢為目的。將獲得的資料與電腦控制權轉手給詐騙集團,甚至可以從中再獲取暴利。數位黑市中販賣網路犯罪工具:弱點攻擊程式、惡意程式、遭竊信用卡與其他帳戶資訊、偽造點閱次數以騙取佣金的方法、網路釣魚工具套件、零時差安全弱點,甚至還有「分散式運算」服務以及惡意程式套件出租服務 (Malware-as-a-Service)的「商業模式」。有網路研究表示個資已經不像以前那麼值錢,被竊取的信用卡資如今價值只剩40美分到 3美元不等,2008年10月16日,美國聯邦調查局宣布查獲會員制論壇「暗黑市場」 (Dark Market)。此論壇主要活動為買賣及交易個資,會員
數高達2,500名個資價格下滑,只會使駭客更辛勤工作。但多數企業對資料外洩渾然不知,只會發現競爭對手很快地掌握關鍵技術,大舉殺低價紅盤。

2009資安用戶端需求變化

  我們從攻擊面看到已經轉變為對用戶端的攻擊,透過社交網路圈與新科技的擴散,我們能須回歸到問題本質來看,像是用戶資安意識的提升以及隱私權的發酵,例如年初陳冠希不雅照事件就是個活生生的案例。而明年企業端重要的發展項目將會落在教育訓練以及租賃的服務上,詳情可見本封面故事的2009年使用者問卷調查報告。

  最後在經濟不景氣下,資安產業(不論是地上還是地下)反而成為逆勢上漲的抗跌股。身為資安從業者的你,終於明白了,因為你身兼資訊與資安的功能,反而產生優勢。在資安是不間斷的發展目標下,雖然大環境不盡理想,企業頻頻輪休或控制人力成本及停止導入新技術或是新資訊產品下,你會成為不得不的特例,更有機會由黑翻紅成為新的主力支柱。

微軟:弱點總數雖減少,近半為「高」嚴重性等級

  在微軟的Microsoft Security Intelligence Report第5版中提到,業界弱點揭露已經減少1/4左右。弱點是定義為軟體中的缺點,可能遭攻擊者利用以破壞軟體的完整性、可用性以及機密性。某些極為嚴重的弱點可讓攻擊者在遭到侵害的電腦上執行任意程式碼。此節的弱點資料是從第3方來源收集而來,包括國家標準和科技機構 (NIST)發佈的報告及Microsoft 所擁有的資料。
? 今年上半年業界不同弱點揭露總數已減少,從下半年以來下降4%,從年初以來則下降19%。
? 相較於整個業界揭露總數的減少,「高」嚴重性的弱點在下半年期間增加13%,而且所有弱點大約有48% 會收到「高」嚴重性的等級。從上半年以來仍然呈現28% 的下滑情形。

Ernst & Young''s 2008 全球資安調查 不只為了法規遵循

  保護企業名聲與品牌的動力會是下一波資安的驅動原因:85%的受訪者認為資安問題會導致企業聲譽與品牌形象受損。77%則認為要維護股東信心、72%認為要保護收益以及71%為防止客源流失。使得資訊安全在企業中的地位越形重要。68%認為會有法律規範違反與懲罰的問題。有一半(50%)的企業增加年度資安整體預算的投入金額,僅5%是減少的。
? 不論景氣壓力組織還是會持續投資在資訊安全防護
? 國際資安標準會被廣泛接受
? 從策略的角度看資安
? 隱私權很重要,但是說多做少
? 人依舊是資安最弱的一環
? 暴增的第三方與委外風險還未被指出
? 業務持續營運與資安關係更緊密
? 多數組織不願意將資安關鍵任務委外
? 少數公司透過網路安全保險轉移資安風險