隨著行動通訊普及、個資法議題逐漸發酵、APT攻擊日益受到囑目,這些新的議題與環境,再再宣告著2012年資安發展趨勢,將進入全新的威脅紀元。
2011年是一個行動平台與通訊大躍進的時代,伴隨著無所不在的網路服務,從電腦、手機、家電等裝置,到叫車、生活購物等服務,其中威脅也變得無所不在,尤其是在於大量企業端之服務逐步推廣到消費端,而原本存在於電腦網路中的威脅更快速地擴充至各孔隙,但是消費端的用戶對於威脅卻渾然不知,不對稱的威脅資訊造成更多新的受害群體。
在ISF(info Security Forum)資安論壇中點出,行動裝置是造成企業網路邊界消失還是重新定義的問題?在GTR(Georgia Tech Research Institute)所提出的報告中指出重點,行動平台包含Android與 iOS都遭遇到作業系統與瀏覽器等威脅的增加、殭屍網路依舊是最大的網路威脅來源、網路上個人資訊的掌控度下降,不情願地狀況下被跨網站竊取資料。而APT的威脅亦使得企業與國家開始從「商業間諜cyber-espionage」角度來看資安入侵問題。
本文綜整各家資安報告之內容,如:微軟、趨勢科技、Symantec、M86、Trustwave、Check Point、ArcSight…等,提供一個從威脅發展、數字統計與防禦要點的參考。
|
GTR(Georgia Tech Research Institute報告重點
- The Mobile Threat Vector: 行動平台威脅,包含Android與iOS都遭遇到作業系統與瀏覽器等威脅的增加。
- Botnets: 殭屍網路依舊是最大的網路威脅來源,造成DDoS或身分竊取等問題。
- Controlling Information Online:網路上個人資訊的掌控度下降,不情願地狀況下被跨網站竊取資料、搜尋引擎遭惡意感染搜尋結果、數位憑證的破壞等。
- Advanced Persistent Threats: 先進持續威脅持續鎖定攻擊目標,利用人為失誤、若密碼與軟體弱點等,獲取情報與創造經濟優勢。
|
2012資安威脅與環境
隨著行動平台與無線網路日益普及、個資法所引發的法規遵循效應、APT攻擊、及持續精進的傳統攻擊手法,未來一年,企業所面臨的資安環境將會更嚴苛。
一、行動平台與無線網路
在近年來無線網路廣泛使用,不論是WiMax或LTE、4G等通訊方式均提供了更新、更快速的通訊,加上用戶端頻寬的性價比擴充快速,也造就了威脅對於頻寬的濫用。行動平台已經悄悄地走入各位的生活與工作中,而各行動平台的安全問題,除了裝置本身、應用軟體的安全問題頻傳,對企業而言還要面對因為行動裝置的通訊、照相、錄音…等能力所衍生的新問題。
2012會是一個行動裝置聯網遭受傳統資安威脅攻擊發酵的一年,這個態勢已經逐漸醞釀,包含Android、iOS的破解(俗稱jailbreak或root)時間縮短,以及惡意程式以400%的速度增長,在可預期的未來,行動裝置上即將有幾場腥風血雨的大事件也不令人意外。因此,也同步擴展了傳統領域資安與資訊廠商的商機,用人造的科技對抗人造的威脅,如同在電腦網路上面上演的戲碼一般。
趨勢科技九月份在Gartner Summit中有一項調查數據指出:74%的企業決策者已經允許員工使用個人行動裝置於工作相關的活動;69%的人認為行動裝置安全已經是保護企業IT環境的重要項目之一;而79%的IT決策者認為員工應該在他的裝置上安裝行動安全方案。
二、個資法效應
在國外已經具備法律規範趨動力的單一市場中,資訊安全的產品、服務均有逐年成長的趨勢。在國內,因應個資法的效應,預期也會造成新一波資安產業的黃金時代,可惜的是,市場仍舊處在代理國外產品與價格火拼的老問題下,造成總業務量上升但利潤卻無同步增長,觀察後發現原因乃是國內大部分企業與單位在於尋找與評選方案的面向較為狹隘,常常只有一兩種選擇,而選擇的提供來源則是分食各地盤的SI廠商。
我們不能說每種因應個資法的方案都能有效地解決個資法的要求,更不能相信單一方案或產品宣稱具有療效、可一舉解決個資法所有要求,如果真是這樣,那想要藉機海撈一票的方案提供者與採購者都是在一個不切實際的騙局中自欺欺人。因應個資法是沒有捷徑的,該做哪些事都應該被清楚的定義規範,政策與管理是根本體質,產品僅能輔助而非特效藥。
三、產業間諜的衝擊
在Trustwave年度報告中提到一個非常有趣的數字,發生資安事件的產業類型中,歸類於傳統產業下的「食品與飲料」行業占57%為最大宗,零售業與醫院各占18%及10%。在這樣的數字之下,我們在去年看到了大型的資訊廠商、資安廠商、國防承包商遭遇有史以來莫大的產業間諜問題,被統稱歸類為APT這個新的名詞下。簡單來說,這就是間諜行為的網路版。
在Check Point公佈的「社交工程引發的資安風險」調查報告結果亦指出:
- 有48%的受訪企業表示,已成為社交工程(social engineering)的受害者;
- 過去兩年間至少遭受25次以上的攻擊;
- 企業在每次資安事件中蒙受2.5萬至10萬美金以上的損失;
- 86%的企業認為社交工程攻擊已經是嚴重的威脅;
- 社交工程攻擊的目的多為詐財、取得競爭優勢及報復行為。
有一個英國的案例,有一家設計風力滑輪機革命性風力片的企業,因為遭受先進持續威脅(APT)攻擊被駭客鎖定目標,利用人為失誤、弱密碼與軟體弱點等,獲取情報與創造經濟優勢,使得該公司因為對手推出更便宜的同型產品導致關門大吉,企業面對APT攻擊不可不慎。
四、傳統威脅持續精進
傳統資安威脅包含惡意程式、惡意網站、病毒、蠕蟲、木馬…等,以及攻擊面行為的阻斷服務攻擊(DDoS),在防護機制逐漸以雲端化、沙箱虛擬檢測與快速聯防之下,也練就一身好武功,尤其那些能夠存活一段時間的著名威脅類型,意味著有某些成分是超越目前現有的防禦機制。
在微軟定期的安全情資報告(SIR)中指出,雖然在2011年弱點發現與公佈的數量下降,但在相同的弱點數量下,對於作業系統的攻擊程式(exploit)數量則攀升,主要最多的攻擊是針對Java、其次為作業系統與HTML/Java Script,而對於Adobe Flash與Heapspray技術手法的攻擊程式則持平微增,但如果以惡意檔案的角度來看,PDF檔案的攻擊被發現數量則是遠超過微軟Office系列檔案。
至於惡意程式種類,以廣告相關軟體Adware為大宗,其次則為木馬Trojan,而蠕蟲(worm)與後門程式(backdoor)則略遜一籌。
從數字看資安威脅
接下來,我們從網路犯罪、垃圾郵件、惡意網站攻擊等面向及各家研究報告,來看企業所面臨的資安威脅究竟有多大。
一、全球網路犯罪對消費者及經濟造成的損失高達1兆美元。值得注意的是,偷竊受害者帳號密碼的行為(Password stealer),最近造成日本50多家銀行受害金額達二億八千萬日圓(約台幣一億一千元)。英國國防部指出網路駭客攻擊是國家安全及企業經營目前面臨的最嚴重威脅,企業因機密遭竊倒閉,整體經濟損失已高達270億英鎊。英國政府亦投入6億5000萬英鎊來因應網路駭客攻擊之防禦。
二、垃圾郵件數量銳減。從2010年7月的 892億至2011年6月250億封,主要原因研判為,寄送垃圾郵件的殭屍網路(botnet)遭到執法機關取締並關閉,兩個最大的寄送來源且已被關閉的是Rustock與Cutwail殭屍網路。
三、惡意網站已經進入全自動化攻擊時代,加上各種規避黑名單與特徵檢查法,造成一般防禦方式失效。微軟報告中(圖1)指出,對於金融相關的網站攻擊大幅攀升在6月時占47.8%,其次是針對社交網站的惡意釣魚則在四月時達到歷史新高的83.8%至六月約佔20%左右。造成衝擊則是用戶帳密被盜,電腦可能會被入侵成為殭屍電腦(bot),由受害者轉為加害者的工具。
圖1、網站遭到釣魚攻擊的比例
.JPG)
資料來源:微軟SIR報告。
四、處理網路犯罪的成本增加56%。由HP的ArcSight所贊助網路犯罪調查成本報告(Second Annual Cost of Cyber Crime Study)指出,網路犯罪嚴重侵害企業的根基,平均為網路犯罪所付出的成本為150萬美元至365萬之間,較往年增加56%費用,網路犯罪已經普及化在企業間屢見不鮮。M86的安全實驗室在2010年亦發現惡意的多層次犯罪網路,造成英國某銀行675,000英鎊被盜且約莫三千筆客戶資料外洩。
企業終極防禦之道 落實員工資安教育
面對未知威脅時,唯有思維改變方可預先防範。資訊安全威脅造成的問題已經超越傳統思維的想像,而資訊科技環境不斷的進步,猶如一部汽車可以越開越快,卻無有效煞車與安全防護機制,駕駛員亦不知威脅因應之道,這將是災難的開端。
企業面對新科技使用應該有以下評量面向,以雲端科技、行動裝置及社交網路為例子:
- 是否對於雲端安全、行動裝置與社交網路有因應策略;
- 使用哪一類型的雲端服務,其最大的風險是甚麼;
- 公司資安問題對於經濟財務面的衝擊;
- 在新科技環境下對於資料隱私的保護策略;
- 面對新科技使用,目前有哪些資安防護措施、程序、技術。
同時,幾份研究報告中不約而同提到一個終極的解決辦法,就是人的教育及安全意識的提升。許多威脅是必須要有用戶之授權與操作才能達到目的,由此可見教育終端用戶資安意識的重要與必要性。在資安防護流程中,最關鍵的部分還是在使用者身上,因為使用者常被誘導犯錯,企業可以最低成本的方式,透過演練了解目前資安意識的認知程度,舉辦企業內活動並適時提供訊息讓員工知情,將員工變成企業資安防禦的眼線,參與並即時反應,才是強化資安防禦能力的根本之道。