網路攻擊活動恣意妄為 弱勢者成俎上肉?
發生在全球網路的攻擊活動,可說是各種型式都有,包括破壞業務正常運行的阻斷式服務、掠奪資源(包括盜取機密資料、竊用系統資源)、挾持操控他人電腦設備從事不法活動等不一而足,影響面也是全球性的。調查顯示,美國是遭受DoS攻擊最為頻繁的國家,佔61%,但是由美國所發動的攻擊活動也是最多,佔25%。在美國所發現的網路惡意活動也是全球最多的30%。平均每位Internet使用者所遭受的惡意活動次數最多的是以色列,其次為加拿大、美國。有4%的惡意活動,經偵測後發現,是由財經100大公司所註冊的網路IP所發動。
●平均每天有52,711台電腦淪為受人控制的殭屍電腦,較之前的調查下降17%。有29%的殭屍電腦是在中國,為全球最多,其中有7%在北京。美國有全球最多的殭屍電腦指令或控制伺服器,佔43%。
●46%的資料外洩導致身分竊盜問題,肇因於電腦或儲存裝置遺失。發生資料外洩導致身分竊盜問題以教育單位最多,佔30%,教育單位通常擁有龐大的資源,但在安全上卻也是相對的疏於防護,成為攻擊者的目標不足為奇。
●由於本身對資安防護能力的不足,家庭使用者往往成為攻擊者眼中的軟柿子,不是成為受害者,就是在不覺中淪為駭客的幫兇。
資訊系統、軟體弱點數量微幅下降 Web Application成攻擊標靶
根據各家調查報告統計,2007上半年針對各資訊系統、軟體所發現的弱點數量有較去年微幅下降(賽門鐵克:2,461、IBM ISS:3,273、NIST:3,596),約減少3%。而在所有各家報告發現的弱點中,最多有72%極為可能被攻擊者利用來入侵系統,其中最多有將近1成是被定義為嚴重影級等級的弱點。
而在各家的報告中,一個共同的發現就是:Web Application和瀏覽器已成為攻擊的最主要標靶。有61%的弱點發生在Web Application。而在各個廣為使用的瀏覽器中所發現的弱點數量,Microsoft IE有39個,Mozilla為34個,Apple Safari有25個,Opera為7個。同時賽門鐵克同時也發現在237 個瀏覽器plug-ins的弱點中,有89%為是針對IE的ActiveX元件。
有鑒於Web Application已成為商業應用和個人資訊取得的重要途徑,而瀏覽器亦是重要的應用工具,面對以Web Application和瀏覽器為主要目標的攻擊趨式,資訊系統和軟體開發人員更應該在開發階段中,投入更多的安全開發思維。
垃圾郵件惱人 美國是最大元兇
垃圾郵件已成為企業成本中,一項極不具生產力的無謂支出,並且為使用者帶來困擾,而這些惱人的郵件,很不幸的,看起來並不會有任何減少的趨勢!
在所監測到的E-mail流量中,有61%是被歸類為垃圾郵件。而從調查報告中的統計數字可以看出一些端倪:
●在所監測的垃圾郵件中,有60%是屬於英語系文字。
●有47%的垃圾郵件是由美國所寄出。
●全球有10%被利用來寄發垃圾郵件的殭屍電腦位在美國。
●和垃圾郵件相關的網站,其中來自於美國的就佔了1/3,其中含有色情暴力的網站,有許多也來自美國。而超過一半近6成的釣魚網站也設在美國。
●垃圾郵件的發源地,依數量排名依序是:美國、波蘭、俄羅斯。
所有的調查證據顯示,全球垃圾郵件氾濫,美國難辭其咎。
在垃圾郵件的類型中,有27%為圖像式的垃圾郵件。而垃圾郵件除了以不勝其擾的商品促銷信件為最大分類(佔22%,以信用卡促銷為大宗),最大的威脅還是以垃圾郵件做為惡意程式、威脅、詐騙及連鎖信的散播工具,根據調查結果,平均每攔截到233封垃圾郵件中,就有一封是帶有惡意程式。
駭客遍處撒網 釣魚攻擊持續快速增加
在調查期間,總共有196,860個不同的釣魚攻擊訊息被偵測到,較2006下半年增加了18%,平均每天有1,088個新的釣魚攻擊訊息。每天平均可攔截到1,250萬封的釣魚郵件(調查期間共攔截了23億筆釣魚攻擊訊息),較2006下半年增加了53%。
而在被冒用來做為釣魚攻擊誘餌的企業或品牌中,有79%為金融財務單位。在所有被發現的釣魚網站中,有72%亦為金融財務單位。因為本身所蘊含的龐大金錢利益,使得金融財務單位成為網路釣魚攻擊中的「大魚」不難理解。
能夠快速架設釣魚網站的自動化工具也助長了釣魚攻擊的氣焰,根據調查,在所發現到的釣魚網站中,有42%的釣魚網站,是利用三個釣魚網站工具套件的其中之一所建置。
惡意程式圖謀不軌 小心「木馬屠城」
調查期間總共發現212,101個惡意程式威脅,較2006下半年大幅增加了185%。而在所偵測到的惡意程式碼,前10項中有4個為木馬程式,3個為病毒,1個為蠕蟲,2個為含有病毒的蠕蟲。而在惡意程式排行榜的前50名中,更有超過一半(54%)為木馬程式。
在所偵測到的前50項惡意程式,對機密資訊會造成威脅的即佔了65%,其中有5%是針對線上遊戲,而天堂和魔獸世界更是二款最常被惡意程式當做目標的線上遊戲。
而在調查中也發現,有35%遭受惡意程式攻擊的電腦,感染超過一種以上的惡意程式,顯見使用者的電腦使用安全習慣尚待加強!而由國內主計處所做的調查顯示,95年間曾經遭遇資安事件者有51.85%,反較94年增加11.3%,顯示資安事件除了防護設施的加強外,尚需配合使用者安全意識與習慣的提升。
針對各家報告對網路攻擊、已知弱點檢視、惡意程式碼、釣魚和垃圾郵件活動趨勢所做的觀察,得到下列的現象總結:
●惡意活動專業技巧和能力更加提升,同時更加隱含有商業利益目的。
●針對特定區域所量身打造的威脅增加。
●多階段的攻擊手法增加。
●從受害者所信任的目標著手發動攻擊,化被動為主動。
●匯集多種攻擊方法。
資安風向球-資安預算支出解析
金融單位對於資訊安全的認知和感受,相較於其他產業總是較為敏感,對資訊安全的投資相較之下也較為積極。根據Deloitte 2007 Global Security Survey針對國外金融單位資訊安全投資所做的調查,在98%的受訪者所服務的金融單位中,花費在資訊安全上的支出持續成長,其中有11%的受訪表示,經費成長超過15%。
對於資訊安全投資是否足夠,有50%回覆其單位的資訊安全投資符合業務需求,35%表示預算落後正待迎頭趕上,大約有12%說預算嚴重不足,另有約2%的受訪者表示預算超過資訊安全業務的需求。
調查報告關鍵發現
1.安全關注項目持續變動,反映威脅趨勢。在和安全所關注事項的優先順序,每年都會有所變動,事實上這也直接反映出,為了跟上安全威脅的腳步,在關注事項上的優先權必須有所調整。從使用者所關注的前5項重點可一見端倪。
(1)身分和存取管理(50%)
(2)安全法規遵循(49%)
(3)安全訓練和安全意識教育(48%)
(4)安全治理(37%)
(5)災難復原和業務營運持續(37%)
安全法規遵循是唯一一項一直保持在前5名的項目。而由於在過去的近2年來,客戶資料遺失、遭竊的新聞不斷,資料保護議題成為媒體關注的焦點,因此對存取控制的稽核使得身分和存取管理(IAM, Identity and Access Management)受關注的程度躍居為第1,也就不足為奇了。
調查報告也顯示,受訪者也將焦點從抵禦外部入侵的基礎架構和邊界安全,轉移到層層把關以加強防禦縱深的需求。資料遺失、外洩、災難事件頻傳,也讓組織再次意識到災難復原和業務營運持續的重要性。
2.IAM眾所矚目。有50%的受訪者,將IAM列為他們最關注的議題,因為當組織遭到內部稽核單位糾正的前5項中,若有三項是和身分和存取管理的缺失有關(權限過度、缺乏稽核追蹤/日誌、存取控制不符合程序),IAM會一躍成為組織最關注的重點,就不難理解了。
如何確保取得信任權限的員工能夠在他們的職位上「奉公守法、安分守己」,似乎是一項大挑戰。在真實世界中也許並不常見到權限踰矩的情形,但在數位世界中,很可能在蓄意或設定不慎的情況下,就會造成存取上的漏洞,而隨著存取者、存取管道的需求增加,風險也跟著激增。有鑑於此,IAM自然成為組織降低風險的首選,另一方面也著眼於IAM解決方案所帶來的成本效益。
3.應用程式安全-一般的防禦方法已無法勝任。金融財務單位持續投資在線上的應用,並且提供客戶更安全、無國界、方便和個人化的服務,但是來自虛擬世界的攻擊風險和威脅總是如影隨形,組織傳統採用的加密、存取控制、網路安全等措施,已不足以提供線上應用程式應有的保護。根據Gartner所揭露的一項調查,應用程式安全是CIO們最關切的議題,但當被問及到組織是否有將應用程式安全和隱私保護加入軟體開發生命週期(SDLC)中,比例卻是出奇的低。
透過內部的軟體開發檢視、從廠商或業務合作夥伴取得信賴的軟體,以及確保應用程式有適當的控制和稽核追蹤是當務之急。
4.資料保護-加強縱深防禦最具效益。以資料防護為中心的觀念已成為主流,而不再以系統和交易處理為中心,因此花費在安全技術上的支出也受到幾項重點所左右,其中之一就是如何保護敏感的客戶資料?
結合安全治理、強化邊界防護的存取控制、日誌和監控機制以及資料保護技術,可以說是解決企業頭痛問題的處方。
5.安全漏洞-人員問題始終是最脆弱的一環。由於組織在基礎架構和邊界安全的防護上都已有認知,攻擊者轉而將目標指向資安管理上最為脆弱的一環-「人」,無論是客戶、員工、廠商或合作夥伴。由此可知,為何資安教育訓練和費盡心思提升資安意識會是高層主管最關心的事項之一。
6.資安領導者的持續進化。組織中設有資安長的比率正持續的上升,並且在角色上逐漸轉變成策略活動的參與者而非傳統中的維運角色。在早期,資安可說是脫胎自資訊部門,並聚焦於解決IT的安全問題。在近幾年的調查指出一個現象,就是資訊安全所被賦予的功能已經被重新定義,必須協助企業解決更大的挑戰,這對一直以來專注於IT領域的管理者而言也是一項對新領域的挑戰。
7.委外廠商關係-全新的風險領域。從國外所發生的一些重大資料外洩來看,即使是委外廠商或合作夥伴的過失,企業仍需背負起資料保護不慎的罪名,承受媒體、公眾的責難以及接受管理機關的監督調查。為了維護企業的信譽和品牌形象,必須在委外廠商和合作夥伴的管理上全程負起責任,保護自己的重要資料、合作夥伴的重要資料以及服務供應商的重要資料。