思科发表《思科2014年度安全报告》,指出网络上,利用使用者对系统、应用程式与个人网络的信任而产生的攻击威胁已经到了惊人的地步。根据报告,全球有将近100万的资讯安全专业人才短缺,直接影响机构监控防护网络的能力,整体漏洞和威胁达到自2000年以来的高峰。
此报告清晰呈现了企业、IT部门和个人正面临急速演进的资安挑战。骇客(attacker)使用的方法包括利用社交工程(socially engineered)窃取密码与凭证、藏身于不起眼处渗透入侵、以及利用经济交易、政府服务、社交互动取得所需的身分认证。
报告重点摘要
威胁层面的日益复杂化及扩散:之前仅造成有限伤害的简单攻击转变成了有组织的网络犯罪,他们不仅手法细腻、有充裕资金作为后盾,更有能力使受攻击的公部门或私部门遭受严重的经济与名誉的损害。
智慧型移动装置及云端运算快速成长,让网络攻击的层面达到前有未见的庞大程度,导致日趋复杂的犯罪手法与解决方案:新款的装置类型与基础架构都为骇客提供了更多机会,那些未被发现的漏洞及缺乏防御能力的资产,都让他们有机可乘。
网络犯罪者了解到与单纯入侵个人电脑或装置比较,利用网络基础设备的力量可获取更大的利益:这些锁定基础设施的攻击行为,目的在于入侵并策略性的锁定网页主机伺服器、网域名称伺服器以及资料中心,进一步扩散攻击,对利用这些资源建构的众多个人资产造成损害。骇客锁定网际网络基础设施,让所有连结或仰赖这些设施的装置都受到严重影响,其可靠性毁于一旦。
重要发现
整体漏洞与威胁达到自2000年首次追踪报告以来的新高。至2013年10月为止,累积的年度警示数量相较去年同期有14%的增幅。
报告指出在2014年全球安全专业人才短缺人数已超过100万。网络罪犯利用精密的技术与策略,不断地试图入侵网络与窃取资料,这些威胁已超越了IT与安全专业人员所能抵御的范围。大多数机构并没有足够的人力或系统持续监视如此大规格的网络与侦测渗透攻击,并及时有效地实施防护。
取样30家全球最大的跨国企业网络后,发现当中100%的网络内容会引导访客前往含有恶意程式码的网站。另96%的网络浏览会透过核阅\通讯传输进而入侵伺服器系统。92%发送到这些网页的传输没有实际内容,为典型的恶意攻击行为。
分散式阻断服务(DDoS)攻击:阻绝来往目标网站的传输,可瘫痪所有的ISP,而且在数量与严重性均有上升趋势。有些DDoS攻击的目的在于掩护其他不法活动,像是在电信诈骗中,前期、中期、后期所产生的扰乱、干扰DDoS的活动。
多目标木马是最常见经由网页散布的恶意程式,在2013年的总数更增加27%,利用防御漏洞(exploit)与内置框架(iframe)的恶意程式码,是排行第二的常见类型,比例达到23%。另外像是密码窃取与后门程式这类盗取资料的木马,在网页恶意程式码总数中占了22%。另类恶意程式码主机与IP网址的数量持续下滑,从2013年1月至2013年9月之间就减少了30%,代表恶意程式码逐渐集中在更少的主机以及更少的IP网址。
Java 依旧是最常被骇客使用的程式语言。现已纳入思科旗下的Sourcefire所公布的资料指出,Java漏洞攻击在Indicators of Compromise(OCs)指标中占了绝大多数(91%)的比重。
99%针对移动装置的恶意程式都锁定Android装置,有43.8%装置都遇过的Andr/Qdplugin-A是最常见的移动装置恶意程式,通常是透过重新包装的合法应用程式,并透过非官方的网络市集来散布。
特定行业,像是制药、化学、以及电子制造业,遇到恶意程式码的比例一直都居高不下。在2012与2013年,农业与采矿业遭遇恶意程式码的比例出现可观的成长,而这些行业以往都是风险相对较低的产业。另外能源/石油/天然气行业遭遇恶意程式码的次数也持续攀升。
支援引述
思科资深副总裁暨威胁回应情资及发展部门首席安全长John N. Stewart指出:「虽然思科年度安全报告描绘出当前网络安全的严峻局势,然而我们仍有希望扭转对人、机构及科技的信任感。第一步要做的就是为防御人员提供实务上的知识,让他们了解目前持续扩张的攻击层面。为真正有效保护这些所有可能发生的攻击,防御者必须从事前、过程中、以及攻击之后了解骇客与其动机,以及其采用的方法。
