2010年1月6日星期三

資訊保安回顧與前瞻

網上世界瞬息萬變,Web 2.0的出現令其變得更多樣化,令Web 2.0成為O九年一個重大的保安威脅。

目前,不僅香港,全球使用Web 2.0應用,尤其社交網絡如網誌、FacebookTwitter等的用戶愈來愈多。據Websense的調查顯示,幾乎全球所有受訪IT管理人員〈95%〉均容許員工在辦公時間瀏覽,及使用部分Web 2.0 網站。接近一半受訪IT管理人員〈47%〉承認其員工曾違規瀏覽使用Web 2.0網站,而86%受訪IT管理人員均為此面對沉重壓力,他們一方面希望讓員工盡享Web 2.0的便捷,另一方面又擔心Web 2.0會對企業構成保安威脅。

現時,香港不少企業正透過Facebook等網絡平台推廣產品,並作為與客戶溝通的橋樑之一;而其他歐美國家甚至更早前便已開始利用此形式作溝通平台。然而,Web 2.0容許用戶自行編制及提供內容的特點,令網上世界的攻擊變得愈趨複雜,例如,黑客可輕易地透過Facebook自行編制網上廣告,誘導用戶連結至惡意網站,在不知不覺間盜取瀏覽者電腦系統內之重要資料。據Websense調查顯示,O九年上半年度,95%來自用戶在社交網站如網誌、聊天室或留言版上自行編制的留言,均是垃圾留言或藏惡意攻擊。

近期,不少政府部門職員接二連三因使用分享軟件Foxy,而導致政府的敏感資料外泄。究其原因,全因現時員工將公司資料或檔案帶回家繼續工作的情況甚普遍,加上家用電腦的保安水平一般較企業電腦低,企業敏感資料存放在家用電腦,必定會增加外泄的風險。Websense亞太暨中東區技術經理譚偉基指出,要有效減低資料外泄的機會,政府部門及企業必須先制定一套防資料外泄的風險管理程序,並同時透過員工教育,提高他們對保護敏感資料的安全意識。但要根治問題,不妨先從如何防止員工將公司資料或檔案帶離公司管轄範圍入手。

「現今企業環境,對外資訊交流的渠道非常多,常見的有電郵、網站上載、USB裝置等。每一個渠道都為企業帶來不同程度的風險。所以,一套有效的防資料外泄風險管理程序及技術,必須能顧及在各個渠道所面對的資料外泄風險,並可同時應對各式各樣的資料格式及內容。」

Conficker威脅未減

被歸類為蠕蟲程式的Downadup/Conficker早前感染數以百萬的電腦,程式寄生在受感染的電腦中,能自我隱藏、更新,以及透過不同媒介如點對點傳送增加感染率,然後伺機發動攻擊。譚偉基表示,類似Downadup/Conficker之蠕蟲程式的攻擊對象,主要針對擁有具高價值數據的大型企業,因此,對具高價值數據的用戶而言,Downadup/Conficker在二OO年仍會是一個不可輕視的保安威脅。

八大保安趨勢

踏入新一年,譚偉基預測企業須面對八大保安威脅:

一、Web 2.0網站攻擊愈趨成熟:黑客利用社交網站散播惡意攻擊的情況不斷上升,而搜尋網站如Topsy.comGoogleBing.com的即時搜尋功能,亦成為黑客發動攻擊的新目標。由於使用Web 2.0平台的用戶有增無減,Websense相信,針對Web 2.0網站的攻擊將於二OO年持續。

二、電郵重新成為黑客發動攻擊的首選途徑:Websense發現,黑客沉寂數年後,去年再次透過電郵暗藏木馬程式的附件,發動大量攻擊;他們更不時利用坊間熱門事件誘導用戶開啟有關電郵、附件或惡意連結。Websense認為,透過包含數據盜取附件〈data-stealing attachment〉及URL的電郵以發動攻擊的情況今年將會加劇。

三、針對微軟Windows 7Internet Explorer 8的攻擊勢將出現:隨著使用人數急升,黑客將透過繞過用戶帳號控制〈User Access ControlUAC〉的警告發動攻擊。VistaUAC最初是為了防止惡意軟件對系統作出永久更改而設,但Vista於每次更改操作系統內容如IP、時區等時,都會彈出視窗以示警告,由於視窗出現得太頻密,大部分用戶均忽視其警告,甚至關閉此功能。雖然 Windows 7試圖減少視窗數目,只允許四個級別的UAC,但用戶介面及系統之間的保安挑戰依然存在。

四、搜尋網站不能盡信:愈來愈多黑客利用稱為搜尋引擎優化〈Search Engine OptimizationSEO〉或黑帽搜尋引擎優化〈Blackhat SEO〉發動攻擊。用戶搜尋網站進行搜尋時,黑客會將其惡意網站的連結置於搜尋結果的較高位置,比其他合法網站連結較早出現,誘使更多受害者登入惡意網站。在過去一年,黑客已利用此技術攻擊眾多搜尋結果,如Google Wave邀請及iPhone短訊功能等。當隱藏在搜尋結果的惡意攻擊被偵測及移除,黑客只須將其殭屍網絡轉移至另一個新的熱門搜尋關鍵字,便能繼續進行攻擊。Websense預測,SEO攻擊將於今年增加,除非搜尋服務供應商改變其目前處理文件及網站連結的方式,否則有可能導致用戶對搜尋結果失去信任。

五、殭屍網絡群將互相侵略:過去一年,Websense發現殭屍網絡群不斷增加,它們互相利用相似的垃圾郵件或網上廣告,如假冒DHL及美國郵政總局〈United States Postal Service〉發出虛假通知等,以發動攻擊。Websense預計此情況將於二OO年持續。此外,Websense預期有更多不同殭屍網絡群之間的侵略行為,部分殭屍網絡可偵測及主動鏟除競爭對手,例如早前發現Bredolab殭屍網絡在受感染的電腦上,令Zeus/Zbot不能運作。

六、智能手機成新攻擊目標:儼如個人微型電腦的智能手機,如iPhoneAndroid日漸流行,不少用戶更以之應付日常工作,甚或以其進行金融交易。然而,智能手機缺乏全面保安功能,對用戶個人及企業資料構成威脅。WebsenseO九年末就首次發現針對iPhone平台的攻擊,以及iPhone上,首個包含殭屍程式的數據盜取惡意電郵攻擊。Websense估計,智能手機於二OO年將逐漸成為黑客的新攻擊目標,而黑客的主要目標為盜取智能手機上的個人資料。

七、惡意廣告成另一攻擊渠道:O九年,紐約時報官方網站曾出現一個防電腦病毒軟件優惠的廣告,但其實此廣告本身就是黑客假扮廣告商發動的攻擊。預計今年將有更多黑客透過隱藏惡意攻擊的廣告作不法活動。

6.八、Macintosh不再免疫:蘋果公司在消費及企業市場的急速增長終引起黑客注意,加上不少用戶誤以為Macintosh電腦〈Mac〉能免於網上安全威脅,未有採用足夠的保安措施及下載修補程式。故繼Mac OS X平台受到攻擊後,黑客料將再接再厲向Mac發動攻擊。蘋果去年發表了六個大型安全更新,顯示Mac的潛在風險。相信今年將會有更多針對Mac平台的攻擊,而首個針對Apple Safari瀏覽器的惡意驅動器亦可能會出現。

譚偉基續指,不少企業近年受經濟不穩影響而須重組業務或裁員,由於溝通不足,部門及企業間處理數據的守則各異,在界定何為敏感資料及數據缺乏統一標準等的情況下,容易導致重要及敏感資料及數據外泄。另一方面,在工作上使用智能手機或社交網站日漸普及,為黑客提供了發動攻擊的新平台,增加企業外泄敏感資料的風險。

要有效防止敏感資料外泄,企業首先要針對數據本身。企業可採用如Websense數碼指紋技術等方案,防止敏感資料被改頭換面後,經各種渠道外泄。此外,企業應為敏感資料制定使用權限,如只有高級行政人員才可複製或轉載敏感的客戶資料;企業亦可限制敏感資料的使用模式,如只允許員工在企業範圍內存取及使用敏感資料,但不可上載至某些類型的網站,或複製至外置式硬碟等。

沒有留言:

發佈留言