企業流動性日高,尤其在手機及平板電腦滲透率甚高的香港,流動裝置成為針對性攻擊的目標恐怕是早晚的事。
社交網絡普及程度勢如破竹,人們亦漸習慣以手機及流動裝置登入社交網絡。然而流動裝置功能雖媲美微型電腦,但在保安措施方面卻往往掉以輕心,大部分手機甚至未並安裝任何保安軟件,偏手機最常載有敏感資料如個人通訊錄等,成為黑客覬覦的對象。
保安方安供應商Symantec上周發表最新互聯網保安威脅報告,顯示去年有超過二億八千六百萬新威脅,及新威脅的五大趨勢。該報告除強調針對企業的攻擊次數急劇攀升,亦點出社交網站已成為攻擊散播平台。此外,攻擊者入侵的技倆也在轉變,愈來愈多攻擊利用Java的漏洞入侵傳統電腦系統。
二O一O五大威脅趨勢
Symantec香港區董事總經理徐海國引述新保安威脅報告指,社交網絡的興起再加上社交工程(Social Engineering),可說是保安的一大噩夢。另外四大趨勢則分別為流動威脅、針對性的攻擊、攻擊程式套件,和擅長利用零日攻擊及rootkit的Hide and Seek。
徐海國續指,去年針對性的攻擊大增,如Hydraq和Stuxnet都為企業構成嚴重威脅。為增加攻擊不被偵測成功滲透企業的機會,愈來愈多此類具針對性的攻擊,利用空窗期漏洞侵襲電腦系統。以Stuxnet為例,便運用了四種不同的空窗期漏洞,專門針對攻擊公用事業如核電廠等。去年,攻擊者就曾對多間不同類型的上市跨國際企業、政府機構,以至大量小型企業作出針對性的攻擊。在大多數情況下,攻擊者會先搜尋每個機構的主要攻擊對象,然後用特製的社交工程攻擊手法,取得進入受害者網絡的門徑。儘管受害者的企業均安裝了基本保安措施,然而大部分攻擊都因其針對性而得手。
社交網絡平台的普及程度與日俱增,難免會吸引大量惡意程式。其中一個主要的攻擊技術,便是把縮短網址張貼於社交網站。去年,黑客在社交網站張貼了數以百萬計的縮寫網址,誘騙受害者至網絡釣魚或惡意攻擊網站,在保安意識偏低的情況下,大幅提高攻擊的成功率。調查並發現,絕大多數攻擊者均透過社交網站所提供的News Feed功能,大量散佈攻擊。在一般情況下,攻擊者會登錄到被攻破的社交網絡帳戶,再張貼惡意網站的縮寫網址至受害人的狀態位置。然後社交網站的連結會自動散佈到受害者朋友的News Feed上,這極有可能在短時間內把連結傳播至數百或數千的受害者。
Java成攻擊程式套件對象
二O一O年,攻擊套件及軟件程式,讓初學者也能透過猶如安裝精靈般簡單的設定步驟,即可發動猶如黑客水平的網絡攻擊,而這些攻擊套件及軟件程式更可輕易地在網絡上下載,令「業餘」攻擊者有增加的趨勢。這些工具續漸針對Java系統的漏洞,並佔去年所有瀏覽器外掛程式漏洞的百分之十七。
Java除了是流行的混合瀏覽器,亦是多平台技術,會成為攻擊者的目標亦屬意料之中,徐海國預料此趨勢今年將持續上升。 他又透露,流動平台日趨普及,尤其市場對iPad等平板電腦產品趨之若鶩,很容易引起攻擊者的注意。因此,Symantec估計這些平台上的攻擊將會增加。
現時,流動裝置均配備嶄新的保安架構,其效用更與電腦和伺服器無異。儘管如此,攻擊者仍可透過攻擊流動平台的固有弱點,逃避這些保安措施。在流動員工日增的情況下,企業宜針對流動裝置制定相應的保安政策,慎訂存取權限,以確保接入企業網絡的裝置不會構成保安威脅。
沒有留言:
發佈留言