IBM資訊保安研究機構X Force發佈二〇一一年趨勢及風險中期報告,稱今年預見逾七千個安全漏洞,低於去年的八千五百個的歷史記錄,IT安全事故仍然頻生,危險和破壞程度更倍於從前。
流動平台風險日增
IBM安全顧問Venkatesh Sadayappan指,各類保安之中,以流動裝置帶來安全問題最顯著。大量用戶採用開放流動平台,對駭客無疑是巨大吸引,除蒐集用戶訊息作釣魚攻擊或盜竊身份,亦可通過傳送昂貴SMS獲利。
「隨員工自攜裝置BYO政策推廣,流動裝置類型不斷擴加,企業管理負擔日益沉重;僱員隨意以流動設備公私兩用,威脅無處不在。」報告預計,二〇一一年流動平台威脅增長兩倍,相關廠商修補漏洞行動仍見遲緩。今年三月及七月,以Android平台上的DroidDream木馬程式為例,即使Google已發布修補漏洞的更新程式,仍有製造商與運營商未能及時更新,用戶受到攻擊。
去年,佔全球保安漏洞半數的Web應用攻擊,今年降至三成七。但是,應用功能愈見複雜,開發倉卒,加上軟件更雜複,經常因此犧牲了安全,流動程式開發門檻降低,亦導致編寫人員缺乏安全意識和訓練,IBM安全託管服務(MSS)的流量監測顯示,SQL攻擊(SQL injection)仍是最常見的資料竊取手段,乘程式的漏洞,以語法偽裝的惡意SQL指令得以執行。
須重視鯨釣威脅
報告分析,較早前僵屍網絡Rustock被取締,全球濫發郵件數量隨之驟降。傳統電郵釣魚亦有所緩解,但釣魚對象更集中於金融機構(69%)。Sadayappan也提醒企業須警惕魚叉式釣魚(Spear Phishing)。有別以往海量撒網式攻擊策略,此釣魚手段目標更為精確,緊隨鎖定對象網上行蹤發送相關訊息,極易蒙混過關,成功率更高。惡意的釣魚程式數量雖略有下降,危險性卻不因而減低。尤以鯨釣(Whaling)威脅最大,因其專門針對特定高層人員,以竊取更有價值的機密資訊。
Sadayappan認為:「企業情況不盡相同,資訊保安方案自然不可一刀切。IBM Security Framework與 Security Blueprint分別著眼企業業務及資安技術層面,先對僱員身份、數據及應用、網絡及伺服器基建等方面作綜合考量,能提供真正適合企業的解決方案。不少企業往往忽略此關鍵步驟,匆忙跳至部署階段,怎能要求方案如量體裁衣般貼合實際需求?」
IBM Rational AppScan,可掃描Web應用,偵測潛在安全漏洞。IBM針對雲端環境所研發Encryption Scheme,則毋須實際解碼即可分析所傳送加密數據,從而增進雲運算平台安全。其安全託管服務MSS,於單一平台整合Symantec、CheckPoint、McAfee及BlueCoat等資訊保安方案及產品,客戶可同时受益多廠商的產品。
IBM全球科技服務部門IT服務經理陳敬文表示:「IBM全球共有九所安全運營中心(SOC),以及九個安全研究中心(Security Research Center),每日分析逾兩百億安全事件。」近日又於亞太區增設先進資訊保安機構(Institute for Advanced Security),緩解區內日益複雜的安全問題。
(可於http://public.dhe.ibm.com/common/ssi/ecm/en/wgl03009usen/WGL03009USEN.PDF下載)
沒有留言:
發佈留言