企業數據外泄頻仍,究其原因,到底是黑客攻擊手法更上一層樓,還是企業基建或保安政策存在根本性的問題?Symantec上周發表最新一期「互聯網安全威脅報告(Internet Security Threat Report, Volume 18)」,報告內揭示了不少保安現象及趨勢,相信可為企業網絡管理人員掃除部分疑雲。
報告顯示,針對性攻擊於2012年內上升多達42%,比前一年大幅飊升。Symantec香港系統工程經理李輝表示,該類針對性商業間諜攻擊之目的,以竊取知識產權為主。「過去,針對性商業間諜攻擊以大型企業或機構為主要攻擊目標,但從最新一期報告數字可見,除大型機構仍穩佔五成外,過去集中於中小型企業的攻擊僅約18%,如今卻激增至31%之多,其中以製造業和小型企業為目標的情況更為明顯。」他續指,小型企業本身可說是具吸引力的攻擊目標,亦是攻擊者通過所謂「水坑」(watering hole)攻擊方式,入侵較大型企業的途徑。
勒索軟件愈見精密個人化
另一值得關注的,是勒索軟件似有死灰復燃之勢。該報告指出,消費者仍罩在勒索軟件的陰影之下;而隨著BYOD、智能手機與平板電腦大行其道,各種流動威脅數字正急促增長,其中以Android平台上的情況尤其嚴重。Apple旗下iOS流動操作系統的漏洞最多,但在這段時期內該系統只發現了一種威脅。相比之下,Android雖然漏洞較少,但針對Android的威脅數量卻遠遠超過任何其他流動操作系統。原因是Android擁有龐大的市場佔有率,加上平台又高度開放,為惡意程式提供了多個擴散的渠道,Android亦因此成為惡意程式作者的首選平台。
李輝和香港城市大學謝煥坤博士均不約而同地指出,勒索軟件雖不是新鮮事,但明顯攻擊手法精密了,攻擊對象更為集中。「過去,勒索軟件大都僅假冒防毒軟件,訛稱掃描出受害人的電腦已受感染,只須按下確認鍵即可進行掃毒,從而入侵並控制受害人的電腦,以勒索金錢。如今的勒索軟件非常『個人化』,甚至會以正確的個人署名,偽裝成速遞公司發信至受害人的電郵,訛稱對方有包裹須確認送貨。收件人不虞有詐,往往令攻擊者成功得手。」
李輝強調,攻擊者為求從不同規模的企業竊取資訊,而不斷鑽研各種新伎倆。這些攻擊十分巧妙,加上現今IT系統環境日益複雜,例如虛擬化、流動應用及雲運算技術日益普及,促使企業必須保持主動及採取更有深度的安全措施,才能有效抵禦這些攻擊。
小型企業抵抗力最低
是次報告揭示了鎖定250人以下企業的針對性攻擊,增長速度最高,佔同類攻擊的31%。小型企業或許認為自己不會成為針對性攻擊的對象,但網絡罪犯正正垂涎他們手持的客戶數據、銀行帳戶資料和知識產權,但同時又往往欠缺充足的安全措施和基礎設施,較易入手。
至於利用網站發動的攻擊去年上升30%,其中不少攻擊來源是早已被入侵的小型企業網站。這些小型企業網站被攻佔後,會被用作發動大規模網絡攻擊,以及「水坑」(watering hole)攻擊。「水坑」攻擊的原理,是首先攻佔目標人物經常瀏覽的網站,例如博客和小型企業的網站,然後靜待目標人物到來瀏覽,伺機暗中向他們植入惡意程式。Elderwood黑客集團開創了這種攻擊方式的先河,並於2012年創下在一日內,成功入侵500家商業機構的惡行。從這個案可發現攻擊者捨難取易,首先入侵安全防護較薄弱的企業,以此作為踏腳石,繞過其他企業較嚴密的安全措施。就此,謝博士倡議企業透過落實「SETA」來迎接保安挑戰 ── S即保安(Security)、E為教育(Education)、T即培訓(Training),最後A則代表關注(Awareness)。他表示,企業往往忽略風險管理的重要性,企業若能盡早針對公司基建及運作架構進行風險認證、評估及管制,則可更有效避免保安漏洞被黑客有機可乘。
沒有留言:
發佈留言