IBM X-ForceR報告：網路安全陷入空前危機

報告顯示，2009年上半年所揭露之新增惡意網頁連結暴增了508%，且威脅來源更趨廣泛，不再侷限於惡意網域或不安全的網站，連值得信賴的網站─包括知名搜尋引擎、部落格、BBS、個人網站、線上雜誌與主流新聞網站上的惡意內容也有上升趨勢。此外，攻擊目標仍以非法入侵與資料竄改竊取為主。

X-Force研究亦指出，隱藏式網頁攻擊（特別是PDF檔）的數量創下歷史新高，顯示駭客的攻擊手法與技巧都愈來愈高明。2009年上半年所揭露之PDF漏洞數量已超越2008年全年總數。從2009年第一季至第二季之間，IBM ISS安全管理服務（ISS Managed Security Services）團隊所監控到的可疑、具混亂程式碼（obfuscated）或隱藏攻擊的內容便幾乎加倍。

台灣IBM全球資訊科技服務事業部資安服務產品經理陳俊昌表示：「此報告呈現的結果顯示，網際網路已成為各方掠奪、草木皆兵之地，什麼人都不能相信。所謂的安全瀏覽行為已不復見，而惡意程式更不限於危險網站，而是到了每個網站都得懷疑、每個用戶都可能被攻擊的地步。在網路生態系統內多方威脅合流的現實下，一場違法活動的完美風暴正在成型。網站管理人員不能置身於外而必須負起安全責任，定期檢驗網站的安全漏洞及風險，強化網站的安全防護，並提供用戶安全無虞的瀏覽環境。」

網路安全不再只是瀏覽器或用戶端的問題，許多駭客正透過網頁應用程式的弱點來鎖定合法網站的用戶。X-Force報告指出，網頁應用程式攻擊大幅攀升，其目的不外乎竊取和擅用資料，以及癱瘓和佔用受侵害的電腦。舉例來說，自動資料隱碼攻擊（SQL injection）─即利用網路將惡意程式嵌入合法網站，以攻擊造訪網站之用戶的手法─在2008年第四季至2009年第一季間數量便增加50%，而從2009年第一季到第二季間更暴增將近一倍。

「2009年上半年有兩大趨勢，第一是藏有惡意程式的網站有增無減，第二是嵌有混亂程式碼網頁的攻擊數量成長一倍，」陳俊昌補充道：「這反映出網路生態系統根本的安全弱點。隨著瀏覽器、外掛程式、內容與伺服器應用程式之間可相互操作，網路的複雜度與風險性大幅上升。在瀏覽環境危機四伏，網頁應用又不夠安全的情況下，罪犯正伺機侵害合法網站的用戶。」

IBM X-Force 2009年年中報告其他重要內容：
安全弱點已進入高原期。2009年上半年共發現3,240個新弱點，較去年同期減少8%。過去幾年間所揭露弱點的成長幅度似已漸趨穩定。2007年弱點數量為歷年首度下降，但在2008年又創下新高。每年新發現弱點數約莫在六、七千之譜。

2009年上半年所揭露之可攜式文件格式（PDF）弱點數量已超越2008年全年總量。 新發現的惡意程式案例中，半數以上都是特洛伊木馬程式。2009上半年間，木馬程式佔所有新揭露之惡意程式的55%，較去年同期上揚9%。竊取資料的木馬程式又最為普遍之惡意程式。

網路釣魚詐騙數量已顯著下降。分析師認為，銀行木馬程式已取代釣魚攻擊，成為駭客入侵金融機構的主要工具。2009年上半年間，66%的網路釣魚鎖定金融產業，較去年同期的90%減低，且其中有31%的攻擊鎖定線上付款機制。

夾帶惡意網址的垃圾郵件（URL spam）仍為安全弱點最大宗，但圖像型垃圾郵件有死灰復燃的趨勢。圖像型垃圾郵件在2008年幾乎絕跡，在2009年上半年再度出現，然比率僅佔所有已通報垃圾郵件的不到10%。

幾乎半數的安全弱點沒有被修補。與2008年年底時趨勢相近，2009年上半年間所揭露的安全弱點中，幾乎半數（49%）均未獲軟體或系統商提供修正檔。

X-Force研究團隊自1997年來便投入安全弱點的分類、分析與研究，目前已完成近四萬三千筆安全弱點的分類，擁有全球最大的安全漏洞資料庫。透過此資料庫，X-Force研究人員致力了解漏洞被發現與傳播的模式。