思科發表《思科2014年度安全報告》,指出網路上,利用使用者對系統、應用程式與個人網路的信任而產生的攻擊威脅已經到了驚人的地步。根據報告,全球有將近100萬的資訊安全專業人才短缺,直接影響機構監控防護網路的能力,整體漏洞和威脅達到自2000年以來的高峰。
此報告清晰呈現了企業、IT部門和個人正面臨急速演進的資安挑戰。駭客(attacker)使用的方法包括利用社交工程(socially engineered)竊取密碼與憑證、藏身於不起眼處滲透入侵、以及利用經濟交易、政府服務、社交互動取得所需的身分認證。
報告重點摘要:
.威脅層面的日益複雜化及擴散:之前僅造成有限傷害的簡單攻擊轉變成了有組織的網路犯罪,他們不僅手法細膩、有充裕資金作為後盾,更有能力使受攻擊的公部門或私部門遭受嚴重的經濟與名譽的損害。
.智慧型行動裝置及雲端運算快速成長,讓網路攻擊的層面達到前有未見的龐大程度,導致日趨複雜的犯罪手法與解決方案:新款的裝置類型與基礎架構都為駭客提供了更多機會,那些未被發現的漏洞及缺乏防禦能力的資產,都讓他們有機可乘。
.網路犯罪者瞭解到與單純入侵個人電腦或裝置比較,利用網路基礎設備的力量可獲取更大的利益:這些鎖定基礎設施的攻擊行為,目的在於入侵並策略性的鎖定網頁主機伺服器、網域名稱伺服器以及資料中心,進一步擴散攻擊,對利用這些資源建構的眾多個人資產造成損害。駭客鎖定網際網路基礎設施,讓所有連結或仰賴這些設施的裝置都受到嚴重影響,其可靠性毀於一旦。
重要發現:
.整體漏洞與威脅達到自2000年首次追蹤報告以來的新高。至2013年10月為止,累積的年度警示數量相較去年同期有14%的增幅。
.報告指出在2014年全球安全專業人才短缺人數已超過100萬。網路罪犯利用精密的技術與策略,不斷地試圖入侵網路與竊取資料,這些威脅已超越了IT與安全專業人員所能抵禦的範圍。大多數機構並沒有足夠的人力或系統持續監視如此大規格的網路與偵測滲透攻擊,並及時有效地實施防護。
.取樣30家全球最大的跨國企業網路後,發現當中100%的網路內容會引導訪客前往含有惡意程式碼的網站。另96%的網路瀏覽會透過核閱通訊傳輸進而入侵伺服器系統。92%發送到這些網頁的傳輸沒有實際內容,為典型的惡意攻擊行為。
.分散式阻斷服務(DDoS)攻擊:阻絕來往目標網站的傳輸,可癱瘓所有的ISP,而且在數量與嚴重性均有上升趨勢。有些DDoS攻擊的目的在於掩護其他不法活動,像是在電信詐騙中,前期、中期、後期所產生的擾亂、干擾DDoS的活動。
.多目標木馬是最常見經由網頁散佈的惡意程式,在2013年的總數更增加27%,利用防禦漏洞(exploit)與內置框架(iframe)的惡意程式碼,是排行第二的常見類型,比例達到23%。另外像是密碼竊取與後門程式這類盜取資料的木馬,在網頁惡意程式碼總數中佔了22%。另類惡意程式碼主機與IP網址的數量持續下滑,從2013年1月至2013年9月之間就減少了30%,代表惡意程式碼逐漸集中在更少的主機以及更少的IP網址。
.Java依舊是最常被駭客使用的程式語言。現已納入思科旗下的Sourcefire所公布的資料指出,Java漏洞攻擊在Indicators of Compromise(OCs)指標中佔了絕大多數(91%)的比重。
.99%針對行動裝置的惡意程式都鎖定Android裝置,有43.8%裝置都遇過的Andr/Qdplugin-A是最常見的行動裝置惡意程式,通常是透過重新包裝的合法應用程式,並透過非官方的網路市集來散佈。
.特定行業,像是製藥、化學、以及電子製造業,遇到惡意程式碼的比例一直都居高不下。在2012與2013年,農業與採礦業遭遇惡意程式碼的比例出現可觀的成長,而這些行業以往都是風險相對較低的產業。另外能源/石油/天然氣行業遭遇惡意程式碼的次數也持續攀升。