【資安新知】網路安全威脅分析

回顧 2007 年，兩岸三地皆發生了許多的重大資安事件，其中和 Web 有關的攻擊是大家最為注目的焦點，因為以往我們認為只有連上了惡意網站，才會感染病毒或木馬程式，但是在去年卻發生包括政府、學校，甚至消費、娛樂這些一般大眾會瀏覽的合法網站，皆被利用成為惡意程式感染的主要來源。
在今年年初，安全訓練、認證與研究機構 SANS 公佈了「 2008 十大網路安全威脅」報告，預測今年主要的資訊安全威脅，來自於不斷增加的瀏覽器漏洞、網站應用程式攻擊、身份竊取、殭屍網路 (Bonet) 等行為。面對各種變化多端的惡意威脅，資訊安全人員該如何去因應，找出預防與控制之道，已是企業組織不可忽視的重要問題。
根據 SANS 所提到的十大網路安全威脅，經過歸納之後可分為以下幾類：
網站威脅 ─
●利用瀏覽器安全漏洞的攻擊，使合法網站成為最主要的攻擊目標，尤其是針對 Flash 和 Quicktime 等外掛程式的漏洞，將會使駭客入侵的成功率大幅提升。
●由於程式開發過程上的疏失，許多網站都存在著許多安全漏洞，像是 SQLInjection 和 XSS 的問題，已成為最好利用的攻擊手法，因此隨著 Web 的應用愈來愈多，針對網站應用程式漏洞的攻擊已相當普遍，也是 2007 年造成許多重大資安事件的原兇。
行動威脅 ─
●使用者所使用的手機，已經愈來愈像是一部可移動式的電腦，尤其是開放的作業平台，等於為駭客開啟了一扇窗，透過各種行動套件與 VOIP 的攻擊工具，將使得這一類的攻擊更容易發起。
●許多行動裝置，像是數位相機、 GPS 等消費性電子產品，都具備了 USB 介面以及儲存媒體的功能，這些裝置只要一連接電腦，很容易就可入侵成功，並且容易散佈。
病毒威脅 ─
●多變的蠕蟲病毒，將成為 2008 重點的威脅之一，因為它可透過 email 大量散佈，在很短的時間內即感染大量的電腦，並且不斷自我提升隱蔽技術，使得偵測與預防更加困難。
●有愈來愈多的木馬病毒，可以長時間潛伏在目標電腦之中，除了竊取資料之外，也會和 Bonet 結合，再伺機發動一些攻擊。
●除了木馬病毒之外，間諜軟體的自我保護也愈來愈強，能夠透過變種來抵抗防毒軟體、反間諜程式工具等的偵查，要徹底清除已難上加難。
內部威脅 ─
●企業最大的內部威脅，就是自己的員工、顧問和委外廠商，因為這些人員都具有一定的合法權限，所以藉由他們所獲取的資料，都是具有相當價值的資訊，企業對內部人員與資訊存取的管制不可不慎。
社交工程威脅 ─
●來自國與國之間的間諜活動將愈來愈頻繁，透過鎖定目標的魚叉式釣魚攻擊，目的就在於竊取有價值的情報資訊，攻擊者會利用郵件夾藏木馬，並且透過系統漏洞來取得目標電腦的控制權。
●結合特定事件和 VOIP 語音電話方式的混合式社交工程手法，已形成一項社會問題，駭客偽裝成政府單位或金融單位，配合 email 和語音系統的詐騙手法，使一般人很容易就會掉入釣魚陷阱。


- 資料來源-
教育部提升校園資訊安全服務計畫服務團
精誠資訊股份有限公司