業務部 |
提到危險的 Web 威脅,唯一的常數就是「變化」,可預測的攻擊向量已成為歷史。今天,諸如 Aurora 、 Stuxnet 和 Zeus 等混合式的威脅透過組合二或多種協調戰術,滲透到企業組織內部。網路釣魚、遭入侵的網站和社交網路等,惡意人士以細膩的手法竊取機密資料,因為在網路犯罪世界裡,內容就等於現金。 Websense 2010 威脅報告顯示,最新的戰術已轉移到政治和民族主義舞台。
這些結論是依據 Websense 安全實驗室 (Websense Security Labs) 研究人員的分析,他們仰賴威脅搜尋網路 (ThreatSeeker Network) 每小時掃描超過 4,000 萬網站以搜尋惡意程式碼,以及掃描近 1,000 萬電子郵件找尋不當的內容和惡意程式碼。 2010 的威脅狀態和統計指出,由於傳統資安技術例如防火牆、防毒和簡單的 URL 阻斷措施等存在一些安全空隙,因此讓網路犯罪者和他們的混合式攻擊橫行無阻。
該報告顯示傳統防衛方法在面對今日的威脅時根本使不上力。我們都有安裝防毒、防火牆和代理等,但這些並不足以防範。網路威脅不再局限於透過附件傳輸的二進碼檔案,它們現在採用以腳本程式 (script) 為基礎的攻擊,嵌入在諸如 Flash 等多媒體內容,而且很多透過社交網站快速散播。聲譽過濾器無法阻擋那些藉由頂尖「合法」網站散播的威脅,例如佔 80% Web 流量的 Google 、 Facebook 和 YouTube 。
網路犯罪者知道傳統技術只是簡單的檢查已知資訊 (signatures),或者先前已辨識之威脅的聲譽,因此他們才能如此成功的破解既有的防護。今天的混合式攻擊大多屬於所謂的零時差 (zero-day) 類型,亦即它們在先前從未被辨識過。它們快速演變進化,並且網路犯罪者在散播之前會預先採用普及的防毒產品進行測試。這些威脅輕易的穿透防火牆和開放通道。
Websense 技術長 Dan Hubbard 表示:「組織化網路犯罪集團的持續擴張,以及針對性先進惡意程式威脅的興起,是我們所見最令人擔憂的趨勢。安全性需要領先攻擊者,並且要把重點放在脈絡分類 (contextual classification),才能瓦解它們。簡單的二進碼存取控制和城堡護城河安全方法,將無法解決我們今天所見的複雜攻擊。這些正是我們在開發 Websense 安全產品上謹記的威脅類型。」
2010 年的網路犯罪者攻擊策略放在社交網站和包含動態使用者生成內容 (user-generated content) 的網站。現在的攻擊更傾向於混合、複雜且針對性。其中許多攻擊採用新的計策和傳輸方法。腳本程式攻擊、混合電子郵件和 SEO poisoning 等,都是 2010 常見的手法。即使是最容易偵測的威脅和魁儡網路,也都成功的變形重新包裝,侵入一些仍停留在過時技術的防衛網。 2010 的大多數攻擊目的都是同一件事:竊取資料。
Websense 2010 威脅報告證實,儘管無差別的威脅持續升高,但是針對性的攻擊已呈現上揚的趨勢:
- 惡意網站數量從 2009 到 2010 年增加 111.4% 。
- 79.9% 包含惡意程式碼的網站屬於已遭侵入的合法網站。
- 52% 資料偷竊攻擊是在 Web 之上進行。
- 34% 惡意 Web/HTTP 攻擊包含用於竊取資料的惡意碼。
- 在這段期間流通的所有不當電子郵件有高達 89.9% 包含垃圾攻擊網站和(或)惡意網站的連結。
- 美國和中國在 2010 年繼續成為二個容納最多惡意碼以及接收最多遭竊資料的國家;荷蘭進入前五大排名。
- 突發新聞的搜尋風險 (22.4%) 高於不當內容搜尋 (21.8%) 。
- 23% 即時娛樂搜尋結果出現惡意連結。
- 40% Facebook 最新動態更新包含連結,而那些連結有 10% 屬於垃圾攻擊或惡意網站。
Websense 報告也分析最近登上頭條新聞的攻擊例如 Aurora 、 Stuxnet 和 Zeus,以及其他惡意攻擊向量和資料竊盜碼。報告也列舉五大資料竊盜碼統計、社交 Web 內容與威脅深入分析、以及頂尖社交網路的深入連結分析等。
Websense 商務開發、產品管理與行銷副總裁 Devin Redmond 表示:「不論是您公司的敏感財務資訊、您的社交網路或者線上銀行信用,這些都是極具價值的內容。面對如此眾多交錯複雜的向量,這些威脅需要訴諸一種新的資安方案,防護包括內傳和外送的內容。為防範今日的混合與複雜威脅,公司需要填補那些因為點方案留下的漏洞,並且轉移到一個保護他們內容的統合安全架構。」
Websense 安全實驗室也在報告預測 2011 趨勢,包括分析未來混合式威脅、恐怖活動、動態 Web 的資料流失等,呈現 2011 年網路恐怖攻擊的潛在危害。
完整報告和相關影片與背景文件請參觀 http://www.websense.com/2010threatreport 。
Websense 安全實驗室於 11 月 10 日主持一項 Webinar 網路研討會,討論 Websense 2010 威脅報告。觀看研討會請至 http://www.websense.com/content/ProductResources.aspx/?cmpid=prnr 。
Websense 威脅搜尋網路 (ThreatSeeker Network) 是 Websense 廣泛內容安全產品的骨幹,部署全世界第一個 Internet HoneyGrid 。該系統運用數百種技術,包括 honeyclients 、 honeypots 、聲譽系統、機器學習、以及先進網格運算系統,每天剖析超過 10 億內容,搜尋可能的安全威脅。它利用超過 5,000 萬即時資料收集系統,監控並且分類 Web 、電子郵件和資料內容。威脅搜尋網路結合 Websense 先進分類引擎(Advanced Classification Engine-嵌入在 Websense Web 、電子郵件和資料安全方案之內的先進複合內容分類引擎),讓 Websense 能夠對 Internet 和電子郵件內容掌握無出其右的能見度。