防禦透過網站的攻擊 已成資安當務之急

排名最高的惡意程式當中，有80%以上都是利用網頁來入侵使用者的系統，企業必須採用多層次的即時防護，才能防止日新月異的攻擊。古榮豐攝

透過網路提供服務，已是各行各業無可避免的趨勢，不管是新聞、採購、金融、醫療、客服、行銷等產業領域，提供1個功能完善的網站，已是企業提升競爭力的關鍵，但也因此衍生出更多的資安問題。

中小企業已難置身事外

根據趨勢科技在2010年底針對中小企業所做的資安心頭憂調查顯示，中小企業在資訊安全方面最在意的前三大問題為惡意程式入侵(61.7%)、資料外洩(55%)及行動設置管控(39%)，此外員工上網行為管理(16.7%)、缺乏人力來管理(13%)也是部分中小企業所頭痛的問題。

在這項針對電腦台數5~100台數小中企業、有效受訪家數300家的調查中可以發現，除了基本的資訊安全防護需求之外，位居第2位的資料外洩，包含了公司的文件管控以及政府法規遵循的需求，更是高達55%的中小企業最關心的資安防護重點，即使是小型企業(擁有26~99台電腦)，對於全面資安防護的完整性要求仍相當高。

由於網路上已出現一些連新手都會使用的網路犯罪工具，導致網路攻擊的次數不但大量增加，除了特定類型的企業組織，更容易成為歹徒的目標，中小企業也將會更難置身事外，如ZeuS在2010年就專門鎖定小型企業進行攻擊。未來，專門鎖定知名大型企業，或關鍵基礎建設的在地化攻擊，在數量與複雜性方面都將持續攀升，但中小企業卻可能因為資安投資不足，出現更嚴重的問題。

趨勢科技技術總監戴燊指出，資料外洩在過往受到的關注度比較沒那麼高，但在此次調查中，卻可發現資料外洩的問題，不但受中大型企業重視，中小企業主也相當憂慮。事實上，隨著個資法即將實施，以及個資外洩所可能衍生的商業風險，讓服務業、資訊服務業及貿易業特別重視該風險問題。

行動裝置管控也是另一個快速成長的資安管理議題，隨著如智慧型手機及資料儲存裝置數量快速成長及應用多樣化，迫使中小企業必須從封鎖改為更彈性的管理作法。調查發現，製造業及服務業是所有產業中對此最為擔心的行業，主因應與這兩種產業因工作所需而對行動裝置管控的需求較高，使得企業主意識到更需正視該問題並欲進行有效管理。

此外，許多微型企業(擁有5~25台電腦)因為缺乏資訊人員編制，如何因應資安問題，更是企業主最擔心的問題之一，只要1個小小的資安缺口，就可能造成電腦系統的癱瘓，甚至因為資安門戶大開導致駭客入侵及機密資料外洩，讓企業主辛苦架構的所有心血付之一炬，也成為資訊安全專業委外服務業者，未來值得開拓的市場。

惡意軟體成最大威脅

隨著企業電腦作業系統的多樣性不斷增加，加上行動裝置持續普及，2011年對網路犯罪者來說，將有更多的管道及漏洞可以利用，如透過社交工程電子郵件來轟炸收件人，讓受害者下載惡意程式，藉以進行如竊取個人資料等不法行為。

事實上，趨勢科技威脅研究員已發現，排名最高的惡意程式當中，有80%以上都是利用網頁來入侵使用者的系統。如歐洲在2010上半年就已成為全球最大的垃圾訊息來源；HTML則是最常見的類別，其中商業、詐騙類和藥物藥品廣告的垃圾訊息，就佔了全球總數的65%，其中自然也隱含內含惡意軟體的網站訊息。

惡意網站的數量在2010年6月份，已從從15億上升到超過35億。其中北美洲是惡意網站的最大來源，而此類網站最高數量的訪客則是來自泛太平洋亞洲地區，其中為數不少的惡意網站為成人網站。

至於惡意軟體方面，Trojans木馬則是在2010上半年最活躍的木馬病毒，多數的Trojan木馬皆導向偷盜資料的惡意軟體。後台和犯罪軟體？資料偷盜惡意軟體，則分別排名第2及第3名，其中ZeuS和KOOBFACE惡意軟體家族，是2010上半年間最活躍的惡意軟體。ZeuS主要是1個惡意軟體工具組，設計用來偷盜使用者線上銀行交易憑證和其它個人資料。

目前的惡意軟體攻擊已經發展出了多種模式，有局部植入型的，也有可以造成電腦最大破壞的崩潰型，均以竊取銀行資金和個人資訊為目標。惡意軟體在2011年的攻擊目標會更有針對性，更加細化，當然也會受到犯罪集團巨額資金的支持。

值得注意的是，由於將近半數的惡意軟體感染皆發生在校園中及大學內，顯示教育界在資訊安全的投資可能仍嫌不足，主因在於教育界的IT基礎建設和教職員，多半相當複雜、分散且可能分屬不同的安全架構，而學生不但可能欠缺資訊安全訓練，也不見得能遵循安全規範。政府和技術產業則排名於後，各佔惡意軟體感染總數的10%。

釣魚工具轉向社交網站

過去誘騙使用者點選帶有釣魚病毒的網頁連結，多半是透過電子郵件傳送，但隨著使用者警覺心日益提高，加上反垃圾郵件技術也有所增進，釣魚工具已經轉向以社交網站如Facebook為目標。

由於社交網站的使用者彼此相互熟悉，防備心理難免會比較低，駭客們也會利用一些敏感資訊，誘使使用者分享帶有釣魚連結的頁面，許多使用者便在毫不知情的情況下，成為釣魚工具的受害者。

目前社交網站最大的威脅，主要是KOOBFACE殭屍網路及Botnet傀儡網路，趨勢科技指出，KOOBFACE份子會不斷地更新他們的傀儡殭屍網路，包括改變其架構，引進新二位元元件，及將傀儡殭屍網路的功能併入到其它二位元程式碼中。他們並開始對操控(command-and-control，簡稱C&C)的溝通進行加密，以躲避安全研究人員及權治單位的監視和破解。

由於在資安的投資會愈來愈積極，資安專家相信，正常網站遭到滲透的情況在2011年將會減少，取而代之的是，網路犯罪者將會在社交網站上發動一波波的惡意程式行動，利用精心設計的網頁內容誘騙使用者點選惡意連結，即使只是按下「讚」，都可能導致使用者感染惡意軟體下載器，而且這些惡意軟體下載器，還會隨機產生一些二進位惡意軟體來躲避偵測，如Conficker和ZeuSHYPERLINK就是利用這種手法，讓防範變得更加困難。

雲端服務導致Web攻擊大增

對於駭客來說，透過網頁攻擊本來就是最簡單的攻擊方式，尤其是防火牆無法防禦的80埠，更是攻擊者的主要突破口。尤其在雲端運算技術的大量應用下，2011年的網站服務將更為豐富，但也代表更多重要資訊都會直接存儲在雲端，勢必會吸引大批駭客開發網頁攻擊程式，給網路安全軟體廠商帶來不小的考驗。

事實上，網路應用程式中的弱點漏洞，向來就是安全設計的關鍵。光是在2010年上半年，就有2,552個弱點漏洞被提報至國際弱點安全評等機構(Common Vulnerabilities and Exposures，簡稱CVE)的資料庫中，還有可能更多弱點漏洞只是被私下舉報給供應商，並未對外公布。

由於弱點漏洞屬「過路型」威脅，使用者必須進入已經被破壞的網站，才會受到感染。當網路犯罪份子利用未經修補的弱點漏洞入侵網站時，伺服器通常也會受到攻擊。這或許會比入侵破壞單一使用者系統困難，但對網路犯罪份子而言，其潛在的利益則要高出許多。此外，網路專家也預測，2011年很可能會出現更多針對資訊安全廠商品牌的攻擊行動，其用意是要製造使用者的混淆與不安。

多層次即時防護的重要

只要可以獲得巨大的金錢利益，網路犯罪不可能消失。儘管全球對網路犯罪的認知日益提升，但未來也將會有更多地下犯罪組織合併或聯合行動，矛與盾的戰爭將不可能止息。

由於有越來越多的惡意軟體，會在攻擊時盜用或使用合法的數位簽章來躲避偵測，加上變種速度太快，資訊安全廠商將再也無法透過在本機電腦上儲存威脅特徵資訊來防範，但這並不代表特徵資訊沒有價值，因為網路上仍充斥著各種舊的惡意軟體，如果使用者刪除舊的特徵資料，可能會被這類舊的惡意軟體感染。

未來勢必也會出現更多針對行動裝置的概念驗證攻擊，順利得逞的可能性也會很大。來自於網際網路的威脅數量愈來愈多，精密程度也愈來愈高，企業未來必須採用多層次的即時防護，如利用信譽評等技術和雲端威脅資料庫交叉分析網頁與電子郵件威脅資料，才能防止日新月異的攻擊。