網際網路無所不在,再加上雲端運算與社群網路等新應用的興起,越來越多的人將更加依賴網路,而大多數的使用者更承認待在網路上的時間比以往更長。
根據市場調查機構Gartner的研究報告指出,Web導向的架構,以及各種Web 2.0社群網路技術──現在更延伸出所謂的Enterprise 2.0技術──均名列2009年十大最具影響力的技術排行榜,吸引企業採納,並鼓勵企業持續運用以維持競爭力。
對於資訊長而言,這些技術帶來相當顯著的利益,包括增加操作的便利性與效率、有助於管理全球市場、提供高效率的創新平台,以及更即時方便的溝通等等。
對全球企業而言,這些效益無疑是非常有幫助的;然而資訊長亦必須面臨隨之而來的全新挑戰:急速成長的犯罪集團利用網際網路的力量,利用使用者的信任竊取其機密資訊,以不正當的手段獲取暴利。
持續演進的安全威脅
這些網路攻擊在過去兩年之間,在規模與複雜程度上皆有增長的現象。比起試圖入侵組織防護網的病毒與其他惡意程式碼,現今更為迫切的問題就是網路釣魚的興起與演進;詐騙集團冒充合法的身份,透過電子郵件或假網站來騙取個資與機密資料。
反網路釣魚工作小組(Anti-Phishing Working Group)發現這類攻擊在2009年增加585%,更令人憂慮的是這類攻擊比以往更難防範;以往網路釣魚的攻擊大多侷限於色情與博弈網站,因此僅須防範這些網站就能維護安全。但現在的情況不同於過去。
網路釣魚已經成為主流的攻擊方式,網路犯罪甚至瞄準了最熱門且可信賴的網站,包括拍賣網站、搜尋引擎、百大熱門網站等都成為被鎖定的目標。
主流的攻擊手法
網路犯罪者深知使用者透過像Google等搜尋引擎連線至各網站,並據此發展出許多複雜的攻擊手法;利用使用者依賴搜尋引擎的特點,他們竄改搜尋引擎送出的搜尋結果,若使用者習慣信任這些資訊並因此放心點選這些連結,網路犯罪者就能藉此向毫無防備的使用者散播惡意程式碼。在這類攻擊中,最常採用的惡意程式碼就是仿冒的防毒軟體與影片編解碼程式。
網路釣魚攻擊有急遽增加的現象,在2009年甚至出現600%的成長幅度。雖然網路攻擊行之有年,但現在的手法更加細膩複雜,從偽造銀行或其他機構的網站,一直到竄改首頁的文字。若沒有細看,很難看出這些仿冒網站和真實網站的差異,受騙的使用者很容易就輸入登入資料或其他個人資訊。
這類網路釣魚攻擊相當有效,因為傳統的安全防禦機制都專注於對付外部的攻擊;根據賽門鐵克發佈的安全威脅報告指出,在所有通過防禦網的攻擊行為中,93%是利用要求使用者傳回所取得的內容,只有7%的攻擊是直接對付網路防禦機制─也就是傳統IT安全系統擅長的領域。(更多精彩文章詳見網管人第59期﹚