2013年1月22日 星期二

趨勢:APT攻擊和雲端資料外洩是2013年主要資安威脅


趨勢:APT攻擊和雲端資料外洩是2013年主要資安威脅

趨勢科技8日發表2013年「資安關鍵十大預測」(10 Threat Predictions for 2013)。報告中指出在2013年各種裝置、中小型企業與大型企業網路的安全管理將比以往更加複雜。除了消費端的多元平台挑戰,企業端的IT消費化、虛擬化及雲端平台的發展,也將面臨如何抵禦APT的強化攻擊和保護業務資訊兩大難題。


▲聚焦台灣資安市場,面對雲端應用的逐漸普及,以及駭客針對性攻擊的雙重挑戰,如何更精確的保障消費端和企業端用戶的資訊安全,是趨勢科技2013年的重要任務。

惡意與高風險的Android App程式數量預計在2013年當中將達140萬,相較於2012年攀升達四倍之多。Android就像過去十年Windows的角色般,正逐漸主宰行動運算領域。

趨勢科技台灣及香港區總經理洪偉淦表示:「隨著數位科技在生活中扮演越來越重的角色以及行動裝置快速普及,消費者已經正式走出個人電腦獨占的局面,擁抱多元平台。每一種平台都有自己的介面、作業系統和安全機制。這也意味著資安威脅將出現在更多令人意想不到的地方。我們同時發現,除了個人電腦以及行動裝置,連網電視等其他具備網際網路連線功能的裝置,也可能成為未來新式的攻擊管道。」

另一項由CNET與趨勢科技所進行的2012亞太地區企業資安調查報告指出,台灣對於BYOD的支持態度較整體亞太區的表現更為正面,而資料外洩防護是台灣企業最重視的資訊安全問題第二名,但要如何有效防範惡意程式透過各種管道如行動裝置入侵企業內部亦是相當重視。

針對上述未來預測和趨勢觀察,洪偉淦進一步分析:「BYOD趨勢的逐步發展,代表著使用多種運算平台和裝置也將成為企業端用戶的新趨勢,在此同時,因為雲端儲存的穩健發展,許多企業也將因採用公共雲端服務而得以降低成本、提升服務易用度以及穩定度。但對於資安防護而言,保護這些裝置將變得複雜又困難。」

此外,於2012年造成企業資安嚴重威脅的APT攻擊,未來也將更深更廣地持續擴大與強化,攻擊能力不容小覷。因此,除了網路犯罪者將繼續利用雲端犯罪,APT攻擊持續擴張和雲端資料外洩是2013年預測中的兩大企業資安威脅!


▲洪偉淦指出,趨勢科技2013資安預測中顯示,不論是否使用雲端儲存,資料儲存基礎架構都將成為資料竊盜攻擊的目標。隨著企業開始導入公有雲服務或建置企業私有雲來存放機密資訊,企業需要檢視原先的資安解決方案是否適用於雲端環境並已提供完整的防護。

趨勢科技所發布的「2013資安關鍵十大預測」報告,內容包含企業、個人數位生活與雲端發展上將會面臨的威脅與分析。

惡意與高風險的Android App程式數量將突破百萬
惡意與高風險的Android App程式數量預計在2012年底達到35萬個,這項數字在2013年當中將攀升四倍,大致上與該作業系統本身的成長率成正比,惡意與高風險的Android App程式將越來越複雜。

APT攻擊廣度以及深度持續擴大
Gartner於2011年8月正式發表進階式目標攻擊(APT)因應策略報告後,如何防禦APT威脅已成企業資安規畫的重點。然而,駭客的攻擊廣度及深度將更為擴大,並且可能有更多的駭客及不法組織會持續投入。

網路犯罪者將大量濫用正當的雲端服務
許多企業和個人都因為改用雲端來滿足其運算需求而受惠。企業因為採用公共雲端服務而得以降低成本、提升易用度、提高穩定度,2013年必定將出現更多正當服務遭人用於非法用途的情況。

資安威脅將出現在令人意想不到的地方
「數位生活方式」使得消費者的生活與網際網路的連結越來越緊密,而新技術則提供了新的攻擊管道。除了個人電腦、平板電腦或智慧型手機等,其他具備網際網路連線能力的裝置(如連網電視),若並非以安全性為最高設計考量,很容易就被有心的駭客入侵。

運算平台和裝置多樣化 保護這些裝置將變得複雜又困難
在以往同質性高的運算環境當中,使用者教育相對上單純,因為裝置只有幾種。但2013年將不再如此,每一種行動裝置平台都需要一種不同的安全防護。同樣地,隨著App程式的功能開始逐漸取代瀏覽器,資訊安全與隱私權問題就更難有通用的建議。

以政治為動機的電子化攻擊變得更具破壞性
2013年,我們將看到更多專門修改或破壞資料的網路攻擊,甚至對某些國家的硬體基礎建設造成破壞。這樣的發展,是網路犯罪者在蒐集資訊之後自然而然的下一步行動,不論是獨立的駭客團體或是由政府資助的團體。

資料外洩依然是2013年的威脅之一
隨著企業開始將機密資訊移到雲端存放,企業將會發現,那些用來預防企業伺服器遭到大規模資料竊盜的解決方案,到了雲端環境將無法發揮應有效果。IT系統管理員必須確保雲端安全解決方案設定正確,並且在這方面擁有充分的防護能力。

解決網路犯罪需要二年以上來完成全面部署
儘管某些國家已經成立了網路犯罪防治組織,但大部分的工業化國家至少必須等到2015年之後才能有效地強制執行網路犯罪防治法律。企業仍必須在自己的IT基礎架構上採取更主動的預防措施,對於高風險的企業來說,威脅情報將成為標準防禦的重要一環。

傳統的惡意程式威脅將緩慢演進
惡意程式2013年的發展將著重於改進現有工具或回應資訊安全廠商的防堵。網路犯罪者將發現,能夠成功潛入受害者的電腦而不引起懷疑,比運用特定技術來發動攻擊更加重要。2013年,不同網路犯罪地下團體之間的彼此合作也將更加普遍。他們將專精於自己的特殊專長、攻擊手法與目標。

非洲將成為網路犯罪者新的避風港
非洲是傳奇的「419」網際網路詐騙的發源地,同時也逐漸成為精密網路犯罪的溫床。執法不嚴格的地區,向來就是網路犯罪的溫床,尤其當歹徒能夠對當地經濟有所貢獻,卻又不會攻擊當地的居民或機關團體就更受歡迎。

透過「2013資安關鍵十大預測」報告,讓消費者和企業端更能掌握未來資安發展趨勢,提早做好萬足準備。趨勢科技資深產品經理吳韶卿分享到:「為了有效應對2013的資安挑戰,一般使用者須遵守的四大須知包括:一、定時自動更新電腦;二、網路交易、下載和郵件的處理更為謹慎;三、行動裝置防護不可少;四、密碼管理不可輕忽。而企業端則要秉持三大原則積極以對:一、使用有效的解決方案來保護企業;二、標準化的政策保護客戶利益;三、建立、實行有效的IT使用準則。

資料來源:TrendWatch
轉載自《17INDA-硬底子達人網 》

沒有留言:

張貼留言