2013年1月29日 星期二

WatchGuard預測:2013年的網路攻擊可能導致人員傷亡


WatchGuard預測:2013年的網路攻擊可能導致人員傷亡

WatchGuard日前發佈了《2013年資安市場趨勢預測》報告,這份報告是由WatchGuard安全研究分析師匯集而成,顯示新興網路威脅的增長趨勢,以及政府透過立法反制的積極作為。


▲儘管資安產業預期將新一年度的資安重點放在「反擊」措施,但WatchGuard安全策略總監預測這些措施將效率不彰,對於大多數企業組織而言終將徒勞無功。

具有CISSP(Certified Information Systems Security Professional)資格的WatchGuard安全策略總監Corey Nachreiner表示:「2012是網路安全令人大開眼界的一年,我們看到更新、更複雜的安全弱點數量不斷攀升,衝擊個人、企業和政府機構。這是安全風險創下新高的一年,不僅攻擊變得更加頻繁,許多組織更因為尚未採取妥當防護措施就遭受惡意攻擊,而造成更大損害。」WatchGuard的2013年度資安市場預測如下。

網路攻擊導致人員傷亡
WatchGuard希望這是個錯誤的預測。但是隨著愈來愈多的運算裝置被嵌入到汽車、電話、電視甚至還有醫療設備,數位攻擊導致的死亡並非不可能。當人們在開發創新技術系統時,安全性往往在最後、甚至損害已造成了才被顧及。犯罪者、駭客、甚至國家針對網路所發動的惡意攻擊,都可能導致實體設備的毀損。最近,一位研究人員展示了如何以無線方式傳送830伏特的電擊到一個不安全的心臟節律器,證明了數位攻擊可以對真實世界造成衝擊。

惡意程式透過虛擬門戶入侵
去年出現第一個真實世界惡意程式追擊虛擬機器(virtual machine; VM)並直接予以感染的案例。現今,一些新的惡意程式碼能夠辨識執行環境是否為一個虛擬系統,並採取相應的手段。WatchGuard預測2013年將有更多以虛擬機器為目標的惡意程式被開發。它將針對虛擬環境的安全弱點來設計,以避開虛擬化的自動威脅偵測系統。

惡意程式針對的是你的瀏覽器,而非你的作業系統
WatchGuard預期瀏覽器遭惡意程式感染的情形將在2013年大幅增加。隨著線上銀行等等的雲端服務日益普及,大量個資將透過瀏覽器流動。許多防毒方案把重點放在追蹤那些傳統型感染作業系統的惡意程式,而無法有效的偵測入侵瀏覽器的惡意攻擊。如今,一種新型的惡意程式已經出現:Man-in-the-Browser (MitB),或有人稱「瀏覽器殭屍(browser-zombie)」,以惡意的瀏覽器延伸、擴充程式(plugin)、輔助程序(helper object) 或JavaScript碼等方式入侵。


▲瀏覽器殭屍並不會感染整個系統,而是完全地控制瀏覽器,當使用者瀏覽網路時該惡意程式就會自動執行。

反擊行動引起的關注和實際的用處不成正比
「反擊(strike back)」是指針對駭客的惡意攻擊所作出的保護與反擊機制,WatchGuard認為這種方法將引起許多關注,但是大多數企業組織並不會實際採用。「反擊」包括法律訴訟、發動網路間諜行動、或甚至對駭客進行反攻擊。WatchGuard預期大多數組織不會建置這些措施,數位攻擊往往在多個國家之間流動,因此涉及司法管轄上的挑戰。再者,犯罪者有能力在惡意程式內植入錯誤的旗標(flags),誤導受害者和管轄機構,讓他們偵測到錯誤的攻擊位置。

IPv6專業知識的缺乏將讓我們付出代價
WatchGuard預測2013年IPv6-based攻擊和IPv6攻擊工具將會增加。就在IT產業緩慢地於網路部署IPv6的同時,大多數新裝置都已具備偵測IPv6的能力並可以自動建立IPv6網路,這代表IT專業人員管理的網路已有IPv6流量和裝置,但是他們卻沒有相關的技術知識來因應。駭客將利用IT管理者尚未建置IPv6安全管控這項弱點,發動更多IPv6-based的惡意攻擊。

有人正試圖掏空你的Android行動錢包
基於以下三大因素,縱使只是概念驗證,WatchGuard預期駭客將利用其中至少一個弱點來透過Android裝置竊取金錢。
→針對行動裝置的惡意程式數量急速攀升。
→基於Android平台的開放性,網路罪犯入侵Android裝置的比例將多於其他裝置。
→消費者更加頻繁地使用行動裝置進行線上付款。再者,包括Google在內的許多廠商也開始提供行動錢包服務,信用卡可被連結至行動裝置。


▲隨著Android裝置市佔率越來越高,駭客亦看中其龐大的市場商機,無時無刻伺機下手行「駭」。

於「安全弱點市場」進行的買賣將帶動下一波進階持續性攻擊(APT)
WatchGuard預期有至少一個被拍賣的零時差攻擊程式碼(zero day exploit)演變成重大的針對性攻擊。安全弱點市場(vulnerability market)或網路拍賣是資安領域的一個新趨勢,允許所謂的「資安廠商」將零時差軟體安全弱點賣給出價最高者。儘管他們宣稱會對客戶進行身家調查,並且只賣給北約組織(NATO)政府與合法公司,但只有少數資安措施可避免被惡意人士利用。

正式的網路安全相關法律終於可望上路
美國政府預期在2013年通過至少一項新的網路安全法,私有組織可能因此受到衝擊。美國政府正在嘗試通過網路安全法案,讓總統和政府機構享有部分控制權,當美國基礎設施遭受網路攻擊時便有權進行管控。政府也希望在私有基礎設施組織和美國情報局之間建立更多合作關係。不少組織對政府施壓,希望制定更詳盡的網路犯罪法以懲罰數位犯罪。最值得關注的是,有些組織陳情希望採行更嚴格的數位IP執法,但卻往往遭到隱私權倡議者的反對。雖然2012年已證明是網路立法艱困的一年,不過WatchGuard預期今年將有所不同。

資料來源:WatchGuard