2013年資訊保安展望
去年對資訊保安環境構成的威脅,今年將繼續影響互聯網。香港電腦保安事故協調中心 (HKCERT) 分析了2012年的情況,作出2013年的資訊保安預測展望。
網絡攻擊
在2012年,越來越多的網絡攻擊者利用分佈式拒絕服務(DDoS)作攻擊。針對中小型企業(SME)的網絡攻擊在2012曾成為香港新聞的焦點。2012年初,一些金銀業貿易場成員受到攻擊,並被勒索求支付贖金。及後,亦有報導有關其他機構成為攻擊目標,其中包括匯豐銀行網站。這些攻擊的動機主要是為了金錢,雖然也有一些攻擊的動機是基於政治或意識形態分歧,而民族或國家發起的攻擊亦呈上升趨勢。
2013年,我們預期本地攻擊的數量將持續增長。由於網絡衝突增加,黑客活動將會相應地增加。中小型企業(SMEs)資訊保安防備較低,因此將成為攻擊目標。機構應進行資安風險評估,估量他們會否成為下一個攻擊目標,和作出的相應的防備行動。
HKCERT 統計數字
在2012年, HKCERT收到有關黑客攻擊和網頁被黑客塗改的事故報告比往年多。相比2011年,網頁被黑客塗改的事故報告增加124.6%,而黑客攻擊的事故報告則增加29.1%。(參閱圖1和圖2)
圖1 - 黑客攻擊事故報告
圖2 - 網頁被黑客塗改事故報告
數字的增幅顯示許多機構的資安保護機制仍然不足,同時,黑客團體繼續物色新的方法來侵入系統,使他們可以利用這些系統發動攻擊或寄存惡意程式。
除此之外,HKCERT在2012年曾發出429個電腦保安公告,比2011年增長25.1%,顯示發現的漏洞的嚴重性(參閱圖3)。黑客通常利用這些漏洞來入侵防備不足的電腦。
圖3- HKCERT發出的電腦保安公告
惡意軟件和殭屍網絡
惡意軟件和殭屍網絡是今天的安全問題的主要根源。我們預期在2013年將有更多針對世界各地政府和大型企業的高級持續性威脅(APT)。 這些APT攻擊會使用精密的惡意軟件,潛伏在受害者的系統一段時間,悄悄地收集敏感資料,以供將來攻擊之用。
大規模入侵網站和個人系統的事故會持續發生。 尤其是流行的網頁內容管理系統,例如 Wordress, Drupal 和Joomla將成為目標。黑客會利用這些 24小時運作的系統來發動DDoS攻擊及寄出釣魚或垃圾信息。有時,在這些受影響的系統中存儲的數據也會被盜取,導致個人資料外洩。通常這些受影響系統的擁有人對事故是一無所知的。
一些常見平台(例如Java)的漏洞,將會成為目標。以往針對蘋果電腦的攻擊甚為罕見,但隨著蘋果電腦的普及,它們將會成為新的攻擊目標。
智能手機和流動裝置
由於BYOD(使用自己裝置)的廣泛應用,手機,特別是智能手機,已經成為罪犯的目標。應用程式商店中也發現越來越多的惡意應用程式,特別是在那些"非官方"的應用程式商店。我們注意到"收費欺詐"和"SMS尊貴服務"在其他地方造成的經濟損失的報告。手機間諜程式和信息盜竊將會增長。在2012年,曾發現由受控制的流動裝置形成的殭屍網絡。這些情況也可能在香港發生。
我們也關注金融機構將推廣在手機上利用近場通信(NFC)或其他技術的繳付服務模式。我們相信,網絡犯罪分子將利用這機會,鑽研這些新服務的漏洞,來獲得財務上的收益。
雲端運算
我們在2012 看到雲端服務的中斷事故,對雲端服務的可用性和企業資料洩漏的可能性仍保持關注。
同時,網絡犯罪分子將利用雲端服務的漏洞,控制系統及盜取有價值的資料,正如他們現在攻擊一般電腦系統一樣。他們將利用雲端服務的龐大資源來破解密碼、託管惡意網站和殭屍網絡,並控制這些殭屍網絡廣泛地發動攻擊。
另一方面,雲端服務引進新的資訊保安服務,如網上應用程式的保安過濾服務陸續出現。 我們希望雲端服務供應商可提供更多資訊保安服務,使他們從競爭對手中脫穎而出。
資料外洩
有關資料外洩事故報告自2006年被公佈以來,儘管出版了指引,守則和建議,至今仍然有很多資料外洩事故發生。我們預計今年將會有新的資料外洩事故。這些新事故會涉及智能手機和流動裝置、社交網絡平台和雲端運算。對於企業和個人而言,他們必須留意這些技術的發展,並定期檢討通過這些新通訊渠道洩漏資料的可能性。
給公眾的建議
我們看到黑客使用更精密的攻擊。大家應該重視資訊保安,及為大規模的攻擊作好準備。企業應制定政策,為敏感資料進行分類,進行保安風險評估,並確定相關的保護措施。
除了採用資訊保安技術,如惡意軟件檢測及預防工具,防火牆和入侵防禦系統外,使用者應更新系統的保安修補程式,勿讓攻擊者有機可乘。
資訊保安的最佳實務守則是減少被攻擊面,建議使用者卸裝不必要的應用程式。例如,如果你不需要使用基於Java的應用程式,你可以卸裝Java。
用戶也應關注的新興技術帶來的威脅。例如雲端運算,流動運算和社交網絡等。
以下是一些由HKCERT出版的資訊保安指引:
分享至