本帖最後由 z24374203 於 2012-12-29 00:00 編輯
The Channel 2012 年對資訊安全是很重要的一年。Flame (火焰) 和 Gauss (高斯) 病毒證明了網路戰爭的潛在毀滅性威脅、Anonymous 讓全世界見識到駭客份子的強大力量, 而在 iTunes App Store 發現的第一個病毒也讓我們了解到甚至連 Apple 也無法從網路攻擊全身而退。
分析:理所當然,我們今年的最後一篇文章不僅要回顧一下 2012 年全球所發生的資訊安全大事,同時也要展望一下 2013 年。今年是網路攻擊頻仍的一年,魚叉式網路釣魚 (Spear Phishing) 攻擊更是大家關注的焦點。 詐騙份子的伎倆日益精進,能夠鎖定各家公司的特定人士為目標,讓他們得以存取所需的資料,進而竊取公司的智慧財產。今年 Apple 在 iTunes App Store 發現第一個病毒的消息,讓我們瞭解到行動裝置惡意程式碼的規模將會非常龐大 (而結果的確如此)。下面這張圖表足以說明 Android 惡意程式碼驚人的成長
情況:
![]() 網路威脅也是 2012 年的關注焦點之一。從對基礎結構造成的威脅,到阻斷服務攻擊,各種投機行為在這一年中逐漸成形。有些人說網路威脅只是一種詭計,試圖讓我們覺得受到威脅 (英文),而且只是損失一些權益,並無太大關係。另外有些人則說是部分公司忽略 (英文) 了這項風險,特別是公營事業單位。該篇文章的作者表示:「公營事業單位也應善加利用其他相關機構,包括美國電腦緊急應變小組 (United States Computer Emergency Readiness Team,US CERT) 和 NERC 電力部門資訊分享與分析中心 (Electricity Sector Information Sharing and Analysis Center,ES-ISAC),積極蒐集與發佈網路威脅資訊。」我們明確看到許多以金融單位為目標的攻擊 (英文)。這種情況可能無法在短時間內消除,因為我們得知有幕後黑手專門雇用 (英文) 駭客攻擊金融機構。單是 2012 年 12 月一週,就有許多金融機構遭受最新一波攻擊的新聞 (包括 PayPal、Wells Fargo、Capital One 及許多其他機構)。很顯然,因為這是一年之中最重要的購物季節,透過存取他人的帳戶即可獲得大筆金錢。Bank Systems & Technology 的文章說得沒錯:「大家很容易就忘記,銀行是網路罪犯持續攻擊的目標。」魚叉式網路釣魚 (英文) 也出現在今年的新聞中,攻擊者想要藉此竊取智慧財產。
以下提供幾個絕佳秘訣 (英文),以防止魚叉式網路釣魚者攻擊您的信箱 (包括工作與家用信箱): - 了解您自己就是駭客鎖定的攻擊目標。
- 知道敵人的攻擊竅門。
- 控制您自己的線上狀態。
- 不要任意點選不明連結。
- 要求加強資訊安全。
我們發現最後一項很令人玩味,因為大多數人都不會想到要求公司加強資訊安全。為什麼不提出要求呢?如果醫生的辦公室裡存有您的所有私人病歷,為什麼不能要求他們確保有採取一切必要的預防措施呢?如果有夠多的病患要求醫生加強資訊安全,我們相信他們一定會採取適當措施。Anonymous 在 2012 年相當活躍 (英文),預料也不會就此消聲匿跡。他們一直是全球駭客份子 (英文) 的最前哨,只要有任何人或任何企業正在從事他們認為錯誤 (英文) 的事,他們就會窮追不捨,毫無畏懼。PCWorld 曾經刊登過一篇駭客份子對我們所有人的影響 (英文) 的文章,該篇文章說明了為什麼所有人都要注意這個問題,因為它確實影響了我們大家。
以下是部分重點: - 線上警戒 - 任何公開的顯示狀態都很容易受到攻擊,同時也暴露出部分公司未能妥善確保其資料的安全。
- 連帶損害 - 不論是對個人或公司而言,都是令人高度難堪的情況。
- 政治衝擊 - 部分具有政治動機的資料外洩事件,進而引發了全面性的革命運動。
當我們展望 2013 年時,根據 Help Net Security 的一篇文章 (英文) 提到,未來有幾個有趣的趨勢。他們列出了社交工程、進階持續性威脅 (APT)、內部威脅、自備裝置 (BYOD)、雲端資訊安全、HTML5、殭屍網路和精確鎖定目標的惡意程式碼。資訊安全絕對是新年新希望要持續努力的一個方向!根據卡巴斯基實驗室 (Kaspersky Lab) (英文) 的研究。
以下是 2013 年要特別留意的前十三大問題: - 重大基礎結構 – Flame、Gauss 和 miniFlame。
- 利用套件 – 網路罪犯的精選武器。
- 目標式攻擊 – 企圖蒐集智慧財產。
- DNSChanger – 利用詭計使消費者誤以為自己是在合法網站上。
- 殭屍網路 – 尋找較小型且較難偵測出來的殭屍網路。
- 模組化 – 駭客將他們自己的外掛程式新增到網頁瀏覽器中。
- 行動裝置攻擊 – Zitmo 和 Spitmo 仍然是最熱門的手機惡意程式碼。
- 非法憑證 – 由駭客自行建立憑證。
- NFC 惡意程式碼 – NFC 的手機付款系統。
- 利用分享做為誘餌 – 由您的「朋友」推薦且附帶問卷調查的影片。
- 線上隱私權 – 您個人資料的價值不斐。
- HTML5 - 將程式與瀏覽器加以整合,以利於罪犯使用。
- 未註冊的市場 – 在未註冊的市場設定非法網站。
祝各位都能安全無虞度過 2013 年! http://www.microsoft.com/taiwan/ ... tions_for_2013.aspx
| 
狗仔卡
發表於 2012-12-28 23:54
按個讚
收藏
分享
提升卡
置頂卡
變色卡
