美國網路安全公司賽門鐵克(Symantec)14日發布年度《網路安全威脅研究報告》(Internet Security Threat Report)指出,2014年網路安全形勢出現一些重要變化動向,分別是:安全威脅影響更深遠、網路攻擊更迅速、惡意軟體(malware)暴增、勒索軟體(ransom ware)興起。
這份報告是對賽門鐵克全球智慧型網路所收集資料的分析和研究結果。賽門鐵克表示,它的全球智慧型網路由超過5760萬個攻擊感測器組成,可以記錄每秒數以千計的網路活動,對157個國家和地區進行網路安全威脅活動監測。
重大安全威脅 全球高度關注
報告指出,如果2013年是大規模資料外洩之年,那麼2014年則是重大安全威脅頻頻登上頭條。資料外洩的數量比上年增加了23%,其中大部分由網路攻擊者造成。但人們的注意力開始轉向攻擊者何以侵入資料庫。去年發現的「心臟出血」(Heartbleed)等3個重大安全威脅廣泛存在於許多作業系統中,引起強烈關注。人們開始研究安全漏洞如何被網路威脅和網路攻擊所利用。
與此同時,攻擊者利用安全威脅發動攻擊的速度更快,但防禦措施卻沒能跟上。比如,「心臟出血」安全威脅公布後僅4小時,就有大批攻擊者聞風而動。就「心臟出血」等去年3次重大安全威脅,軟體供應商發布修補程式(patch)分別用了204天、22天和53天。
「心臟出血」攻擊者一湧而上
攻擊者的技術也在簡化和更新,而相比之下,作為潛在攻擊目標的公司很多仍沿用老一套安全措施。比如,報告顯示定向網路釣魚(phishing)攻擊去年增加8%,同時攻擊者發送的惡意電子郵件減少了14%,發送對象減少了20%。攻擊者還啟用「木馬式」軟體更新的手段,即把木馬軟體隱藏在攻擊目標所要下載安裝的軟體更新中。報告說,去年有6成的攻擊目標是中小企業,這些公司缺乏財力投資安全保護,升高了公司業務和客戶的安全風險。
統計顯示,美國去年每6家大公司(僱員人數在2500人以上)中就有5家成為網路釣魚攻擊對象,比上一年增加40%。受到攻擊的中小公司也分別增加了30%和26%。
報告說,惡意軟體大部分仍用於非定向攻擊。去年,惡意軟體新增3億1700萬個,比上一年增加了26%,意味著平均每天有近100萬個新惡意軟體出現。
電子郵件仍是網路犯罪最愛
在攻擊平台方面,報告說,網路犯罪者仍喜歡利用電子郵件發動網路攻擊,但同時他們也明顯轉向社群媒體和行動app。賽門鐵克發現,去年有70%的社群媒體騙局被點擊分享。這些騙局迅速傳播,被網路犯罪分子大加利用來發動攻擊,因為人們更願意點擊朋友圈發的訊息。
很多人認為網路威脅與個人電腦有關,忽視了對智慧型手機的基本安全保護。報告舉例說,去年有將近100萬個Android行動app實際上是偽裝的惡意軟體,佔Android系統app的17%。另外,「灰色」app雖然本身不是惡意軟體,但可以被用來跟蹤用戶習慣等。這部分app佔全部行動app的36%。
智慧型手機也需安全保護
令人擔憂的是,越來越多的犯罪者利用勒索軟體進行數字勒索。報告說,去年勒索軟體攻擊增加113%,其中加密勒索軟體攻擊激增4000%以上。犯罪分子用加密勒索軟體把受害者的文件加密,只有在受害者支付一筆贖金後才提供解密密鑰。加密勒索軟體主要攻擊Windows作業系統的設備,但賽門鐵克發現,其他作業系統的設備也開始受到攻擊。去年首次發生加密勒索軟體攻擊Android行動設備的事件。
報告還指出,在物聯網(Internet of Things,IOT)安全方面,去年對銷售點系統、ATM、家庭路由器等設備的網路攻擊有增無減。這些設備雖然常常不被視為物聯網的一部分,但它們都是帶有作業系統的聯網設備。這表明不僅個人電腦面臨網路攻擊的風險,汽車、醫療設備等也有可能成為網路攻擊目標,應該引起關注。