赛门铁克,于2007年3月21日发布最新一期互联网安全威胁研究报告。根据报告显示,当前威胁环境的主要特征是数据窃取、数据泄漏和为了获利而以特定组织为目标进行攻击所创造的恶意代码不断增加。攻击者不断改进攻击方法,逃避检测,进而建立全球性的协作网络,用来支持持续增长的犯罪活动。网络犯罪者以获利为目的,不断开发目的性更强的恶意威胁,试图在窃取机密信息时逃避检测。
报告指出,2006年下半年,全球共有超过 600万个僵尸(Bots)网络。与上半年相比,受到感染而被远程黑客控制的计算机数量增加了 29%。尽管感染僵尸网络的计算机数量持续增加,赛门铁克检测到被僵尸网络控制的Command and Control服务器数量却减少了 25%。减少的原因可能是由于这一类服务器被成功移除,迫使僵尸网络所有者通过合并网络扩大现有规模。
2006年下半年,排名前50的恶意代码样本中,木马程序占45%,相较于2006年上半年增加了23%。这一明显上升,也证实了赛门铁克在上一期报告当中的预测:供给这回通过大量发送电子邮件传播蠕虫,转而使用木马程序进行攻击。
赛门铁克在2006 年下半年一共发现了12 个零日攻击漏洞,远远超过 2006年上半年所发现的1个零日攻击漏洞,使消费者和企业面临未知威胁。
犯罪分子和犯罪组织使用地下交易服务器兜售所窃取的机密信息的服务器,这些信息包括社会安全号码 (SSN)、信用卡、银行卡、个人识别码 (PINs) 以及电子邮件地址列表。
计算机或其他数据存储或传输介质(USB或备份盘)遭窃或丢失,占此期间与数据破坏相关的身份盗用总量的54%。
赛门铁克首次指出了恶意活动主要来源国家。美国发生恶意活动的比例最高,占全球的31%。中国次之,占10%;德国第三,占7%。
赛门铁克安全响应中心兼托管服务高级副总裁Arthur Wong 表示:“网络罪犯越来越不怀好意,他们不断改良攻击方法,使其更加精密而复杂而逃避检测。无论是消费者还是企业用户,所有的终端用户都需要部署适当的安全措施,才能防范攻击者访问机密信息,避免经济损失、对重要客户造成伤害、或是使其信誉受损。”
机密信息威胁与日俱增
赛门铁克首次针对已遭窃的机密信息交易进行追踪,同时也截获了地下交易服务器之间经常买卖的机密信息。所谓“地下交易服务器”,是指黑客与犯罪组织用于兜售所窃取的机密信息的服务器,这些信息包括社会安全号码 (SSN)、信用卡、个人识别码 (PINs) 以及电子邮件地址列表。2006年下半年,全球所有已知的地下交易服务器中,有51% 位于美国。美国的信用卡 (具有信用卡验证卡号) ,可以美金 1 元至6 元间的价格购得。而一个含有美国银行账号、信用卡、出生日期以及政府所发的识别码的身份账号,也可以美金 14 元至18 元间的价格购得。
在本次报告监测阶段,赛门铁克也观察到由于木马程序及僵尸网络的增加,使黑客能够访问受害计算机,导致针对机密信息的威胁数量大幅增多。如果已被感染的计算机上存储的敏感数据受到攻击威胁,极有可能导致重大的经济损失,尤其是信用卡或银行信息。根据赛门铁克的报告,针对机密信息的威胁在排名前50的恶意代码中占66%,高出上一阶段的48%。而在2006年下半年针对机密信息的威胁中,又有62%的威胁能够输出用户数据,例如用户名和密码,而上半年仅有38%。
数据破坏导致身份盗用现象增长
身份盗用中涉及的机密信息常被认作是导致数据破坏的主要原因。在本次报告检测阶段,赛门铁克针对由黑客活动、计算机硬件遭窃或丢失、以及安全策略故障而导致的数据破坏进行评估。数据破坏以及潜在使用机密信息进行身份窃取,会导致社会大众信心的降低、危及法律责任或引发昂贵的诉讼。全球的数据破坏大多危及政府部门,占总数的25%。政府部门成为主要攻击目标是由于其存储位置分散,可访问人群较为复杂,因此攻击者更容易获得未经授权的数据访问。
复杂的垃圾邮件以及网络诈欺方式持续攀升
赛门铁克检测到了许多高水平的组合攻击包含了垃圾邮件、恶意代码和网络诈欺。2006年下半年,垃圾邮件占所监测的电子邮件总量的59%,相较于2006年上半年呈现稳定增加的趋势。因为炒作股票的诈欺邮件 (Pump and Dump)增加,导致30%的垃圾邮件与金融产品或服务有关。通过这类邮件,网络罪犯就可以在股价偏低时买入,然后通过发送包含错误预测的垃圾邮件,哄抬股价进而从中获利。而垃圾邮件收件者一旦相信邮件内容并买入该股,便会产生需求的假象,最后导致股价攀升。当股价攀升时,网络罪犯便可卖掉手中持股从而大赚一笔。
2006年下半年,赛门铁克共检测到166,248条不同的网页仿冒信息,相当于平均每天904条,比2006年上半年高出 6%。另外,赛门铁克首次针对工作日与季节性活动能够对于网页仿冒攻击产生的影响进行分析。根据赛门铁克的检测,2006年全年中,工作日的网页仿冒信息为平均每日961条,平均高出周末27%。这一趋势表明网页仿冒活动能够反映出攻击者试图模仿合法企业发送电子邮件。但同时这也说明网页仿冒攻击的生命周期很短,而且最有效的攻击方式,就是当网页仿冒邮件发送出去之后,收件者立即接受并且读取。赛门铁克还检测,在主要的假期或世界杯足球赛等大型活动举办时,网页仿冒活动便会随之增加。这是由于攻击者认为围绕假日或活动主题对社会工程攻击(Social Engineering Attack)进行包装,更容易达到攻击效果。
报告点评:安全威胁与日俱增 企业用户应该作好防范准备
该报告涵盖了2006年7月1日到2006年12月31日六个月的时间周期,是赛门铁克从分布在180多个国家/地区的40,000 多个传感器中采集的数据。从报告中不难看出,在仅仅半年的时间里,安全威胁就已经发生巨大改变,从最初的制造恶意代码用来窃取企业数据信息,到有组织的网络犯罪,无处不在的威胁使企业的信息安全显的如此脆弱不堪,很多企业的机密数据信息正处于系统漏洞、病毒、互联网攻击等威胁下。加强自身的安全管理,合理部署安全产品,及时更新系统补丁,是保卫企业信息安全的持久战役。针对报告中的安全威胁,企业用户应该做好充分的防范准备,让你的安全防护产品及安全解决方案发挥最大效能,从容面对新一轮的安全威胁。
责任编辑:封小明
