報告揭示新增攻擊矛頭指向瀏覽器及社交網

近幾日各家廠商都分別針對網絡安全發表報告，而且大家都不若而同的提及社交網絡以及瀏覽器的安全問題。剛剛由 IBM 網絡保安研究小組 X-Force 所發表的「二零一二年中期趨勢及風險報告」中亦明確指出針對瀏覽器的攻擊、對社交媒體密碼保安的重新關注，以及對流動裝置和企業「自攜設備」(BYOD) 計劃的持續分歧，均顯著增加。相信大家都知道，網上威脅變化多端，在新興科技夾擊下，企業在管理和防護機密資料方面更感棘手；洩密事故，不論是因黑客入侵或內部人員釀成，都會損害品牌聲譽和股東利益，並導致機密資料為外人知悉，因此作為管理員便應時常加強安全措施，以避免陷入危機之中。

新威脅出現  各類系統受襲風險均等

根據報告中指出，攻擊者持續以個人用戶為目標，將他們引向一個暗藏惡意程式碼的可信賴網址或網站，然後透過瀏覽器的安全漏洞，將惡意程式植入目標系統之中。不少公認可靠和值得信賴的機構網站仍備受這類攻擊威脅。而隨着跨網站指令碼和跨目錄存取指令的使用增加，攻擊者透過網站，利用 SQL 隱碼技倆入侵數據庫的情況亦相應增加。另外報告中亦提及一直被認為是最安全的 Mac 系統，由於日益增長的 Mac 操作系統用戶，因而吸引不法份子，並漸漸成為進階持續滲透威脅 (Advanced Persistent Threats) 及攻擊的目標，受襲風險與 Windows 平台的用戶不相伯仲。

流動設備保安趨勢

流動設備受到外來惡意程式攻擊時有所聞，而不少智能手機用戶更是收到密集發送的詐騙 SMS 短訊的高風險人士。不法之徒利用預先設置的應用，向許多不同國家的優選電話號碼自動發出 SMS 短訊，誘使機主陷入騙局。傳播詐騙訊息的手法很多，機主應警覺。

1. 在應用程式店供應的看似合法的程式，或許隱含不法意圖
2. 準備下載的應用程式是否翻版貨，只不過是以另一名稱出現和內含惡意程式碼
3. 原本是正版的應用程式可能被惡意程式碼包封，並透過正店以外的其他程式店供應

自攜設備 (BYOD) 成為普遍趨勢，是徹底改變保安局面的一大因素。很多公司仍在摸索階段，未知如何訂立政策，讓員工的手提電腦或智能手機能接入公司的網絡。要使 BYOD 施行得法，企業必須制定詳盡和清晰的政策，方可開始讓員工自備的裝置登入公司的基建。

設定安全密碼須知

能夠用不同的設備連接網站、各種雲端服務和網上電郵，確是非常便捷，但用戶必須注意每個帳戶如何連接、所用密碼的安全程度，以及提供了甚麼私密資料，以便恢復密碼或重設帳戶。報告之中建議，密碼要夠長，最好由多個字詞組成，胡亂組合幾個字母、數字和符號作為密碼並非上策。

在伺服器方面，專家建議用一個適宜儲存密碼的散列函數，將用於存取數據庫的密碼加密。選定的散列函數應是要耗費不少電腦成本才能破解，而且要為每一使用帳戶設定一個隨機值，以遏制稱為「彩虹表」的跨平台密碼破解器和暴力/字典攻擊的效力。

互聯網保安個別方面續見改善

資料顯示，網上攻擊的發放量持續下降、10 大軟件商修補安全漏洞的成效有改進，而 PDF 檔案的漏洞也大幅減少，相信 PDF 的安全有所改善，應歸功於 AdobeÒ Reader X 軟件所提供的「沙盒」新測試技術。沙盒技術的作用是將個別應用與系統的其他部分隔離。一旦出現安全威脅，在應用中運行的攻擊者程式碼即受限制，只能執行既定的功能或存取既定的網絡。事實證明，沙盒技術是成功的保安投資。報告亦指出，在二零一二年上半年，已知的 Adobe PDF 漏洞事故顯著減少。這進展與 AdobeÒ Reader X ¾ 即首個配備沙盒技術的 Acrobat Reader 版本 ¾ 推出和獲使用的期間剛好脗合。

「IBM X-Force 趨勢及風險報告」是 IBM X-Force 對網上安全狀況作年度評估後發表的報告，旨在加深了解最新的安全風險和防患未然。報告論述的事實來自許多不同的情報渠道，包括儲存超過 68,000 項電腦保安漏洞事例的 X-Force智庫、X-Force 的全球網絡爬行器和國際垃圾郵件收集器，以及在 130 個國家，為約 4,000 家客戶每日實時監控錄得的 150 億宗入侵事故，並將收集數據進行分析後得出報告。