近期發生大公司被駭成功的新聞,讓人不得不再想想這問題。 這一連串的受害者都是赫赫有名的;像是Google,RSA,VISA,萬事達,花旗銀行,EPSILON,美國參議院,英國國家醫療保健服務,Fox,當然還有SONY。然後就在不久前,美國中央情報局的網站也變成分散式阻斷攻擊(DDOS)的目標。最近大量發生的這些攻擊也讓許多問題浮上檯面。這種集團式的攻擊手法是新的嗎?這是網路間諜活動甚至是網路戰爭了嗎?這對我們或是未來的網際網路有什麼樣的影響?

發展雲端主要議題即為高安全性,就算在環境中有高可用性、儲存空間龐大、效能高、網路頻寬無限制的環境下,沒有一個安全性的環境如何提供讓大家放心使用的平台,以下為行政院研究發展考核會提供之資料,資訊安全發展是雲端重要的一環。

就資訊管理者常遇到幾個資訊安全之盲點:
1.容忍強度不足的密碼及其政策  
2.太信任安全政策  
3.過度倚賴技術 (Protection) 而忽略 –People/Process 
4.無線上網的風險管理  
5.硬碟與移動儲存裝置加密的問題 
6.終端使用者被賦予 IT 部門應日常執行的任務  
7.疏於重視的補丁管理  
8.只採用及採信簡單的弱點檢查及報告  
9.沒有警報不等於沒有風險  
10.資安管控與可使用性的不平衡
造成一些潛在風險與危險,一般採取被動方式防範,如加裝防毒軟體或入侵偵測設備等,若設備運作正常軟體也定期版本更新,當真正發生問題時才了解光花錢採購新式防禦設備時,也需要終端使用者真正配合政策管理,在合理約束使用者才是真正的改善之道,當使用者有資訊安全觀念,如上非法網站、分享網路資訊、釣魚程式等皆是需要做好應有的配套措施,針對使用者端提供
 
一些常遇到問題分析,趨勢科技提醒:
1. 沒有不勞而獲的事
如果有任何文宣或廣告看起來太過美好,別被騙了,通常都是假的。例如賈伯斯去世時,數以千計的Facebook使用者落入一場網路騙局: 該訊息聲稱蘋果公司( Apple ) 決定送出 1,000 台 iPad 以紀念 Steve Jobs ,並該活動只到 10 月 10 日止,要取得抽獎資格必須先按下該惡意頁面的臉書 [分享] 按鈕和留言" RIP Steve " (安息吧~賈伯斯),一旦使用者點選此連結,不肖份子就可以從中獲得並且要求使用者必須使用 facebook 分享上述頁面才能取得獲獎資格,事實上該連結會指向另一個廣告頁面,佯裝這個活動不適用於受害者的所在地,同時並出現多個廣告頁面,一旦使用者點選其中的廣告,不肖份子即可從中獲得廣告點擊的利潤。但就像其他類似的騙局一樣,使用者只會被導到無關的廣告網站。有句英文諺語是這麼說的:「如果好到不像真的,那通常就是假的(If it’s too good to be true, it probably is)」,這在真實世界和網際網路上都適用。運用一般常識是你的第一道防線。在網路上想要詐騙你或你的錢的人比比皆是。 
 
2.不可接觸非法分享、色情、賭博網站
避免去上看起來可疑或免費提供軟體等看起來就不是正常網站,這些通常都是惡意軟體的來源。通常網站會提供一些非法常用軟體,當你下載以後這些軟體裡面通常會暗藏一些木馬程式,等於開一個後門給駭客進出。網路上也是有垃圾食物的,通常看起來就是可疑、不正常或低級的網頁。常見的例子像是線上賭博、成人網站和非法檔案分享網站。這些網站不僅對某些使用者來說並不適當,也是常見的惡意軟體來源。
 
3.不要在網路上過度分享(包含Facebook打卡)
所謂「分享」就是當我們在臉書上透過應用程式閱讀文章、玩遊戲、聽音樂、看影片時,我們的行為會即時在朋友的臉書上被看到,同時正在欣賞的內容也會被看到。舉例而言,假設我們正在使用華盛頓日報的應用程式閱讀文章,則朋友的臉書上就會出現「XXX 正在使用華盛頓日報閱讀某某文章」的訊息。從我們閱讀的內容,可以判斷出許多個人的喜好、個性,然而卻不是每個人都願意讓自己變成透明,也不見得希望被不熟的朋友看見。你不會知道有誰在覬覦著你的隱私,想要竊取你的資料,金錢,甚至你的身分。如果你不小心謹慎,那你在網路所說或做的事情有可能被用來對付你。舉例來說,像是告訴別人你一個人在家,特別是當你還未成年,這就有可能會吸引小偷、強盜或其他討厭的人上門。此外,在網路上分享個人事情的時候要始終保持清醒。使用者要時時問自己,這些分享的內容會不會影響到自己的聲譽,甚至對自身安全或周圍的人構成威脅。根據調查顯示:15% 的美國人會在社群平台上說他們離開了家裡,35%會打卡公開顯示他們目前的所在位置。在fb上告訴大家你的每一個行蹤,是一項危險動作,讓使用者防不勝防的中入圈套。
 
4. APT-進階持續性滲透攻擊
什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)可能持續幾天,幾週,幾個月,甚至更長的時間。APT攻擊可以從收集情報開始,這可能會持續一段時間。它可能包含技術和人員情報收集。情報收集工作可以塑造出後期的攻擊,這可能很快速或持續一段時間。
  例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程式弱點和文件位置的情報收集,但當計劃完成之後,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在伺服器後,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)進行審查。
實際案例:Nitro 專偷商業機密,目前已知成功入侵61個國家1465台電腦,最近Sony 、花旗皆是其受害者。
 
5.透過人們惻隱之心行騙天下
很多人會有在重大災害時皆會大聲號召人群幫助受難人們,在網上虛擬的狀態中無法查證這些提供需幫忙的管道是否有問題,當你不察時就中網路詐騙的圈套了。
舉例:日本大地震在臉書中有人提供防震防災守則之一,讓你卸下心防後再提供愛心帳戶伺機詐騙,包含海地震災捐款也是有案例發生。
 
6.假裝網路登入介面
很多人將首頁設為奇摩,進入奇摩信箱時習慣性直接輸入密碼,若有駭客已將網址置換,網頁畫面跟真的一模一樣時,很多人無法即時察覺帳號密碼已經被悄悄的竊取了。
真實案例:Facebook 密碼更新通知信、Windows自動化更新、最新防毒程式等皆是常看到的一些假網頁程式。
 
7.不明連結
當一個你熟悉的網路使用者傳一個網路連結給你時,大部分的人會在第一時間按下連結,往往就中了圈套,駭客先竊取帳號密碼後,在不定時的透過竊取的帳號發送不明連結,一般在熟悉的朋友送的資料都不會設防。
這是奇摩網站官方公告的說明:
即時通使用普遍,向來是駭客鎖定對象,包含自建帳號或劫持使用者帳號,在離線狀態卻傳送不明連結進行攻擊,資安專家提醒,如果使用者帳號密碼遭竊,被利用來發送不明連結,務必更新帳號密碼,同時更新防毒軟體,然後展開系統掃描,擺脫威脅。
明明沒有登入即時通,卻還是發送奇怪連結給親朋好友,遇到這種狀況得注意,使用者的即時通帳號密碼是否遭竊用!賽門鐵克資深技術顧問莊添發分析,這些連結多是釣魚網站的網誌,目的是要來蒐集他人的帳號密碼,另外也可能是含有惡意連結網站,如果使用者的電腦沒有進行安全修補,惡意程式可能會趁虛而入,至於傳送者則可能是駭客本人或是無辜使用者的帳號密碼遭竊取。
「這些傳送使用者,有可能是犯罪集團駭客自建帳號,或者一般使用者事實上因為他原本早就被網路釣魚,所以帳號、密碼被蒐集走了,或者是說他被植入惡意程式,惡意程式竊取他的帳號密碼。」
若使用者的即時通遭劫,專家建議,首要務必更新帳號密碼,然後更新防毒軟體,並進行全系統掃描,以擺脫資安威脅。專家呼籲,網友平時不要輕易點選來路不明的郵件與連結,定期更新病毒定義檔,防毒軟體最好具備綜合性功能,包含網站防護可攔截惡意攻擊,才能安心遨遊網路。
 
8.就業詐騙網站
就業詐騙網站,最想讓你主動將個資留給駭客,應注意不要輕易將個人資料填寫在網路可輕易找到的地方,若要留也可以詢找有口碑或通過認證的網站 例如:104人力銀行。
 
管理者做好內部之防範後,加上外對內的資訊安全管理,才可以形成一道完整的資訊防護網。以下即為建議之資訊安全防護網。