網路威脅與資安產業之發展趨勢

網路威脅與資安產業之發展趨勢 洪偉淦 Bob Hung 趨勢科技台灣區總經理 2007年11月21日

趨勢科技簡介

Background 1988 Oct: Founded in TW and US 1998 Aug: Listed in Japan OTC 1999 July: Listed in NASDAQ 2000 Aug: Listed stock on the first section of Tokyo Stock Exchange 2002 Sept: Listed the 225-share Nikkei Stock Average

Our Market Share #1 in the Internet gateway market with 36% market share #1 in the mail server market with over 20% market share #1 in file server market with 26% market share

Trend’s Global Coverage UK BU Germany BU China BU Korea BU Italy BU France BU JapanHeadquarters Spain BU Hong Kong BU USA BU Taiwan BU Mexico BU Brazil BU Australia BU Headquarters Argentina BU Business Unit Philippine Virus Research and Development Center R&D Virus R&D Center

Transnational September 22, 2003 The company routinely is among the first responders to viruses, often delivering 30 minutes before market leader Symantec (SYMC) Corp., according to GEGA IT-Solutions in Germany, a response tester. C.K. Prahalad, a professor at the University of Michigan Business School, calls this the fourth stage of globalization.

數位世界的演進

The Digital World Around Us Ecommerce Takes Hold1998 “Web 2.0”/User Centric Approach to Web2006 Standalone PC Microsoft DOS Floppy Diskettes1980s Online Banking and MP3s Take Off1999 1 Billion Internet Users2007 Laptops/Smartphones Plus Wireless Go Mainstream2003 Blogging Becomes Hip2002 Nils Nilsson, director of the Artificial Intelligence Center at SRI International, believes the personal computer, like television, can "greatly increase the forces of both good and evil." Marvin Minsky, another of M.I.T.'s computer expertsSays he: "The desktop revolution has brought the tools that only professionals have had into the hands of the public. God knows what will happen now." Web 2.0 is a tool for bringing together the small contributions of millions of people and making them matter," Mr Grossman said. Instant Messaging/ICQ Debuts1996 Macros Debut1995 Mosaic allows people to surf the Internet / “Web 1.0”1993/94 Internet Email Debuts1993 8

Now The Web Is The Platform To The World! 9

Web 2.0 -- WiKI 10

It Is Also The Platform For The Attackers! With the increasing popularity of Web 2.0 and an increasing global Internet population, expect the Web to increase significantly as a threat vector - Multi-Vector - Multi-Component - Web Polymorphic - Rapid Variants - Single Instance - Single Target - Regional Attacks - Silent, Hidden - Hard to Clean - Botnet Enabled

惡意程式(Malware)演進

惡意程式演化階段 • Before 2001 • Virus, Trojan, Warm… • Mass mailing • 2001 • Vulnerabilities Warm • Integrate Virus and Hacking • 2003 • Spam • 2004 • Spyware, Phishing, Pharming • 2005 • Botnet • 2006 • Web Threat

惡意程式種類

電腦病毒 • 什麼是電腦病毒(Virus) • 會將本身複製到其他檔案或開機區的惡性程式 • 當電腦使用者在不自覺的情形執行到已受病毒感染的檔案或磁片開機時，這個惡性程式就以相同方式繼續散播出去 • 至於電腦病毒是不是都會在某特定日期發作且破壞電腦資料?這就和病毒的寫作者如何設計程式有關(如：CIH)，並不屬於電腦病毒的特性

特洛伊木馬 • 什麼是特洛伊木馬(Trojan Horse) • 特洛伊木馬程式就不像電腦病毒一樣會感染其他檔案，特洛伊木馬程式通常都會以一些特殊管道進入使用者的電腦系統中，比如螢幕保護程式、算命程式、電腦遊戲等，然後伺機執行其惡意行為（如格式化磁碟、刪除檔案、竊取密碼等）。在定義上，特洛伊木馬不會自我複製，也不會主動散播到別的電腦裡面

Internet 駭客駭客入侵手法它也可以暗地打開某些通訊埠(port)，作為駭客自由進出你的電腦系統的後門，進而隨意存取你系統裡面各種重要的檔案 These interesting programs can access the User’s system, get 駭客工具通常會偽裝成一些有趣的小程式，然後由駭客送出或使用者自行從Internet下載 Net Hack Tools are usually disguised as by hackers or downloaded from the Internet 這些經過偽裝的程式可以取得使用者電腦系統中的重要資料，並偷偷的回傳給駭客駭客工具是一種具有特殊目的惡性程式，它可以設計來做遠端遙控或挖掘某些系統的後門等等。

按鍵竊聽器的運作方式 使用者在已經被植入竊聽木馬的PC上登入網路銀行 H123456789 ******** 帳號和密碼得手！ H123456789 whatever 網路身分竊犯在另一部PC利用接收器竊聽的所有按鍵

集體發動攻擊 集體發動攻擊集體發動攻擊特洛伊木馬散播特洛伊木馬，潛伏在別人的電腦系統什麼是 DDoS - 分散式阻絕服務攻擊？ DDoS - Distributed Denial of Service 攻擊目標「Call-in部隊」大量佔線，導致網站無法接受其他連線駭客

電腦蠕蟲 • 什麼是電腦蠕蟲(Worm) • 電腦蠕蟲也不會像特洛伊木馬程式一樣感染其他檔案，但『本尊』會複制出很多『分身』，就像西遊記中的孫悟空一樣，拔幾根毛就可以複制出幾個分身，就像蟲一樣在網路系統裡面到處爬竄，所以稱為「蠕蟲」，從一台電腦爬到另外一台電腦，最常用的方法是透過區域網路（LAN）、網際網路（Internet）或是 E-mail 來散佈自己

Internet Mail Server Mass Mailing Virus 疫情爆發 !!! 電子郵件伺服器被灌爆用戶端檔案被破壞 ILOVEYOU

網路蠕蟲興起

CodeRed病毒，CodeRed事件 • CodeRed是病毒 • CodeRed所造成的損害，是事件，是資訊災難 • 大家所經歷以及媒體所談的，是CodeRed事件，而非單指CodeRed病毒 • 系統安全漏洞 • 敏感又脆弱的網路 • 軟體廠商之社會責任 Internet 上也會發生土石流

中毒電腦會發散大量封包，導致網路癱瘓，即使電腦有安裝Patch，也會受到這些中毒電腦的封包攻擊影響，導致網路存取速度變慢，甚至無法存取中毒電腦會發散大量封包，導致網路癱瘓，即使電腦有安裝Patch，也會受到這些中毒電腦的封包攻擊影響，導致網路存取速度變慢，甚至無法存取 First Infected Machine Unpatched Machine Patched Machine 安全弱點 • 什麼是安全弱點(Vulnerability) • 安全弱點會讓攻擊者、病毒或其他網路安全威脅更容易傷害您的電腦。Microsoft 已公開確認這些存在於其軟體中的安全弱點，並且發行其相對應的修正檔(Patch) • 修正安全弱點可協助您有效降低您電腦受到攻擊或病毒感染的機會

隨機攻擊 隨機攻擊隨機攻擊網路型病毒 ⑤ 透過系統漏洞感染 ③ 發作，發動隨機攻擊 ④ 造成阻絕服務效應 ① 製造 ② 散播、感染、潛伏藉由安全弱點進行攻擊阻絕服務 Internet 阻絕服務阻絕服務弱點未補的系統弱點已補的系統阻絕服務阻絕服務阻絕服務阻絕服務作者、散播者 ⑤ 透過系統漏洞感染 ③ 發作，發動隨機攻擊 ④ 造成阻絕服務效應 ① 製造 ② 散播、感染、潛伏

方興未艾的威脅

絕大多數的信件都是垃圾郵件，而且不斷的增加絕大多數的信件都是垃圾郵件，而且不斷的增加 Zombies和Botnets讓發送垃圾郵件變的更容易，現在垃圾郵件幾乎是利用此管道散播 Spam新技術不斷的演進，例如Image Spam 既使已經採取過濾垃圾郵件，大量的垃圾郵件訊仍然佔用了頻寬、伺服器容量和其他的網路問題 Spam Problem: Worse Than Ever

垃圾郵件氾濫 • 亞洲的垃圾郵件數量持續上揚 • 1/3非英文垃圾郵件為中文

Image Spam 圖像式垃圾郵件 • 圖像取代文字 • 利用程式隨機改變影像 • 結合釣魚郵件

網路釣魚攻擊 • 何謂網路釣魚 (phishing)？ • 網路釣魚是一種偷取您身分的欺騙方式。詐騙人士利用各種矇騙手段讓您提供他們所需的個人資料；例如信用卡號碼、密碼、帳號或其他資料。網路釣魚的途徑可以透過人或電話、在線上則是經由垃圾信件或彈跳式視窗 • 網路釣魚詐騙的外觀像什麼？ • 騙子的詐騙技術進步，他們的網路釣魚郵件與網頁也一樣。他們通常複製官方網頁的圖像與其他重要特徵 • 網路釣魚詐騙信件的範例：

網路釣魚攻擊 • 網路釣魚 (phishing)詐騙的電子郵件特徵 • 確認您的帳號 • 親愛的重要客戶 • 如果您不在 48 小時內回覆，您的帳號將被關閉 • 按一下以下連結來存取您的帳號 • Masked URL 住址範例 • 對於可疑信件的應變方式 • 檢舉可疑信件 • 點選電子郵件中的超連結時請小心 • 使用您個人書籤或直接在網址列上輸入網址 • 當您在網站輸入個人或金融資料前確認安全簽章(SSL) • 不要在跳出視窗中輸入個人或金融資料 • 經常檢查您的信用卡與銀行明細

網路釣魚有多嚴重？ • 美國 • 根據Consumer Reports USA的報告，2005年美國公民因網路釣魚攻擊而導致的損失高達6億3千萬美元 • 德國 • 幕尼黑警方估計，光是幕尼黑一地，線上詐騙活動造成的損失(2006年1月至7月期間)就已超過一百萬歐元 • 全球 • 據Asia.Internet表示，Gartner Group的報告顯示2006 年網路釣魚攻擊造成的損失總金額高達$28億美元 • 據Anti-Phishing Working Group統計，2005年9月釣魚網站數量為5242個，到2006年9月已激增至24,565個

網路釣魚相關調查數據 資料來源： Gartner Group、Anti-Phishing Working Group

更厲害的網域/址嫁接(pharming) • Pharming（網域/址嫁接）跟Phishing（網路釣魚）最大的不同是，後者仿冒銀行等金融機構發出帶有假網址連結的E-mail，而Pharming（網域/址嫁接）採用更難識破的網域/址嫁接手法 • 因為它是藉由入侵DNS（ Domain Name Server）伺服器的方式，植入惡意程式修改HOSTS檔案。使用者即使輸入正確網址，經DNS的IP位址轉換，也會不知不覺地被導引到偽造網站 • 駭客有機會竊取個人的機密資料，在各大搜尋引擎、討論區以及社交網路網站發佈惡意連結，藉此感染廣大的使用者族群。網路罪犯還會利用別出心裁的社交工程手法引誘或欺騙受害者按下連結或造訪已遭感染的網站

Spyware Threat • 什麼是間諜軟體 • 所謂的「間諜軟體」是一個統稱，泛指會在未經使用者同意的情況下進行廣告、收集私人資訊，或修改電腦設定等行為的軟體 • 間諜軟體的特徵 • 我不斷看到廣告視窗 • 我的設定遭到更改，而且無法恢復原本的設定 • 我的網頁瀏覽器出現額外的元件，但我並不記得下載過這些元件 • 我的電腦變得反應遲緩甚至當機

Phishing.org Info Spyware Threat • 分析公司 IDC 在 2004 年 11 月所做的研究，估計大約百分之 67 的消費者 PC 都已受到某種型式的間諜軟體的感染 • 間諜軟體可獲得利益，所以氾濫情形日益嚴重 • 並非所有的間諜軟體都有明確的違法行為 • 使用者常常無心的同意免費軟體的 EULAs

熱門的攻擊行為 – Web Threat

何謂 Bot & Botnet • Bot • 又稱為魁儡程式或魁儡蟲，遭受感染後常見的行為如同魁儡或殭屍般可受遠端有心人士操控此電腦 • Botnet • 又稱殭屍網路 Zombie Network，或機器人網路 Robot Network，即一群 Bot 所組成的電腦網路 • 駭客藉由 IRC 等管道遠端控制受感染的主機，可發動網路攻擊，包括竊取私密資料、網路釣魚(Phishing)、散布垃圾郵件(Spam)、發動阻斷式服務(DDoS)—恐嚇被駭網站等犯罪行為

僵屍網路大行其道 • 估計有7百萬台的僵屍電腦 • 超過8成垃圾郵件的元兇 • 一年至少引起超過10億次的click fraud • 平均每月成長15%

熱門新聞

過去的犯罪者 介於14至34歲的男性對電腦狂熱沒有固定的女友證明自身之電腦能力今天的犯罪者為了獲取不法利益利用僵屍網路竊盜他人之機密資料或帳戶密碼擾亂金融或通訊系統名 vs. 利—病毒作者大不同

地下經濟大行其道 1000元美金可以買到什麼？

Malware for Profit is Driving Web Threats The threat landscape is shifting to Web-borne attacks Web Threats: High Volume and Growing Worms: Constant in the last 2 years Source: Trend Micro

TROJ_ANICMOO 惡意連結 SQL injection 散播散播散播 ④植入病毒下載器 ③背景導向惡意連結 ② 植入惡意連結藉由知名網站散播瀏覽者作者、散播者知名網站 ① 攻擊網站漏洞

植入病毒及下載器的僵屍電腦 病毒下載器Downloader 散播連線至僵屍網路下載更多的惡意程式感染到處是病毒感染感染感染被植入下載器的病毒感染源

資安產業的成長步伐

From Good To Great Our #1 goal is to create and deliver the value to customers throughour successive innovations ~90B JPY Revenue Growth Total Web Threat Protection Web Reputation Services Integrated Gateway Content Security InterScan Messaging Security SuiteWith Spam Prevention Solution Net Income Growth ~20B JPY Server-based Email Virus ProtectionScanMail™ Threat Lifecycle Management StrategyEnterprise Protection Strategy (EPS) Trend Micro and Cisco Integrated Security in the Network LAN Server Virus ProtectionServer Protect™ Gateway Virus ProtectionInterScan™ Web Filtering InterScan WebManager 2-Hour Virus ResponseSLA Email Reputation Services Web-based Centralized ManagementTrend Micro Virus Control System™ Network Access ControlNetwork VirusWall™ 47

危機與挑戰 • 偵測率與誤判率的抉擇 • 594 crisis • 具經濟規模的組織犯罪 • 10倍數成長的惡性程式 • Web 2.0 structure • “In the cloud” service

資安產業的工作型態 • 動態的競爭環境 • 新威脅 • 新科技/新平台 • 新對手 • 資訊爆炸 • 隨時改變的專業技能體驗科技最前線!!

問題討論

網路威脅與資安產業之發展趨勢

網路威脅與資安產業之發展趨勢

Presentation Transcript