思科發(fā)表《思科2014年度安全報告》，指出網絡上，利用使用者對系統(tǒng)、應用程式與個人網絡的信任而產生的攻擊威脅已經到了驚人的地步。根據報告，全球有將近100萬的資訊安全專業(yè)人才短缺，直接影響機構監(jiān)控防護網絡的能力，整體漏洞和威脅達到自2000年以來的高峰。

　　此報告清晰呈現了企業(yè)、IT部門和個人正面臨急速演進的資安挑戰(zhàn)。駭客（attacker）使用的方法包括利用社交工程（socially engineered）竊取密碼與憑證、藏身于不起眼處滲透入侵、以及利用經濟交易、政府服務、社交互動取得所需的身分認證。

　　報告重點摘要

　　威脅層面的日益復雜化及擴散：之前僅造成有限傷害的簡單攻擊轉變成了有組織的網絡犯罪，他們不僅手法細膩、有充裕資金作為后盾，更有能力使受攻擊的公部門或私部門遭受嚴重的經濟與名譽的損害。

　　智慧型移動裝置及云端運算快速成長，讓網絡攻擊的層面達到前有未見的龐大程度，導致日趨復雜的犯罪手法與解決方案：新款的裝置類型與基礎架構都為駭客提供了更多機會，那些未被發(fā)現的漏洞及缺乏防御能力的資產，都讓他們有機可乘。

　　網絡犯罪者了解到與單純入侵個人電腦或裝置比較，利用網絡基礎設備的力量可獲取更大的利益：這些鎖定基礎設施的攻擊行為，目的在于入侵并策略性的鎖定網頁主機伺服器、網域名稱伺服器以及資料中心，進一步擴散攻擊，對利用這些資源建構的眾多個人資產造成損害。駭客鎖定網際網絡基礎設施，讓所有連結或仰賴這些設施的裝置都受到嚴重影響，其可靠性毀于一旦。

　　重要發(fā)現

　　整體漏洞與威脅達到自2000年首次追蹤報告以來的新高。至2013年10月為止，累積的年度警示數量相較去年同期有14%的增幅。

　　報告指出在2014年全球安全專業(yè)人才短缺人數已超過100萬。網絡罪犯利用精密的技術與策略，不斷地試圖入侵網絡與竊取資料，這些威脅已超越了IT與安全專業(yè)人員所能抵御的范圍。大多數機構并沒有足夠的人力或系統(tǒng)持續(xù)監(jiān)視如此大規(guī)格的網絡與偵測滲透攻擊，并及時有效地實施防護。

　　取樣30家全球最大的跨國企業(yè)網絡后，發(fā)現當中100%的網絡內容會引導訪客前往含有惡意程式碼的網站。另96%的網絡瀏覽會透過核閱\通訊傳輸進而入侵伺服器系統(tǒng)。92%發(fā)送到這些網頁的傳輸沒有實際內容，為典型的惡意攻擊行為。

　　分散式阻斷服務（DDoS）攻擊：阻絕來往目標網站的傳輸，可癱瘓所有的ISP，而且在數量與嚴重性均有上升趨勢。有些DDoS攻擊的目的在于掩護其他不法活動，像是在電信詐騙中，前期、中期、后期所產生的擾亂、干擾DDoS的活動。

　　多目標木馬是最常見經由網頁散布的惡意程式，在2013年的總數更增加27%，利用防御漏洞（exploit）與內置框架（iframe）的惡意程式碼，是排行第二的常見類型，比例達到23%。另外像是密碼竊取與后門程式這類盜取資料的木馬，在網頁惡意程式碼總數中占了22%。另類惡意程式碼主機與IP網址的數量持續(xù)下滑，從2013年1月至2013年9月之間就減少了30%，代表惡意程式碼逐漸集中在更少的主機以及更少的IP網址。

　　Java 依舊是最常被駭客使用的程式語言�，F已納入思科旗下的Sourcefire所公布的資料指出，Java漏洞攻擊在Indicators of Compromise（OCs）指標中占了絕大多數（91%）的比重。

　　99%針對移動裝置的惡意程式都鎖定Android裝置，有43.8%裝置都遇過的Andr/Qdplugin-A是最常見的移動裝置惡意程式，通常是透過重新包裝的合法應用程式，并透過非官方的網絡市集來散布。

　　特定行業(yè)，像是制藥、化學、以及電子制造業(yè)，遇到惡意程式碼的比例一直都居高不下。在2012與2013年，農業(yè)與采礦業(yè)遭遇惡意程式碼的比例出現可觀的成長，而這些行業(yè)以往都是風險相對較低的產業(yè)。另外能源/石油/天然氣行業(yè)遭遇惡意程式碼的次數也持續(xù)攀升。

　　支援引述

　　思科資深副總裁暨威脅回應情資及發(fā)展部門首席安全長John N. Stewart指出：「雖然思科年度安全報告描繪出當前網絡安全的嚴峻局勢，然而我們仍有希望扭轉對人、機構及科技的信任感。第一步要做的就是為防御人員提供實務上的知識，讓他們了解目前持續(xù)擴張的攻擊層面。為真正有效保護這些所有可能發(fā)生的攻擊，防御者必須從事前、過程中、以及攻擊之后了解駭客與其動機，以及其采用的方法。