在思科的全球年度報告中,精闢分析網路7大安全威脅,包括弱點、實體、法律、信賴、身份、人員、以及地域等,內容涉及防禦惡意程式、防範資料外洩、企業風險管理、災害規劃等議題,其中更有許多超出獨立內容安全問題之範疇,詳盡地介紹企業、政府機構、以及消費者所面臨之挑戰,並提出因應方針以積極進行防禦,以促進電子商務與網路服務蓬勃發展。
「2007年思科全球年度安全報告」中強調,現今的威脅與攻擊漸趨全球化與複雜化,此趨勢更將延燒至2008年。數年前的病毒與蠕蟲(如Code Red、NIMDA等)攻擊以漸為各種混合型安全威脅,如:經由垃圾郵件散佈的網路釣魚、殭屍網路等威脅所取代,發動攻擊的目的也由破壞系統與博取名氣轉變為竊取金錢與個人資訊。此種「竊取後致富」模式已是全球化現象,其破壞性甚至還超越了網路7大安全威脅。此外,資訊安全也不再只是單純地對抗病毒或垃圾郵件,通常還涉及法律、身份、以及政治等因素。例如俄羅斯駭客幫派分子在2007年春天向鄰國愛沙尼亞發動阻斷服務攻擊,起因於愛沙尼亞當局決定拆除設在公園的蘇維埃時代戰爭紀念碑,而導致駭客攻擊該國的許多政府網站。
思科安全長John Stewart表示:「網路犯罪不斷持續演進,通常使用以往僅可能以電子形式出現過的知名技術。資訊安全威脅已非對抗獨立的病毒或網路釣魚攻擊,現在想要保護企業、個人身分、以及國家,就必須結合以往沒有參與的人士,共同協調、密切地合作。IT安全團隊、企業、政府、執法者、消費者、以及民眾等,雖然都是攻擊的目標,但卻也是盟友。國家、企業、以及個人的安全性,有賴所有相關人士的緊密合作與聯繫才有可能維護。」
John Stewart與技術支援部門副總裁Dave Goddard均認為,合作防禦安全威脅的關鍵在於教育。思科的報告針對網路7大安全威脅類別列出多項建議,主要包括:
- 定期監控易受攻擊的組織,並評估各種可能的攻擊管道。由於沒有基本的安全策略,攻擊往往很容易得手,必須以安全修補軟體與定期監視,進行以主機為基礎的入侵防禦、修補或升級。
- 瞭解安全威脅會隨使用模式演進,每當有新應用或裝置問市時,新的安全威脅就會浮現。
- IT組織應主動協助員工、消費者與民眾改變心態,大家必須一同迎戰安全威脅,沒有人再只是無辜的旁觀者,必須共同積極地面對安全問題。
- 安全教育視為優先考量。企業、安全解決方案廠商、以及政府機構必須投入資源以推動安全教育、建立防範意識。合作夥伴與競爭對手更需一起推動涵蓋整個產業的合作。
- 透過教育機構推動安全教育,融入學校課程。
- 在建構安全網路時,考量的範圍應延伸至效能之外,注意網路是否能以端對端的模式,透過分工、檢測、調適等功能來解決各項安全問題-涵蓋閘道器、伺服器、桌上型電腦、以及行動裝置。
- 廠商必須提供更全面的安全解決方案,能涵蓋整個網路基礎建設、應用環境、以及資料本身。
