網路攻擊目標排行　 微軟、零時差漏洞名列前矛

資訊安全研究顧問協會SANS在周三（11/15）發表一年一度的「前二十大網路攻擊目標」分析報告，包括微軟的產品、零時差漏洞都名列其中，而SANS也發現有愈來愈多的Web應用成為駭客攻擊目標。

與過去的調查一致的是，微軟的產品仍然最受駭客歡迎，例如其IE瀏覽器、Microsoft Office、 Windows Libraries及Windows Services皆名列其中。

SANS會員、來自Qualys漏洞管理實驗室的Amol Sarwate指出，這是因為微軟產品太受使用者歡迎而成為駭客攻擊目標，針對微軟產品攻擊的次數在這一年來是去年的三倍。

而針對零時差漏洞的攻擊也不遑多讓。一名SANS會員Rohit Dhamankar指出，今年他們看到非常多的零時差攻擊。

SANS網路風暴中心總監Marc Sachs說，全球的駭客行為逐漸轉為利益導向，而且多半不想讓別人注意到他們的犯罪行為，這樣一來，那些尚未修補的零時差漏洞就是最有效的攻擊途徑，他相信這類的攻擊將有增無減。

另一個流行的攻擊目標為Web應用，涵蓋資料庫軟體、P2P檔案分享機制、即時傳訊軟體、媒體播放軟體、網域名稱伺服器、備份軟體及IT系統管理伺服器等。

Rohit Dhamankar也強調企業應該考慮VoIP系統所藏匿的威脅，因為那些簡單的配置介面及容易破解的密碼很容易被駭客攻陷，用來竊聽語音訊息或是進行網釣詐騙，甚至有駭客入侵使用者帳號並出售這些撥打語音電話的分鐘數。特別是，這也提供駭客一個機會藉由VoIP系統滲透至企業的傳統電信系統。（編譯/陳曉莉）