網路攻擊已不再是腳本小鬼「script kiddie」玩的遊戲了，企業現在面對的是以獲利為目的的專業駭客，他們利用難以想像的技術、最新的攻擊程式，一點一滴地偷取你企業中的資料。

間諜軟體會偷取瀏覽者的資訊、Botnet產生的DDoS威力強大，可讓網站掛上一兩天、掛馬讓瀏覽者不知不覺地被植入木馬程式、rootkit技術讓許多木馬更難以查殺！當企業找尋新的防禦方法時，駭客同時也在研發新的攻擊手法與漏洞。這些資安威脅是專業的駭客與網路犯罪者，利用自行開發或交易來的工具，來進行非法勾當，像是偷取企業機密資料、影響公司正常運作、偷取登入資料或個人資訊等等。以前腳本小鬼為了出名或好玩而入侵系統的情況已經改變了，取而代之的是真正會偷取機密的商業駭客，這些以利為主的駭客手上拿的是筆記型電腦而不是滑板。面對這些組織型駭客，公司裡的系統管理員是不利的防守方。

面對這些組織型駭客，我們已經處於先天上的弱勢，企業文化可能沒你想像中的那麼有效率，需要花時間才能調整IT安全架構、提升員工技術能力、佈署新的防禦機制。另一方面，安全通告與日俱增，如果我們稍一疏忽，在防禦堡壘上漏失一角，就可能讓這些虎視眈眈的駭客有機可趁，發動新型態的攻擊。

我們要如何避免這種情況發生？面對這樣的資訊軍備競賽，其中一個方式就是積極了解目前最新的威脅型態與攻擊手法。

針對性郵件攻擊手法

前幾年，我們經歷過大規模的蠕蟲攻擊，還有駭客大戰中的竄改網頁比賽。跟這些行為比起來，目標式攻擊(Target attack)這類攻擊模式是以獲利為主，因為其專門竊取特定資料，像是信用卡帳號、交易機密，這些都有很高的黑市價值，也成為駭客重要得資源。

Target attack如同字面意思，就像是魚叉一般，直接對著目標物攻擊，駭客設計專門的信件寄給特定使用者，這也大幅增加了受害的機率。雖然金融機構已經佈署two-factor認證來避免這種威脅，但仍無法避開變形的man-in-the-middle攻擊方式。

去年暑假，發生了一起針對CitiBusiness公司用戶釣魚攻擊事件，在這件精心設計過的攻擊事件中，就算已經採用了一次性密碼(one-time password) Token也難以防範。駭客設計的假釣魚網站提示目標使用者輸入token上的密碼，然後將這份密碼傳到CitiBusiness的網站，這讓駭客立刻可利用這組密碼進行登入。

Phishing attack便是這樣竊取使用者的敏感資料，另外，駭客也會利用社交工程的威力來施展釣魚詐騙。

去年秋天有一起事件，有一間五星級飯店的職員收到幾封想要誘使其雇員進行轉帳詐騙信件。這封信件偽裝成飯店的客人發的權益注意事項，其中含有他們的姓名，要求飯店在刷卡後將錢付至第三方機構。

另外一種email attack，是由McAfee Avert實驗室於二月發現的，在寄給某特定公司員工的電子郵件中，發現夾帶惡意的微軟Word附檔，這份word附檔其實存有微軟漏洞，而且當時並無任何修補程式。該公司並未流失機密資料，但很令人膽戰心驚的是，這僅是數個月內經通報此類0-day攻擊手法事件的其中一件而已。

Email成為目前最流行的攻擊手法，原因是他可以很輕易的就突破防火牆，傳入企業內網。企業有時會阻擋一些危險的電子郵件附件像是exe執行檔，也因此駭客逐漸利用這類新型態的攻擊手法，像是設計過的社交工程釣魚郵件，或是client-side exploit像是0day的惡意word檔案，直接影響使用者主機對外下載惡意執行檔，來植入後門程式。

用戶端攻擊手法

另一種攻擊稱做Client-Side attack，在二月時發生了一起案例，凸顯出這種新型態攻擊的獲利模式，Websense Security Labs發現Dolphin Stadium網站遭到入侵，而美國超級盃賽事資訊便是放在Dolphin Stadium網站上，因此瀏覽用戶眾多，流量龐大。在這個案例中，若瀏覽者本身機器沒有修補而上了這個網站，便會被植入一個會偷取知名遊戲World of Warcraft帳號密碼的後門程式，雖然在這個遊戲裡使用的是虛擬貨幣，但在現實生活中仍可用實際金錢來對寶物或虛擬貨幣進行交易。

這起資安事件中，還好該後門程式僅偷取World of Warcraft的帳號密碼，而沒有針對其他重要私人資料。但此一網站入侵事件與以往的明顯不同，並沒有利用置換網頁引起人們的注目，而是默默地放置惡意連結，企圖長時間影響更多的瀏覽用戶感染後門程式。植入受害者主機上的後門與鍵盤側錄程式極難被發現，這跟之前所發現的廣告程式有很大的對比。

像是Dolphin Stadium 網站遭放置掛馬影響瀏覽者的事件，目前網路上已出現多起相同案例。像是銀行網站也成為偷取其私人帳戶資料的目標、而遊戲、人力網站也成為偷取帳號密碼的目標物。雖然目前這類攻擊手法的目的仍不是很明確，但根據現有案例顯示，駭客的確根據不同的網站類型，偷取不同的機密資料，進行長時間的機密資訊收集。

由於Target attack可從中獲利，因此使得撰寫惡意後門程式的人更加積極開發新的技術，這也讓防禦的一方更難偵測到這些惡意後門程式。

越來越多的後門使用加密連線或點對點的通訊協定來交換訊息。許多傀儡主機「bot」，使用SSL加密連線來交換訊息或控制指令。另外像Phatbot、Sdbot這類bot變種後門，利用點對點通訊方式避免他人截獲後門的控制指令。甚至接獲的一個案例中，有一種鍵盤側錄程式，將其回傳資訊隱藏在ICMP封包中。還有多種後門是利用常見的HTTP協定來接收指令，很輕易地便突破防火牆，混在一般瀏覽者的流量中，令人防不慎防。

越來越多後門程式使用Rootkit技術來隱藏主體。常見的rootkit偵測工具利用比對受駭系統上的異常來偵測rootkit程式，但近期出的Rustock與Unreal兩種rootkit程式都能有效地避開這些偵測工具。一些概念驗證的rootkits像是SubVirt、Blue Pill還有Vitriol，更是應用了虛擬技術，幾乎讓人無法偵測。而另一種rootkits技術則是強調其可以隱藏在其他應用程式之中，像是Argeniss推出一個可隱藏在oracle資料庫中的rootkit，從色情圖片到信用卡資料，都可以藏在裡面不被發現。

反偵測技術越來越精良。許多駭客積極地開發新的反偵測與「反反組譯技術」來避免鑑識人員得知駭客的來源與目的，並且可以隱藏加密通道的程式碼。這些惡意程式通常都是利用偵測自己是否處在虛擬環境中，或是偵測自己有沒有被debug工具所開啟。惡意程式撰寫者不一定要在程式碼中直接加入複雜的隱藏方式，只要利用簡單的Packer(加殼)工具就可以達到這樣的目的。加殼工具就像是在執行檔上加了一層保護，讓鑑識人員難以反組譯來追蹤原本的程式功能。舉例來說，Themida便是一個商業版的加殼工具，能讓惡意程式達到反偵測的目的。

殭屍網路「Botnet」DDoS的威力

許多惡意後門程式都具備自我隱藏與保護的能力，但再怎麼可怕也比不上殭屍網路botnet更具威脅性。

今年初針對CastleCops網站的DDoS事件便顯示出大量bot主機造成的威力。CastleCops是一家反間諜軟體與反廣告信的社群網站，駭客發動旗下大量bot主機對CastleCops網站產生高達1Gbps的流量，這些大量的封包塞爆了CastleCops的頻寬，導致長達數天網站無法對外運作。這情形跟之前發生在同樣也是致力對抗廣告信的組織Spamhaus、Spamnation 和Blue Security身上。而Blue Security網站，最後無法承受這樣的攻擊，而永久關站了。

這些舉動都顯示駭客變的更兇悍，對於這些可能會威脅到他們惡意事業的反抗團體，採取了報復與處罰的行動。Botnet是非常可怕的網路武器，駭客僅需敲打鍵盤幾下便可控制數千台bot主機發動各式攻擊。

藉由DDoS攻擊，botnet的控制者可以教訓不聽話的反抗者，進行網路勒索，或販售這些肉雞給其他駭客。美國FBI曾查獲一起事件「DDoS租賃服務」，有一家運動用品公司，向駭客要求對他的對手發動DDoS攻擊，讓對手網站無法運作。

Botnet另一個應用，是拿來發送垃圾電子郵件，垃圾郵件發送商利用這些bot主機充當跳板，發送大量的垃圾郵件，這些垃圾郵件發送商不但可以利用這些主機大量的頻寬，這樣的動作也讓ISP無法對這些受害主機進行追查與阻擋。

Joe Stewart是一家安全服務公司SecureWorks 的資深安全研究員，在一月時，他分析了一起利用botnet來影響股價的精彩案例，在這個案例中，受害者遭植入的是一種名為Rustock的後門程式，其中有發送廣告信的能力。這種手法利用了botnet來拉抬股價。作法是這樣的，駭客先買進一家小公司的股票，然後利用botnet發送大量吹噓該公司效益的廣告郵件，然後當股價上揚時立刻拋售。這種手法竟然還真的有效，替駭客在一個禮拜內賺進大約兩萬美金的獲益。Stewart的網站在公布這件手法之後，也同樣地遭受到DDoS攻擊。

直到目前為止，botnet的控制者都是針對桌上型電腦的寬頻用戶進行攻擊，當這些人被感染，成為bot的一份子之後，駭客便利用這些不知情用戶的電腦來進行攻擊他人的目的。但這樣的情況在最近改變了，Beyond Security的安全研究專家Gadi Evron, Kfir Damari與 Noam Rathaus研究發現今年網站伺服器成為botnet的比例大幅增高。

這些駭客利用網站伺服器上的網站應用程式弱點，這些應用程式可能是使用ASP、PERL或php所開發。SecureWorks的研究員Tynan Wilke描述了整個事件過程，首先駭客利用google找出那些使用Horde webmail系統的網站(Horde是一個open source的webmail應用程式)，接著利用Horde程式的漏洞打進該網站，放置一個惡意的Perl程式，接著這個網站就成為駭客的肉雞之一，可以拿來發動DoS攻擊、再當成查詢google的跳板、並獲得整個網站的系統控制權。

針對瀏覽器漏洞的惡意程式

上述介紹的botnet已成為網路攻擊中最厲害的武器。另外，由於我們經常使用網頁瀏覽器上網存取資料，駭客也把矛頭對準了瀏覽器。既然大部份的網路交易都已經使用瀏覽器來進行，駭客幹嘛再花時間鑽研底層作業系統的漏洞呢？目前的瀏覽器提供許多功能來符合網頁應用程式的需求，也因此讓駭客針對這些瀏覽器功能研發各式不同的攻擊手法，而不必直接面對作業系統。

2005年10月，出現了一隻名為sammy的網頁式蠕蟲，這隻蠕蟲利用Myspace網站的cross-site script(XSS)漏洞，他就像一段常見的AJAX程式碼，利用這段惡意的javascript來影響瀏覽用戶，一旦某個使用者瀏覽了受感染的MySpace朋友的分享空間，這段程式碼便會複製到該使用者的分享空間中，利用此一方式再度去感染該使用者的朋友。這樣的程式碼可以有很多種變化，除了複製自己、竄改分享空間、甚至讓瀏覽用戶電腦進行轉帳交易都有可能。

Sammy影響超過上百萬的MySpace的用戶，之後也出現了數個利用XSS與AJAX技術的蠕蟲，這些蠕蟲也利用Flash或QuickTime的瀏覽器的plug-ins的問題來散播，其他受到影響的站台包括了Orkut、Gaia Online 與Yahoo! Mail網站。

另一個瀏覽器問題，是由一家網站安全公司SPI Dynamics所提出，他們展示了一段由javascript撰寫出的portscan程式碼，可以影響內網安全。一旦瀏覽用戶瀏覽過這段javascript，就算處在防火牆之後，也能掃描瀏覽用戶所在的網路。這個問題顯示出，駭客若是在某網站上放置這段惡意程式碼，便可取得所有瀏覽者的內網架構圖，而問題就出在瀏覽器本身。

目前網路威脅變動的非常快速，從zero-day攻擊、client-side attack、以及botnet威脅。現在的駭客已經找到成熟的獲利模式，促使駭客更積極的開發工具與企業化，我們身為防禦方必須持續不斷地學習技術、彼此分享這些威脅資訊、互相討論有效的防禦方式，這也是目前唯一在這場資訊軍備競賽中存活的方法，也是唯一繼續對抗新攻擊的方式。

ITIL(IT Infrastructure Library)正在企業間風行，但是許多的中型企業並沒有準備好面對實作上的挑戰。

數年前，西雅圖地區的露營設備製造商Cascade Designs的CIO Barry Paxman， 就已經開始研究，如何改善他的團隊目前使用的解決方案，以及增進服務電話的處理。最後他找到了IT Infrastructure Library(資訊技術基礎架構庫)，或者簡稱為ITIL—某種CIO的教戰手冊。

經過研究，Paxman發現他的十一位員工無法承受為了因應ITIL的要求所必須進行的改變。「真正困擾著我的是資訊的過載，以及開發者完全無法因應，」他說。而且他也被迫參加大量的定期會議以及處理客服中心透過「非正式管道」而來的事件。「雖然ITIL充滿了許多好的想法，但是我們沒有足夠的時間和資源來實踐它。」

女性服飾公司Coldwater Creek技術副總裁Idaho，與副總裁Mike Carper也面臨類似的挑戰。客服中心的事件經過多天處理還是無法被有效解決；無法追蹤任何資訊；員工辛苦解決了問題卻無法取得任何功勞。

在兩個月前，Carper採納了ITIL的方法並且啟用了BMC Software的服務管理產品的新系統。結果是：一個更好的客服中心。「遵循著這些最佳實務讓這個部門更加的有反應力、效率和可究責性，」Carper說。「我並不是在誇大其辭，就算我說這裡已經完全變成另一個地方了，我想用戶們都會同意我的說法。」

案例中的Coldwater Creek以及Cascade Designs正好代表著ITIL在中型市場的大好良機及特殊挑戰。幾乎不會有人質疑套用這些最佳實務所帶來的好處—在過去幾年間，像是通用汽車(General Motors)與輝瑞公司(Pfizer Inc.)這類的公司都已經採用ITIL—有趣的是，證據顯示許多中型的企業沒有足夠的資源來進行ITIL。

理想上對於服務管理的增強是件好事，但是實際上進行時卻又是另一回事了。許多理由會讓企業對ITIL保持觀望的態度。首先，為了滿足ITIL而進行的改變是昂貴並費時的。而且目前已經有許多其他的IT管理方法論

當然，還是有顧問表示ITIL是值得做的。研究公司Forrester Research顧客服務部門副總裁Chip Gliedman表示，了解這些服務管理指導方針可以讓中型企業的IT服務更加的有效率。

ITIL到底對中型企業做了什麼，Gliedman說，「就是建立了常規行為(regular behavior)的觀念。一家公司內的標準化可能就會有所不同，因為標準化的不同造成浪費、產生金錢損失，」而且ITIL會盡所有的能力來讓IT成為獲利的來源。

ITIL的七本成功秘笈

在沒有正確的解釋ITIL是什麼之前，是無法討論ITIL的。某些定義認為它是一種信條，其實並不是。最好的說法是，ITIL是一個最佳實務的一般性準則，用來協助IT部門採納更有效率的服務管理，並且是很有彈性的來達到更有效率的服務管理。

ITIL的單字L代表著知識庫(Library)，而這個知識庫包含七本書。每本書大約兩百頁，售價115美元。這些書涵蓋了七個不同的實務領域：服務支援(service support)、服務傳遞(service delivery)、實作服務管理的計畫(planning to implement service management)、服務管理(security management)、資訊和通訊技術(ICT, Information and Communications Technology)—等同於歐洲的說法—IT infrastructure management(IT基礎建設管理)、應用管理(application management)、以及商業展望(business perspective)。

雖然IBM宣稱它的黃皮書是ITIL的前身，大部分的專家還是認為這個架構是在1980年代由Central Computer以及英國政府的分支機構Telecommunications Agency (CCTA)所發展的。(該機構已經被併入英國政府商貿辦事處(OGC, Office of Government Commerce) CCTA被指派負責為政府IT部門發展各項最佳實務的書籍目錄。這個目錄最後很快的成長到超過三十冊以上。

Brian Johnson是負責撰寫ITIL教戰手冊的六人小組的其中一員。Johnson後來成立了IT服務管理論壇(IT Service Management Forum)，專注於IT服務管理的專業組織。現在，他是CA的ITIL全球性實務管理師(practice manager)。Johnson使用兩個字來描述ITIL最大的好處：maximizing productivity(生產力的最大化)。他表示因為政府相關規定的增加，因此需要一個適合各種大小型企業的方法來自動化IT服務。

「最終的目標就是要盡可能的提供最好的服務，」他說，由於企業總是在追求IT效能的提升以及成本的降低所以才會對ITIL感到興趣。因為每一個部門都是不同的，ITIL提供「針對大家都可以遵循的最佳實務。」

　　在1990年代，Johnson說，ITIL在美國風行並且釋放出架構的第二個版本，提供一個更容易使用的版本並且促使七本書的出版以及依據不同管理、應用、服務的觀點來群組各項程序的指導原則。雖然在今年春天又釋放了一個新的版本，但是目前許多的IT領導者都還是使用這個版本。

真實世界

然而，在中型市場中ITIL的問題是實作非常昂貴而且沒有結束的一天。因此公司不可能像宣稱完成沙賓法案(Sarbanes-Oxley)或者金融現代化法案(Gramm-Leach-Bliley)的方式，宣稱「完成」ITIL。這表示進行ITIL時的成本可能從數萬元直線上升增加到數千萬美金，尤其是進行改變常常代表著投入新的科技技術或者重新分類現存的設備。

對於某些資訊長來說，真正花費大量金額的是雇用顧問公司來進行管理事務。像是Pink Elephant、Service-now.com、Getronics以及TraverseIT LLC這類的服務管理專門的解決方案供應商都可以協助公司進行ITIL導入。

「直到最近，還是只有非常少數的中型企業考慮引進ITIL或者只有少數公司真正了解ITIL代表什麼，」TraverseIT的執行長和創辦人Frank Guerino說。「在我們真正了解可能會如何以及為何進行ITIL的細節之前，我們花費了許多的時間來解釋ITIL的可能性。」

大部分的可能性是從服務支援和服務傳遞開始—這兩個也是七本書中較為出名的部份。需要注意的是ITIL參考書並沒有順序性，所以使用者可以任意挑選將要實作的觀點。服務支援參考書聚焦在五項程序：事件管理(incident management)、問題管理(problem management)、變更管理(change management)、組態管理(configuration management)以及發布管理(release management)。

Getronics的資深ITIL顧問Steve Bajada說透過熟讀這五項程序，公司可以最小化辨識以及解決服務事件的時間。「大部分的公司各項服務是獨立運作的，透過ITIL您橫跨整個企業對它們做平行處理」，他說。「不論您怎麼看待它，這種廣泛性的應用是最佳的方法。」

服務支援參考書特別聚焦在IT服務的使用者。公司可以使用組態管理資料庫(CMDB, Configuration Management Database)來追蹤事件，而這個資料庫會在時間內將事件報告傳遞給每個人。

服務支援參考書也建議公司應該再使用者和服務管理人員之間建立一個單一的聯絡窗口—或者稱為「服務中心(service desk)」。服務中心不同於客服中心(help desk)不只要處理事件與問題還需要針對各項像是變更要求與軟體註冊等活動提供介面。

服務導向的真理

Phil Bertolini在奧克蘭郡政府執行IT工作，使用者—來自於61個村莊以及小鎮的市府員工—擁有許多的電話可以求救但是卻不知道哪一個電話才是他們真正需要的。該地的客服中心總是無法提供足夠的協助。最後，由於人手的短缺所以IT管理者便要求程式撰寫員來充當電話服務員應接這些服務電話。

Bertolini後來採用ITIL，提供了一個擁有指定電話線與以及受過一系列可以快速解決問題訓練的員工的新服務中心的藍圖。在進行其它步驟的時候，Bertolini建立了一系列的運算公式來衡量問題的解決比例、內部轉換以及整體的支援時間。

「我們的人員受過更好的訓練，我們的程序更加的有反應力而且我們的事件是可以被管理的，」Bertolini說。「我們進行商業活動的方式已經整個改變了—變得更好。」

服務支援參考書聚焦在IT服務的使用者，服務傳遞參考書則強調以顧客的角度來思考商業行為。此參考書討論企業在要求IT提供者提供足量的支援時的最佳實務。該參考書包含了五個程序：服務水準管理(service-level management)、容量管理(capacity management)、IT服務持續管理(IT service continuity management)、可用性管理(availability management)以及財務管理(financial management)。

在書中對於服務水準管理建議企業應該辨識、監視並再次檢視像是服務水準協定(SLAs, Service-Level Agreements)此類IT服務的水準並且提供建立水準的架構。書中也建議有疑惑的公司在訂出協定之前應該詢問各家廠商。

儲蓄的背後意義：縮減開支

當然，ITIL的實作需要花費大量的時間。舊金山大學IT副總裁Tracy Schroeder在一年之前運行了ITIL的服務支援而目前只進行到服務傳遞。Schroeder表示她從63位的IT員工中指派了一個小組來計算像是故障時間以及頻寬不足此類的高階服務水準指標，因此部門才可能預估到可能會發生哪些狀況。

「我不想開出任何無法兌現的支票，」Schroeder說。在適當的位置使用對的服務水準協定將會更輕易的辨識出哪些IT可以傳遞給使用者、該從供應商身上期待什麼以及何時該對服務的故障發出警訊。

每一個ITIL的實作都會對潛在成本感到苦惱。問題出在ITIL架構只描述最佳實務，卻沒有提出該如何實作的建議。就算是最有效率的組織，可能也需要數年的時間才能產生結果。

然而，某些資訊長表示使用ITIL還是可以節省成本。Coldwater Creek的Carper表示，自從他們有100名成員的部門開始使用ITIL，他就減少了大約百分之五十的僱用成本。因為僱用更少的員工，IT因應人員的減少在軟體授權協定三年就可以節省五十萬美金。「我們變得更精簡並富有競爭力，」Carper說。

企業服務管理公司Managed Objects的服務管理主管Michele Hudnall說企業開始體認到從ITIL取得最大的財政收益是可以比過去僱用更少的全職員工。「事實是除非減少員工的僱用否則資訊長不可能從程序的改進中節省到費用，」Hudnall說。「如果你只想透過程序來節省經費而不願意進行裁員，那麼您就不應該實行ITIL。」

當ITIL的新版出現後，Bertolini以及他的IT專案管理者Norma Miller表示計劃將會相對應的修改他們的服務策略。負責進行ITIL管理的Miller說該郡將會組織工作小組並發布內部通告說明新協定對於程序管理的影響以及效果。

「服務的本質就是任何事情都是一直在變動中，」Miller說。「現在我們已經使用了適當的最佳實務，我們必須確定每一個人都持續的按照規定，且了解我們是否需要修改這些規定。」