2012年4月,惠普公司发布了《2011年主要网络安全风险报告》,报告发现最新披露的商业应用漏洞的数量虽然在减少,但企业网络面临的威胁却一直在增加……
这份网络安全风险报告由:HP Fortify Web安全研究小组、HP Fortify on Demand、HP DVLabs数字疫苗实验室、ZDI、开源漏洞数据库等多个部门和机构的数据组成。对业界有一定的参考价值。
一般来说,每年披露的漏洞数量反映了当年安全行业的状况并能帮助组织机构确定防御措施的优先级别。但根据《2011年主要网络安全风险报告》,单纯的漏洞数量已不再能有效反映安全风险的状况。太多的隐形因素,在影响着企业面临的网络安全风险……
安全漏洞减少为何威胁还在增加?
在惠普的报告中发现,2011年漏洞数量比2010年减少了20%,并且从2006年开始,商业应用中披露的漏洞数量持续地减少。
黑客和网络利益群体认为已知漏洞已经能满足他们赚取经济利益或达到目标,而不需要寻找新的漏洞,因为企业对安全的重视程度还不够高。虽然漏洞数量减少,但漏洞严重性却在增加。因为高危漏洞从2001年的7%增加到2011年的24%,意味着在四个安全漏洞里面,就有一个是高危漏洞。
按照以往的经验,漏洞的数量往往直接反映着业界安全风险的等级。数量多,则安全风险高,数量少,则安全风险较低。可这2011年以来,被披露的安全漏洞减少了威胁却还在增加?
惠普公司企业安全产品部门北亚区总经理姚翔指出,第一、对于那些已知漏洞,作为厂商也好,客户也罢,都没有做到已知漏洞的保护,或者没有保护全。
第二,黑客和网络利益群体认为已知漏洞已经能满足他们赚取经济利益或达到他们的目标,他们不需要找新的漏洞,因为大家对整个安全的重视程度还不够高。这就是业界的问题。
哪些应用存在漏洞?
作为惠普旗下的一个知名漏洞机构,ZDI公布了2011年业界10大漏洞。
2011年,在新披露的商业应用漏洞中有近24%的严重性评级为8-10。这些漏洞可造成远程代码执行,是最危险的一类攻击。所有漏洞中约有36%存在于商业网络应用中。约有86%的网络应用容易遭遇注入式攻击,这使黑客能通过网站访问企业内部数据库。
惠普公司企业安全产品部门北亚区总经理姚翔
除此之外,姚翔先生还提醒大家不要忽视那些企业的定制软件安全,那些软件的漏洞数量也同样不容小觑,如网银一类。一旦被黑客挖掘到漏洞,威胁会相当大。
惠普的安全主张?
谈了这么多的威胁,惠普到底怎么样解决?不能光谈症状和毛病,最后总得开方子。
姚翔先生道:“第一是HP Fortify,可以做安全代码分析,第二是渗透测试。渗透测试就是模拟攻击,网站搭建好了以后,我模拟100种攻击方式,看哪种是无效的,哪种是有效的,这对用户来说非常有用。
另外,HP TippingPoint可以做到主动将攻击拦截在系统之外;ArcSight可以做更深入的分析……”
