DOIT 安全频道 7月24日原创报道: 惠普《2011年主要网络安全风险报告》显示,单纯的漏洞数量已不再能有效反应安全风险的状况,虽然商业应用中新报告的漏洞数量持续降低,但不仅仍然有大量漏洞的来源不明,且越来越多的老漏洞被黑客及其他攻击者所使用的频率在逐步增高。
与此同时,由于企业无法将企业应用与互联网业务互相剥离,企业越来越多的陷入到来自互联网的攻击、入侵、泄露等安全问题中去,这不仅使企业所面临的安全风险不断增高,也在2011年真实的影响了全球企业的业务发展与利润收益。
惠普公司企业安全产品部门北亚区总经理姚翔认为,企业所面临的攻击日趋复杂和严重,并带来了更多的风险,据惠普所提供的上述报告所显示,“非常严重的企业安全问题”由2006年的7%上升到了2011年的24%,这就意味着“企业面临的风险中,高危险性、高损失性的安全问题”正在不断增加,企业每一次所面临的安全问题的严重性,与六年前相比都有所提高。
值得注意的是,这份报告是由专业的漏洞分析与发现研究机构——HP DVLabs推出。该机构从2009年起,每6个月发布一次《网络安全风险报告》,分析来自数千个已部署的HP TippingPoint入侵防御系统的安全漏洞数据。据姚翔透露,HP DVLabs这一机构中除了有十几名惠普的专职研究人员之外,还有2000余名来自于惠普客户与合作伙伴的“兼职”分析师与安全人员。同时,该机构的0Day计划也吸引了全球1600多个注册的独立研究员参与到计划中。
在全球新的安全威胁增加、安全危害日益严重的今天,中国作为新兴国家不仅不能幸免,而且成为了全球的重灾区之一。据中国国家互联网应急中心专家在近日在西安召开的2012中国计算机网络安全年会上表示,中国面临的境外网络攻击和威胁越发严重,已成为网络攻击最大的受害国。
国家互联网应急中心的抽样调查显示,2011年境外有近4.7万个IP地址作为木马或僵尸网络控制服务器参与控制中国境内主机,控制的境内主机数量由2010年的近500万增加至近890万,呈大规模化趋势。其中位于日本、美国和韩国的控制服务器IP数量居前三位。在网站安全方面,境外黑客对境内1116个网站实施了网页篡改;境外11851个IP通过植入后门对境内10593个网站实施远程控制;仿冒境内银行网站的服务器IP有95.8%位于境外。
姚翔表示,惠普致力于通过《2011年主要网络安全风险报告》与HP DVLabs“提醒与警示”全球商业机构及相关组织,包括警示企业内个人用户在防范企业安全问题上的意识。同时,借助相关的研究结果,强化惠普安全解决方案的能力,弥补可能存在的、难以为人知的漏洞。但他也表示,我们首先还是要了解清楚,到底现在所面临的安全问题是什么。
新漏洞看似减少 安全风险却日益升高
据报告显示,从2006年起行业内所披露的商业应用漏洞的数量就在逐渐减少,到2011年已经同比降低了近20%,但是报告中的企业受威胁的数据表明并不意味着风险在降低——事实上,惠普TipingPoint入侵防御系统(IPS)监测到的攻击数量在2011年下半年增长了1倍多。
“原有的漏洞就足够了。”姚翔表示,虽然报告中显示商业应用中新披露的漏洞数量持续下降,但这样并不意味着安全威胁就减少了,因为黑客现在“已然是个流水线”,他们更追求的是利用旧有的、已知的的“老漏洞”以及“流水线上批量生产的工具”来攻击、入侵与窃取企业的系统与信息。
姚翔认为,安全风险的评估已经进入新的阶段,单纯的漏洞数量已经不再能有效的反应安全风险状况。黑客倾向于继续利用原有的漏洞寻找在互联网上披露主机信息及版本号——超过八成的互联网主机披露了应用环境而53%的主机直接告知了软件的版本——使用不断更新的工具进行大规模、低成本的攻击,而不是费时费力地去发现、研究和使用新的漏洞。
“很多现有的攻击工具进行了更新,比较老的Bleeding Life和Phoenix势头仍然很忙,Blackhole更加流行,他们都针对老的漏洞不断升级。”姚翔认为这一现象的原因来自于黑客的攻击趋势更加针对实际的收入,也就是现金的诱惑更加强烈,单纯的黑客行为已经越来越少,更多的转向了“网络犯罪”。
但姚翔也承认,这并非意味着新漏洞“就真的减少了”,他表示,在很大程度上黑客更加注意使用隐匿技术来隐匿新的漏洞。同时,漏洞交易黑市开始出现,交易双方或是整个交易黑市为了提高网络犯罪的成功率而可以保守披露漏洞的情况,这些都让业界越来越难以发现新的漏洞。
除此以外,新漏洞被发现往往存在于企业定制化的应用中,由于企业定制化应用的开发、测试环节对安全防护和漏洞的关注度并不高,使用者也较少,这些应用的漏洞不仅多且难以在正常使用中发现,这也给了攻击者以新的目标。
姚翔认为,总的来说趋势可以这样概括:老漏洞长期被利用,新漏洞越来越隐蔽,他表示,在这样的趋势下,惠普提供了安全智能和风险管理平台(SIRM),通过整合的风险驱动型安全解决方案平台,帮助企业清楚了解其传统、移动和云环境情况,从而能够根据具体的企业风险采取适当的安全防御措施。
Fortify发挥巨大作用 让环境更安全
去年9月,惠普宣布推出惠普Fortify软件安全中心(HP Fortify Software Security Center),一一款整合的应用安全测试解决方案,既可以在企业内部部署,也可以按需使用支持成千上万种的应用漏洞扫描。
惠普Fortify软件安全中心(HP Fortify Software Security Center)套件让客户的软件安全保障(Software Security Assurance)项目自动化,从而主动消除应用中的漏洞。新套件包括静态应用安全测试(SAST)解决方案(前身为HP Fortify 360套件)以及动态应用安全测试(DAST)解决方案(前身为惠普应用安全中心)
据姚翔透露,惠普自身也是Fortify的用户。事实上,作为全球最大的IT供应商之一的惠普,自身也提供大量的企业及个人用软件产品,涵盖了企业服务器、存储、网络、打印、个人电脑、移动设备、企业应用软件平台等等领域,其中的一些产品同样需要不断的排查和封堵漏洞。因此惠普自身也是用HP Fortify来检查惠普自身组织架构及应用软件的漏洞。
“我们的内部IT架构和研发部门,最经常使用的安全产品就是Fortify,他们也使用HP SOC(Security Operator Center),降低我们自身和惠普软件的安全风险。”姚翔表示,惠普将自己在安全方面的积累和技术,涵盖到自身及合作伙伴、产品的各个层面,以提高从内部到外部的安全防范水平。
姚翔在接受采访时还提到由于成功率高,网络攻击工具包在2011年继续呈泛滥之势。这些“打包”的攻击框架在网络上进行交易,可使黑客能访问企业的IT系统并盗取敏感数据。例如,大多数网络犯罪使用Blackhole Exploit Kit,这造成了2011年11月底不同以往的超过80%的高感染率。
