企业忽视最大安全风险

DoSECU 安全报道 9月21日消息:根据安全培训机构Sans的报告,发现由于大多数企业都没有互联网范围的攻击的可视性,所以企业很难区分网络攻击防御策略的优先顺序。

结果,两个安全风险(网络应用和钓鱼)成为了潜在的最大破坏者,而用户取而代之的是愿意集中大部分精力在危险系数低一些的风险上。

由安全培训机构Sans发起的报告结合了全世界2009年3月到8月安全攻击方面的数据。

该报告确定了企业用户的两个主要的防御重点。第一个把邮件攻击或鱼叉式网络钓鱼作为目标,后者利用客户端程序中的漏洞,如Adobe的 PDF Reader和Flash, Apple QuickTime和Microsoft Office。这些应用被描述为"用来违规可联网的计算机的主要的最初感染载体",并且是攻击者利用没有被常见的漏洞扫描工具发现的"程序错误"的结果。

第二个优先处理的危险是带有漏洞的网站。超过60%的攻击都是从网络应用和"从可信网站跳转到而已网站服务内容的,服务于那些带有客户级别的内容",无论是在开源还是在客户生成的应用中,通过利用最常见的漏洞来实现攻击,如SQL注入攻击和跨站脚本缺陷。这些漏洞构成了80%以上的攻击机会。

另一个发现是,应用程序现在变得更加脆弱,并被认为比操作系统更加具有攻击利用性。在报告采集数据时期,没有在主要的操作系统中发现新的木马。

此外,该报告还发现在过去三年间被攻击者发现(并且是在安全研究人员发现之前)的零日漏洞的数量出现了显著的增加,给攻击者打开了大门。

一位Sans发言人表示:"这份报告不同于我们以往所做的任何一份报告,因为它反映了实际攻击中数据的庞大,以及潜在的修复漏洞的速度。"

该报告的来源包括来自6000家企业的攻击数据,由安全硬件厂商TippingPoint提供,来自于9000个计算机的漏洞数据,由安全软件厂商Qualys提供,此外还有一些来自于Internet Storm Center和Sans faculty成员的分析和补充数据。