2012年4月，惠普公司發(fā)布了《2011年主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告》，報(bào)告發(fā)現(xiàn)最新披露的商業(yè)應(yīng)用漏洞的數(shù)量雖然在減少，但企業(yè)網(wǎng)絡(luò)面臨的威脅卻一直在增加……

這份網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告由：HP Fortify Web安全研究小組、HP Fortify on Demand、HP DVLabs數(shù)字疫苗實(shí)驗(yàn)室、ZDI、開源漏洞數(shù)據(jù)庫等多個(gè)部門和機(jī)構(gòu)的數(shù)據(jù)組成。對(duì)業(yè)界有一定的參考價(jià)值。 

一般來說，每年披露的漏洞數(shù)量反映了當(dāng)年安全行業(yè)的狀況并能幫助組織機(jī)構(gòu)確定防御措施的優(yōu)先級(jí)別。但根據(jù)《2011年主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告》，單純的漏洞數(shù)量已不再能有效反映安全風(fēng)險(xiǎn)的狀況。太多的隱形因素，在影響著企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)……

安全漏洞減少為何威脅還在增加？

在惠普的報(bào)告中發(fā)現(xiàn)，2011年漏洞數(shù)量比2010年減少了20%，并且從2006年開始，商業(yè)應(yīng)用中披露的漏洞數(shù)量持續(xù)地減少。

黑客和網(wǎng)絡(luò)利益群體認(rèn)為已知漏洞已經(jīng)能滿足他們賺取經(jīng)濟(jì)利益或達(dá)到目標(biāo)，而不需要尋找新的漏洞，因?yàn)槠髽I(yè)對(duì)安全的重視程度還不夠高。雖然漏洞數(shù)量減少，但漏洞嚴(yán)重性卻在增加。因?yàn)楦呶Ｂ┒磸?001年的7%增加到2011年的24%，意味著在四個(gè)安全漏洞里面，就有一個(gè)是高危漏洞。

按照以往的經(jīng)驗(yàn)，漏洞的數(shù)量往往直接反映著業(yè)界安全風(fēng)險(xiǎn)的等級(jí)。數(shù)量多，則安全風(fēng)險(xiǎn)高，數(shù)量少，則安全風(fēng)險(xiǎn)較低。可這2011年以來，被披露的安全漏洞減少了威脅卻還在增加？

惠普公司企業(yè)安全產(chǎn)品部門北亞區(qū)總經(jīng)理姚翔指出，第一、對(duì)于那些已知漏洞，作為廠商也好，客戶也罷，都沒有做到已知漏洞的保護(hù)，或者沒有保護(hù)全。

第二，黑客和網(wǎng)絡(luò)利益群體認(rèn)為已知漏洞已經(jīng)能滿足他們賺取經(jīng)濟(jì)利益或達(dá)到他們的目標(biāo)，他們不需要找新的漏洞，因?yàn)榇蠹覍?duì)整個(gè)安全的重視程度還不夠高。這就是業(yè)界的問題。

哪些應(yīng)用存在漏洞？

作為惠普旗下的一個(gè)知名漏洞機(jī)構(gòu)，ZDI公布了2011年業(yè)界10大漏洞。

2011年，在新披露的商業(yè)應(yīng)用漏洞中有近24%的嚴(yán)重性評(píng)級(jí)為8-10。這些漏洞可造成遠(yuǎn)程代碼執(zhí)行，是最危險(xiǎn)的一類攻擊。所有漏洞中約有36%存在于商業(yè)網(wǎng)絡(luò)應(yīng)用中。約有86%的網(wǎng)絡(luò)應(yīng)用容易遭遇注入式攻擊，這使黑客能通過網(wǎng)站訪問企業(yè)內(nèi)部數(shù)據(jù)庫。

[[89073]]

惠普公司企業(yè)安全產(chǎn)品部門北亞區(qū)總經(jīng)理姚翔

除此之外，姚翔先生還提醒大家不要忽視那些企業(yè)的定制軟件安全，那些軟件的漏洞數(shù)量也同樣不容小覷，如網(wǎng)銀一類。一旦被黑客挖掘到漏洞，威脅會(huì)相當(dāng)大。

惠普的安全主張？

談了這么多的威脅，惠普到底怎么樣解決？不能光談癥狀和毛病，最后總得開方子。

姚翔先生道：“第一是HP Fortify，可以做安全代碼分析，第二是滲透測試。滲透測試就是模擬攻擊，網(wǎng)站搭建好了以后，我模擬100種攻擊方式，看哪種是無效的，哪種是有效的，這對(duì)用戶來說非常有用。

另外，HP TippingPoint可以做到主動(dòng)將攻擊攔截在系統(tǒng)之外；ArcSight可以做更深入的分析……”