4月29日，在第二屆首都網(wǎng)絡(luò)安全日的網(wǎng)絡(luò)安全高峰論壇之網(wǎng)絡(luò)可信體系保障國家網(wǎng)絡(luò)安全分論壇上，IBM安全事業(yè)部大中華區(qū)售前技術(shù)經(jīng)理張紅衛(wèi)做了題為《2015年第一季度X-Force威脅情報(bào)報(bào)告》的主題演講，帶領(lǐng)大家探究最新安全趨勢。

IBM X-Force研究和研發(fā)

IBM X-Force研究和開發(fā)團(tuán)隊(duì)研究和監(jiān)控最新的威脅趨勢，包括漏洞、漏洞利用、主動攻擊、病毒以及其他惡意軟件、垃圾郵件、網(wǎng)絡(luò)釣魚和惡意Web內(nèi)容。除了向客戶和公眾發(fā)布有關(guān)新出現(xiàn)的威脅和致命威脅的信息。它還提供安全內(nèi)容來幫助保護(hù)IBM客戶不受這些威脅的侵害。

IBM X-Force的使命：

◆監(jiān)控和評估瞬息萬變的威脅局勢;

◆研究新攻擊技術(shù)，針對未來的安全挑戰(zhàn)制定保護(hù)方案;

◆培訓(xùn)客戶和一般公眾;

◆集成和分發(fā)威脅保護(hù)和情報(bào)，使IBM解決方案更智能。

IBM X-Force監(jiān)控和分析不斷變化的威脅局勢

IBM X-Force覆蓋范圍：

超過兩萬給合同設(shè)備;每天管理超過150億個設(shè)備;133個受監(jiān)控國家/地區(qū)(MSS);超過3000項(xiàng)安全相關(guān)專利;超過2.7億個斷電報(bào)告惡意軟件。

IBM X-Force深度：

分析超過250億個網(wǎng)頁和圖像;每天超過1200萬垃圾郵件和網(wǎng)絡(luò)釣魚攻擊;記錄的漏洞超過9.6萬;超過86萬個惡意IP地址;數(shù)百萬個獨(dú)特的惡意軟件樣本。

2015年第一季度X-Force威脅情報(bào)報(bào)告

1、2014年安全事件綜述

根據(jù)X-Force按照攻擊類型和時間、影響對安全事件進(jìn)行跟蹤取樣，我們可以看到如下趨勢：

2012年，幾乎每天都會發(fā)生敏感數(shù)據(jù)信息泄露，報(bào)告的數(shù)據(jù)泄露和事件增加了40%。

2013年，持續(xù)使用多種方法攻擊，泄露報(bào)告超過800,000,000份，而且未來沒有任何改變的跡象。

2014年，數(shù)不清的記錄遭入侵。42%的CISO聲稱外部威脅風(fēng)險(xiǎn)相較于前幾年大大增加。

經(jīng)調(diào)查發(fā)現(xiàn)，83%的CISO表示，在過去的三年中，外部威脅帶來的挑戰(zhàn)有所增加。

??

另外，單純從數(shù)量上而言，2014年的被入侵記錄總數(shù)較2013年增加了近25%。下圖，從某一角度展示了10億或更多記錄泄露與人口規(guī)模相比可能會是什么樣子。雖然每個被入侵記錄不一定表示一個用戶，但2014年仍然可能有相當(dāng)比例的聯(lián)網(wǎng)用戶群體因安全事件承擔(dān)某種形式的損失。 

#p#

2、2014年安全漏洞披露

2014年，最終共涌現(xiàn)出9,200個新的漏洞分配XFID，但漏洞總數(shù)可能超過30,000個。1996-2014年，漏洞披露逐年增長情況如下： 

??

以上這些數(shù)據(jù)，表明攻擊者的入侵方式在升級，表明系統(tǒng)和安全實(shí)踐基礎(chǔ)存在令人不安的缺陷。

◆缺乏安全基礎(chǔ)：最終用戶密碼重復(fù)使用;將默認(rèn)密碼保存到管理系統(tǒng)上;密碼重置過程的提示問題不對。

◆基礎(chǔ)漏洞：很多網(wǎng)站上流行同樣的操作系統(tǒng)、開源庫和CMS軟件;根據(jù)2014年披露，若干此類系統(tǒng)和庫存在漏洞。

◆數(shù)字世界的隱私性逐漸降低：由于密碼較弱，云服務(wù)上存儲的敏感照片發(fā)生泄漏;一家大型好萊塢工作室的私密電子郵件通信遭到公布。

2014年，我們首次遇到“設(shè)計(jì)程序漏洞”。通過分析下面這張圖，我們可以看到，有的漏洞已經(jīng)存在了十幾二十幾年之久，甚至Shellshock與GHOST的CVSS等級達(dá)到了10。稍加留意我們還會發(fā)現(xiàn)，這些漏洞都有自己的徽標(biāo)，這說明漏洞早已發(fā)現(xiàn)，并沒有及時曝出。 

3、2014年安全事件抽樣分析

2014年，零售和計(jì)算機(jī)服務(wù)行業(yè)的入侵現(xiàn)象尤為突出。

??

2014年，由于比許多國家/地區(qū)更嚴(yán)的法規(guī)披露及更高的知名網(wǎng)站托管率，美國仍是首選威脅目標(biāo)。 

??

攻擊者紛紛通過創(chuàng)造性的新方法應(yīng)用基本攻擊類型。最常見的攻擊類型如下：

??

張紅衛(wèi)表示，近幾年來，X-Force一直報(bào)告SQL注入(SQLi)攻擊，認(rèn)為這是從Web服務(wù)器和應(yīng)用程序提取數(shù)據(jù)的一種有效方式。從歷史上而言，人們曾一度將SQLi作為印發(fā)安全事件的主要原因。但2014年，根據(jù)X-Force的事件跟蹤結(jié)果顯示，惡意軟件和DDoS攻擊量在各種安全事件攻擊類型中獨(dú)占鰲頭。#p#

4、Android版的Apache Cordova漏洞

Apache Cordova可讓移動應(yīng)用程序開發(fā)人員使用HTML5用作一項(xiàng)跨平臺開發(fā)技術(shù)。據(jù)AppBrain發(fā)現(xiàn)，約有6%的安卓應(yīng)用采用Cordova。另外，在攻擊者很感興趣的商業(yè)、醫(yī)療和金融應(yīng)用程序中，Cordova的使用比例為12%。

2014年7月，X-Force在Android版的Cordova中發(fā)現(xiàn)了一系列漏洞。經(jīng)過對基于Cordova的不同類別的安卓應(yīng)用的跟蹤，最初發(fā)現(xiàn)可利用其中91%的應(yīng)用程序。開發(fā)人員對Cordova漏洞披露的響應(yīng)如下圖所示：

??

注：Apache Cordova是一套設(shè)備API，允許移動應(yīng)用的開發(fā)者使用JavaScript來訪問本地設(shè)備的功能，比如攝像頭、加速計(jì)。它可以與UI框架(如 jQuery Mobile或Dojo Mobile或Sencha Touch)等相結(jié)合使用，這些UI框架可以使用HTML、CSS和JavaScript開發(fā)智能手機(jī)應(yīng)用。

最后，張紅衛(wèi)簡單介紹了一下大型分布式惡意軟件Citadel。并表示，無論在任何時間地點(diǎn)，平均有1/500的計(jì)算機(jī)收到Mad APT病毒的感染，大型分布式APT惡意軟件的感染率如下圖所示：