已知漏洞威脅:是借口,也是突破口

責(zé)任編輯:editor007

2015-04-13 16:48:58

摘自:TechTarget中國(guó)

現(xiàn)在的企業(yè)安全態(tài)勢(shì)不容樂(lè)觀,黑客利益集團(tuán)日趨成熟,他們不再滿足于“干一票走人”的一錘子買(mǎi)賣(mài),而是以控制為最終目的,對(duì)漏洞進(jìn)行重復(fù)利用,以成功實(shí)施長(zhǎng)期的潛伏攻擊。大部分漏洞來(lái)源于數(shù)量相對(duì)較少的常見(jiàn)軟件編程錯(cuò)誤,軟件中無(wú)論是老漏洞還是新漏洞都會(huì)被攻擊者迅速利用。

現(xiàn)在的企業(yè)安全態(tài)勢(shì)不容樂(lè)觀,黑客利益集團(tuán)日趨成熟,他們不再滿足于“干一票走人”的一錘子買(mǎi)賣(mài),而是以控制為最終目的,對(duì)漏洞進(jìn)行重復(fù)利用,以成功實(shí)施長(zhǎng)期的潛伏攻擊。讓人頗感哭笑不得的是,被黑客利用的漏洞并非用了什么高深的手法所得,而往往是些“老掉牙”的已知漏洞。

在最近惠普發(fā)布的2015年網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告中,對(duì)2014年企業(yè)面臨的最為緊迫的安全問(wèn)題進(jìn)行了調(diào)查和分析,結(jié)果再次亮了:2014年前十大漏洞皆為數(shù)年前已知的系統(tǒng)弱點(diǎn)。人們熟知的問(wèn)題和錯(cuò)誤配置成了過(guò)去一年最嚴(yán)重的威脅。

別為‘安全上的不作為’找借口

根據(jù)惠普2015年網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告顯示,常見(jiàn)的攻擊仍然奏效。其中44%的已知攻擊是針對(duì)2-4年前的老漏洞,攻擊者繼利用廣為人知的技術(shù)來(lái)入侵系統(tǒng)和網(wǎng)絡(luò)。漏洞發(fā)現(xiàn)的早不表明企業(yè)已然進(jìn)行了防護(hù),企業(yè)沒(méi)有及時(shí)進(jìn)行打補(bǔ)丁也是多種因素的合力,系統(tǒng)老化、不允許業(yè)務(wù)中斷、底層加補(bǔ)丁后上層應(yīng)用的兼容性問(wèn)題等等,這都導(dǎo)致了企業(yè)以業(yè)務(wù)優(yōu)先,安全優(yōu)先級(jí)不高的局面。

除此之外,配置錯(cuò)誤仍是一個(gè)顯著的問(wèn)題。服務(wù)器配置錯(cuò)誤是最為常見(jiàn)的漏洞,會(huì)讓攻擊者輕易潛入系統(tǒng)訪問(wèn)文件,致使企業(yè)受到攻擊和侵害。且比以往,現(xiàn)在的漏洞給企業(yè)造成的損失將更大。

安全在業(yè)務(wù)上線前有一票否決權(quán),企業(yè)該維護(hù)好這一權(quán)力,而不是為了業(yè)務(wù)而犧牲掉安全。企業(yè)應(yīng)積極采取全面、及時(shí)的補(bǔ)丁策略,確保系統(tǒng)安全防御措施隨時(shí)更新,降低風(fēng)險(xiǎn);另一方面,也應(yīng)對(duì)配置進(jìn)行定期滲透測(cè)試和驗(yàn)證,盡早發(fā)現(xiàn)并解決問(wèn)題。

意識(shí)強(qiáng)化應(yīng)走在技術(shù)之前

除了已知問(wèn)題外,該報(bào)告也顯示移動(dòng)互聯(lián)和物聯(lián)網(wǎng)等技術(shù)帶來(lái)更多的新的攻擊途徑。據(jù)更進(jìn)一步的細(xì)節(jié),2014年移動(dòng)惡意軟件水平升高,有97%的移動(dòng)應(yīng)用存在代碼質(zhì)量問(wèn)題;不斷增加的物聯(lián)網(wǎng)接入設(shè)備成了遍布的攻擊入口。鑒于計(jì)算生態(tài)不斷擴(kuò)展,企業(yè)如果不加以防范,會(huì)給攻擊者提供更多的入侵機(jī)會(huì)。

報(bào)告也對(duì)應(yīng)用安全問(wèn)題作了相關(guān)探討,指出常見(jiàn)軟件漏洞的主要原因是缺陷、故障和邏輯錯(cuò)誤。大部分漏洞來(lái)源于數(shù)量相對(duì)較少的常見(jiàn)軟件編程錯(cuò)誤,軟件中無(wú)論是老漏洞還是新漏洞都會(huì)被攻擊者迅速利用。

現(xiàn)在的威脅變得更為立體,沒(méi)有哪個(gè)企業(yè)敢號(hào)稱100%的安全。企業(yè)始終應(yīng)居安思危,讓安全和響應(yīng)成為常態(tài)。協(xié)作和威脅情報(bào)共享是整個(gè)安全行業(yè)聯(lián)合應(yīng)對(duì)威脅的關(guān)鍵,企業(yè)應(yīng)主動(dòng)獲取可信、可靠的安全情報(bào),更好地采取應(yīng)對(duì)措施和方法,打造更安全的整體環(huán)境。同時(shí),也應(yīng)采用補(bǔ)充防御策略,讓防御系統(tǒng)更加牢固。

無(wú)論是已知的漏洞威脅還是新技術(shù)帶來(lái)的新興威脅,都處在一個(gè)變化的狀態(tài),企業(yè)的防御也應(yīng)是靈動(dòng)而富于變化的,且無(wú)論是身處何種行業(yè),企業(yè)都必須提高安全的優(yōu)先級(jí),畢竟沒(méi)有安全,一切業(yè)務(wù)也都枉談。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)