惠普报告：Web应用和定制应用安全堪忧

　　ZDNET安全频道 8月2日 北京报道（文/陈广成）：近日，惠普公司发布了《2011年网络安全风险报告》，这是惠普在成立企业安全产品部门后，第一次通过不同的产品类型组合提供安全威胁报告。报告来源于HP DVLabs，并第一次把HP Fortify作为基于应用的研究引入报告，报告发布了四条主要研究成果：

　　·应用是攻击的主要目标，特别是Web应用
　　·商业应用的漏洞数量减少，定制应用的漏洞数量增加
　　·对应用的攻击增加
　　·针对已知漏洞的新攻击

惠普公司企业安全产品部门北亚区总经理姚翔

　　惠普公司企业安全产品部门北亚区总经理姚翔指出，惠普发现2011年漏洞数量比2010年减少了20%，从2006年开始，商业应用中披露的漏洞数量持续地减少。但这并不意味着风险在降低，黑客和网络利益群体认为已知漏洞已经能满足他们赚取经济利益或达到目标，而不需要寻找新的漏洞，因为企业对安全的重视程度还不够高。虽然漏洞数量减少，但漏洞严重性却在增加。因为高危漏洞从2001年的7%增加到2011年的24%，意味着在四个安全漏洞里面，就有一个是高危漏洞。

　　现在越来越多的人通过浏览器访问CRM系统、财务系统、OA系统等开展业务，基于Web的应用也变成了黑客攻击的重点。惠普发现，6类安全漏洞里面大概有4个是针对Web的，基于手机的Web应用，例如手机银行、基于iOS平台的应用都成为安全漏洞里的高危区域。姚翔强调，Web应用的漏洞数量占总漏洞数量的36%，定制应用和插件的漏洞数量增加。

　　同时，在定制Web应用里面存在大量的信息类型泄漏威胁，据报告分析，81%的Web服务器暴露其类型，52%暴露了具体版本，13%在HTML注释中存在详细的堆栈跟踪信息。整个安全形势的不容乐观正是因为大家对安全的重视度差得很远。

　　报告中把攻击者分为了黑客、网络犯罪、国家、恐怖分子四大类型，动机各不相同，有针对金钱、知识产权、地缘政治、宗教信仰、社会政治和环境等目的。攻击的演变也越来越复杂，包括侦查、社交工程、漏洞利用、隐匿技术、载荷(攻击码的核心部分)、利润等攻击方式。

　　姚翔提出，没有发现攻击发生并不代表自己没有被攻击过，因为目前所有的安全威胁不是要轰动全世界，不需要网络瘫痪。最近几年致使大规模传染病毒、网络瘫痪的攻击者越来越少，因为黑客是奔着商业利益去做的，他会尽量隐藏、擦除自己的攻击痕迹，这种隐匿技术的攻击行为往往更可怕，损失也更严重。同时，中国目前有3亿的社交网络用户，黑客瞄准这一庞大的群体，给黑客跟踪并定向发起网络攻击行为提供了便利。

　　姚翔提出了保护您的企业降低攻击发生的几点建议，第一，保护商业应用，尽早并经常打补丁，在网络上部署“虚拟”补丁。第二，保护定制应用，尽早并经常测试，部署具有自适应能力的应用保护体系。第三，阻断内部主机与恶意站点间的通信。

　　当然，惠普也开出了方子，“HP Fortify发现并修复定制应用中的漏洞，提供了安全代码分析、渗透测试、安全评估云服务。TippingPoint主动的安全检查并将攻击拦截在网络之外，ArcSight收集、分析和评估整个企业的安全事件，DVLabs漏洞研究与攻击分析，以便阻止高级攻击。”姚翔介绍说。

　　值得一提的是，以往的IPS只是基于一些点、一些特征来发现攻击，它并不了解全球威胁的形势，姚翔告诉记者，TippingPoint新一代IPS加入了IP信誉管理的技术，使其具有更智能的阻断内部主机跟恶意站点间的通信。

　　针对定制应用的安全状况，一般通过打补丁和厂家来解决。姚翔建议这需要开发客户在定制应用的时候跟合作伙伴或者是开发商保证长期的联络来维护。在必要的情况下，要通过安全测试去模拟黑客的攻击方式去确认定制的应用的是过关的。