姚翔：Web应用已成最主要信息安全威胁

　　随着云计算、移动互联网等新兴IT技术所带来的企业IT基础架构的变革，以及企业IT应用的越来越复杂，企业所面临的安全风险形势也越来越严峻。日前，在惠普《2011年网络安全风险报告》发布会上，惠普企业安全产品部门北亚区的总经理姚翔讲到，Web应用已经变成了企业当前所面临的最大安全威胁。其中，黑客的攻击目的也从以前的技术炫耀正在甚至已经开始向互联网犯罪的方向转变。

　　四大安全趋势分析

　　整个IT行业特别是信息安全的形势目前不容乐观，在HP DVLabs的《2011年网络安全风险报告》中给出了几大趋势变化，分别是Web应用已经变成企业最大的安全威胁、商业应用的漏洞减少定制应用漏洞在增加、攻击应用的类型增加、对已知漏洞的攻击增多。

　　姚翔首先谈到，“Web应用已经变成整个安全威胁里最大的一块，现在越来越多的人通过浏览器开展业务，大家通过浏览器访问CRM系统、财务系统、OA系统。因此，基于Web的应用慢慢变成了黑客攻击的重点。”

　　与此同时姚翔又分享到，目前，商业应用的漏洞正在减少，比如SAP应用、Oracle应用等，反而漏洞数量比较多的则是那些企业基于某些开发平台的定制应用，可能是基于.net的开发或是基于Java的开发，这些开发的漏洞在迅速增加。姚翔谈到，黑客现在攻击的目标越来越精准，企业的CRM系统和银行核心业务系统已经开始成为黑客有针对性攻击的目标。

　　对已知漏洞的攻击占很大的比重，姚翔分析说，任何软件都有可以被利用的漏洞，比如通过算法或者是特别的工具可以攻击的漏洞，可是对同一个漏洞的不同攻击方式现在带来了不同的挑战。

　　据HP DVLabs的调查显示，从2000年到2006年每一年的安全漏洞都在增长，所以企业需要有安全的考虑，但从2006年到2010年安全漏洞正在减少。这是一个很奇怪的现象，但是安全漏洞的减少并不意味着安全威胁的减少。

　　姚翔解释说，对于已知漏洞来说，无论是厂商还是用户都是有责任的。厂商没有做到对已知漏洞的保护或是没有做到全面的保护，用户对于已知漏洞的不重视，觉得这个漏洞问题我已经知道了但依然没有做好防护。换而言之，黑客和网络利益群体认为已知漏洞已经能满足他们赚取经济利益或达到他们的目标，他们不需要找新的漏洞，因为大家对整个安全的重视程度还不够高。

　　企业全新安全风险应对之道

　　基于以上的安全形势，企业在应对安全风险时，商业应用最简单的做法就是打补丁，这对商业应用来说是必需的，因为商业应用有很多的安全威胁。另外还可以在网络上部署虚拟补丁，通过网络设备对一些未打补丁的终端进行特别的防护。针对企业定制化的应用，因为有很多企业的定制应用是外包的，开发商把应用交付企业后就没事了，而企业需要自己来做运维。这样就会产生很多的后遗症，姚翔建议到，针对定制应用企业要尽早做测试。

　　姚翔表示，虽然现在企业对于信息安全的意识有所增强，但企业在IT建设上的急功近利往往使得这种增强变得毫无意义。现在很多企业都有CIO，却很少有企业设置CISO，这个职位应该跟CIO是平级的。CISO负责构建IT系统时监督有没有安全威胁。很多企业在构建业务系统Web server的时候并没有把Web类型的相应安全问题考虑到。比如说一个银行的网银为了上线，没有考虑安全问题，而当上线之日就是黑客瞄准其基础架构发动攻击之时。这也是黑客为什么不用去找新的漏洞而用旧的漏洞攻击增多的原因。