漏洞状况发生改变 安全风险进入新时代

　　近日，惠普公司发布了《2011年网络安全风险报告》(下简称报告)。据了解，该报告是由这份报告是由专业的漏洞分析与发现研究机构——HP DVLabs发布的。从2009年起，HP DVLabs就每6个月发布一次报告。该报告的来源分别是：开源漏洞数据库(OSVDB)和HP DVLabs零日攻击防御计划(ZDI)的漏洞信息、HP Fortify网络安全研究组和Fortify on Demand的Web应用数据、HP TippingPoint入侵防御系统全球网络的攻击信息、HP DVLabs的漏洞攻击分析。

　　惠普公司企业安全产品部门北亚区总经理姚翔表示，惠普致力于通过《2011年主要网络安全风险报告》与HP DVLabs“提醒与警示”全球商业机构及相关组织，包括警示企业内个人用户在防范企业安全问题上的意识。同时，帮助企业确定风险的重要程度并降低风险。

惠普公司企业安全产品部门北亚区总经理姚翔

攻击趋势有所变化

　　从报告中可以发现一个有趣的现象， 2011年漏洞数量比2010年减少20%，而且从2006年开始漏洞发现数量就开始持续减少。同时，利用旧有漏洞攻击的比例也越来越高。姚翔认为，发生这样的现象并不足奇，黑客和网络利益群体认为已知漏洞已经能满足他们赚取经济利益或达到目标，而不需要寻找新的漏洞，因为企业对安全的重视程度还不够高。因此，社会工程学已经成为主流的黑客攻击手段之一。

　　此外，虽然漏洞数量减少，但漏洞严重性却在增加。因为高危漏洞从2001年的7%增加到2011年的24%，意味着在四个安全漏洞里面，就有一个是高危漏洞。姚翔指出，在去年所发现的漏洞中，Web应用的漏洞数量占总漏洞数量的36%，定制应用和插件的漏洞数量增加。其中，约有86%的Web应用容易遭遇注入式攻击，这使黑客能通过网站访问企业内部数据库。

　　目前，随着B/S架构的CRM系统、OA系统等广泛应用，击于Web应用的攻击无疑是黑客最青睐和直接的攻击方式。据报告分析，6类安全漏洞里面大概有4个是针对Web的，基于手机的Web应用，例如手机银行、基于iOS平台的应用都成为安全漏洞里的高危区域。此外，81%的Web服务器暴露其类型，52%暴露了具体版本，13%在HTML注释中存在详细的堆栈跟踪信息。

　　由于成功率高，网络攻击工具包在2011继续呈泛滥之势。这些“打包”的攻击框架在网络上进行交易，可使黑客能访问企业的IT系统并盗取敏感数据。例如，大多数网络犯罪使用Blackhole Exploit Kit，这造成了2011年11月底不同以往的超过80%的高感染率。报告称，在过去一年中，现有攻击工具包进行了许多更新，并新增了许多新工具包。在去年的年底，中文攻击工具包首次被发现。较老的攻击工具包(如Bleeding Life和Phoenix)势头仍然强劲;其中，Blackhole越来越流行。另外，许多新工具包(如Sakura Pack、Yang Pack和Siberia)开始出现，利用很多近期发布的漏洞来挑战Phoenix、Eleonore和Blackholde等已有的工具包。“总体而言，它们都针对老的漏洞在不断升级。” 姚翔说。

支招应对新形势

　　面对越来越严峻的安全新形势，姚翔就企业降低攻击的发生提出了几点建议，第一，保护商业应用，尽早并经常打补丁，在网络上部署“虚拟”补丁。第二，保护定制应用，尽早并经常测试，部署具有自适应能力的应用保护体系。第三，阻断内部主机与恶意站点间的通信。

　　除此之外，为应对不断变化的安全风险，企来还需要一套风险管理平台来了解其传统、移动和云环境情况，从而能根据具体的企业风险采取适当的安全防御措施。而惠普的安全智能和风险管理(SIRM)平台能够满足客户上述需求。据介绍，SIRM平台包含了法规遵从、漏洞管理、资产配置以及风险管理一整套的解决方案，可使企业清楚了解其传统、移动及云环境的情况，并且企业可以根据具体的安全风险来采取适当的安全防御措施。

　　该解决方案整合了源自ArcSight、Fortify、TippingPoint等市场领先产品，通过SIRM平台联动的优势，可以向企业提供先进的关联分析、应用保护以及网络防御技术，从而保护应用和 IT 基础架构，防范复杂网络威胁。通过该平台的联动优势，企业可以利用HP Fortify进行包括代码安全扫描、漏洞查看等测试。并可以通过HP ArcSigh 对攻击进行检测和监测用户的活动，同时可以通过HP TippingPoint IPS可在网关处阻止攻击。从以上可以看出，SIRM平台弥合了安全与IT运营之间的差距，帮助企业突破禁锢的、采用单一用途产品的战略。