扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
近年来,随着网络安全攻击手段的愈加高级,APT、0day漏洞攻击等一系列攻击手段成为业界讨论和关注的热点领域。然而,根据惠普一份最新的网络风险报告的调查结果显示,当前在企业因安全攻击所遭受的损失中,一些已知的攻击方式及常见的错误却成为攻击成功率最高的方式。
据该报告显示,目前有44%的已知攻击是针对2-4年前的老漏洞。也就是说,攻击者继续利用广为人知的技术来成功入侵系统和网络。并且,在2014年出现的十大漏洞都利用了几年前、甚至数十年前编写的代码。
对此,惠普企业安全产品北亚区总经理姚翔指出:“企业安全运维人员的疏忽、缺乏完善的修补补丁所需的测试环境、以及与企业业务连续性所产生的冲突等都是造成企业对已知漏洞视而不见的原因。因此,对企业而言,建立完善全面的补丁策略是当务之急。”
惠普企业安全产品北亚区总经理姚翔
而服务器配置错误则成为最常见的漏洞。据该报告显示,除了隐私和cookie安全问题等漏洞,服务器配置错误在2014年安全问题中十分突出,它让攻击者轻易地潜入系统访问文件,并导致企业受到攻击。
“所以,当前企业所面临的最常见的问题还没有将安全防护完善到代码级,也就是服务器配置错误。而这样的配置错误会产生很大量的安全漏洞,为企业带来巨大的安全风险。”姚翔说道。
而随着当今物联网、移动互联网等逐渐兴起与火热,互联设备也为人们带来了更多的攻击路径。除了物联网设备带来的安全问题,2014年移动恶意软件水平也有所提高。随着计算生态系统不断扩展,企业如果不充分考虑安全问题,攻击者将发现更多入侵机会。
如今,许多企业已经将业务应用大量地搬到移动业务层面,而在Web端,各类应用已有86%存在安全威胁,在移动端,这一比例已高达97%。另外,应用的代码质量也是引发安全威胁的重要因素,在web应用中,大概只有17%的应用存在代码问题。而在移动应用中这一比例超过了一倍以上。姚翔表示:“这意味着全球大量的移动应用处于尚无安全保护的状态。随着移动应用越来越广泛的普及应用,其将会给企业、消费者、个人带来更大的安全威胁,带来更严重的后果。”
此外,物联网所带来的新的攻击途径,成为当前网络安全防御中的空白点。对于造成这一现状的原因,姚翔认为:一是企业本身对物联网仍旧缺乏必要的安全概念,人们对物联网的认知仅仅还停留在吧互联网带到终端设备上就是一个新的卖点;二是,大部分的用户对这些设备的智能威胁的认知仍旧不够。“大部分的制造商不是IT领域更不是安全领域的,他们需要尽可能地将安全的概念融入到产品的设计中去;而对消费者而言,其更需加强安全方面的意识,需要对制造商提出要求,并完善自身的安全策略来对自身的信息进行保护。” 姚翔建议道。
最后,姚翔指出:归结所有的安全威胁与防御,惠普认为意识形态的问题比技术手段更重要,目前来说仍旧是企业及个人用户更大的短板。对此,惠普建议网络防御者应采取全面、及时的补丁策略,以确保系统安全防御措施随时更新;并从内部和外部机构对配置进行定期渗透测试和验证,在攻击者利用配置错误之前发现并解决问题;在采用新技术的同时,也要对拥有足够的安全意识,以尽量减少采用新技术给网络带来的风险。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者