惠普近日發(fā)布了2015年網(wǎng)絡(luò )風(fēng)險報告,針對上一年困擾企業(yè)的最緊迫的安全問(wèn)題進(jìn)行了深入的風(fēng)險調查和分析,并指出了2015年的趨勢。
這份調查報告由惠普安全調查部門(mén)編寫(xiě),研究對象為讓企業(yè)面臨安全風(fēng)險的最普遍的漏洞的數據。報告顯示,人們熟知的問(wèn)題和錯誤配置促成了2014年最可怕的威脅。
惠普公司企業(yè)安全產(chǎn)品北亞區總經(jīng)理姚翔表示:“很多大的安全風(fēng)險問(wèn)題我們數十年前已經(jīng)知道,這些問(wèn)題讓企業(yè)面臨著(zhù)不必要的風(fēng)險。我們不能因為信任新技術(shù)對電腦安全的保護而忽視了對這些已知漏洞的防御。相反,企業(yè)必須采用基本的安全策略應對已知漏洞,從而消除大量的風(fēng)險。”
重點(diǎn)和關(guān)鍵發(fā)現
44%的已知攻擊是針對2-4年前的老漏洞。攻擊者繼續利用廣為人知的技術(shù)來(lái)成功入侵系統和網(wǎng)絡(luò )。2014年出現的十大漏洞都利用了幾年前、甚至數十年前編寫(xiě)的代碼。
服務(wù)器配置錯誤是最常見(jiàn)的漏洞。除了隱私和cookie安全問(wèn)題等漏洞,服務(wù)器配置錯誤在2014年安全問(wèn)題中十分突出。它讓攻擊者輕易地潛入系統訪(fǎng)問(wèn)文件,并導致企業(yè)受到攻擊。
互聯(lián)設備帶來(lái)更多攻擊路徑。除了物聯(lián)網(wǎng)設備帶來(lái)的安全問(wèn)題,2014年移動(dòng)惡意軟件水平也有所提高。隨著(zhù)計算生態(tài)系統不斷擴展,企業(yè)如果不充分考慮安全問(wèn)題,攻擊者將發(fā)現更多入侵機會(huì )。
常見(jiàn)軟件漏洞的主要原因是缺陷、故障和邏輯錯誤。大部分漏洞來(lái)源于數量相對較少的常見(jiàn)軟件編程錯誤。軟件中的新老漏洞會(huì )被攻擊者迅速利用。
主要建議
- 網(wǎng)絡(luò )防御者應采取全面、及時(shí)的補丁策略,以確保系統安全防御措施隨時(shí)更新,從而降低受到攻擊的幾率。
- 內部和外部機構對配置進(jìn)行定期滲透測試和驗證,在攻擊者利用配置錯誤之前發(fā)現并解決問(wèn)題。
- 盡量減少采用新技術(shù)給網(wǎng)絡(luò )帶來(lái)的風(fēng)險。隨著(zhù)物聯(lián)網(wǎng)等新技術(shù)的興起,企業(yè)急需了解新的攻擊渠道,以防潛在的安全漏洞被利用。
- 協(xié)作與威脅情報共享是整個(gè)安全行業(yè)聯(lián)合應對威脅的關(guān)鍵。這將幫助企業(yè)洞察黑客策略,采取更主動(dòng)的防御措施和更強的安全解決方案,營(yíng)造更安全的整體環(huán)境。
- 應采用補充防御策略,并始終保持“居安思危”的心態(tài)。世界上沒(méi)有100%安全的解決方案,防御系統應采用補充式、分層式安全策略,以實(shí)現最佳防御。
