IBM (NYSE: IBM) 近日发表其网络安全研究部门X-Force的《二零一零年中期趋势及风险报告》。X-Force的调查显示,在二零一零年上半年,已披露的漏洞个案激增,破历史纪录。
SafeBeta大陆独家编辑播报
X-Force研发小组在今年上半年存录的新漏洞共4,396各,较去年同期增加36%,其中55%已披露的漏洞在上半年期末时,仍未获软体商提供修补程序。
X-Force的报告指出,网页应用程式漏洞仍是最大的威胁,占所有已知漏洞个数五成以上。此外,隐藏于JavaScript及PDF文件中的暗箭式攻击越趋精密,而云运算和虚拟化已成为企业机构未来的主要安全隐忧。
在二零一零年上半年,企业机构比以往更注重侦测和披露安全漏洞。此举产生积极效应,令业界更同心协力侦破和消除漏洞,避免网上罪犯有机可乘。
X-Force报告展示的趋势简述如下:
网页应用程式漏洞仍是最大的安全威胁,网页应用程序漏洞之多,已超越所有其他隐患,占已知漏洞总数的55%。虽然这类漏洞的增幅尚算平稳,但有关的数字并未能全面反映网页应用程序漏洞的实际凶险情况,因为客户自制的网页应用程序所产生的漏洞,并未计算在内。
暗箭式攻击更趋频密和复杂,尤以潜藏于JavaScript的威胁为甚。企业要防御的电脑网路攻击愈来愈层出不穷,其中包括称为「进阶持续性威胁」的网络攻击。这类攻击能避过传统安全工具的侦测,暗中潜入电脑网络犯案。JavaScript混淆法是各级电脑罪犯最惯用的技俩,可将攻击隐藏于档案文件和网页中。在二零一零年,IBM侦测到的隐藏攻击比去年同期上升52%。
罪犯以新手法设陷阱,用户受PDF恶意程式攻击个案持续上升。X-Force自二零零九年上半年开始观察广泛利用PDF附件发动攻击的趋势,至今已堵破攻击网上浏览器五大手法的其中三项。在二零一零年上半年,以四月份录得的PDF攻击个案升幅最高,当时IBM代管安全服务部侦测到的攻击活动比二零一零年上半年的平均数多出近37%。究其原因,是当时不法之徒大举发送带有恶意PDF附件的垃圾邮件,借以发动Zeus和Pushdo傀儡网络攻击;这两类攻击均属现今国际网络上为祸最烈的隐患。
彷冒诈骗邮件显著减少,但金融机构仍是首要攻击目标。在过去数年,彷冒诈骗邮件量时增时减,波幅甚大。与二零零九年的高峰纪录相比,在二零一零年上半年发现的彷冒诈骗邮件攻击为数不多,比去年同期骤降近82%,但金融机构仍是头号攻击对象,占所有彷冒诈骗邮件量约49%,其他主要攻击目标包括信用卡、政府机构、网上付款机构和拍卖网站。
IBM软体部Tivoli品牌经理李元荣表示,安全威胁持续激增,攻击手法也演变迅速,因此当务之急是审视逐渐显现的趋势,协助客户防患未然。他指出,今年的X-Force报告显示,尽管威胁增加,可幸业界整体加强警觉,汇报漏洞,此举也令客户更重视物色有效的安全方桉,以改善风险管理成效,同时确保现有的资讯科技基建在设计上安全稳妥。
展望未来,X-Force研发小组认为今后须密切监察的趋势包括:
云运算--安全疑虑仍然是云运算这项新兴科技未能在企业之间普及的一大障碍。IBM建议,企业机构考虑转用云运算环境时,最重要是先行分析准备寄存于云上的工作负载所需的安全措施,切勿本末倒置,以挑选服务供应商为首务。先行深入理解本身的需要和要求,有助订立更周密的策略,获取合适的云运算服务。
虚拟化--随着愈来愈多企业将工作负载推入虚拟服务器,以善用不断提升的中央处理器 (CPU) 效能,新的问题也随之出现:如何明智地在同一个实体硬件中,共享有不同安全要求的工作负载?X-Force的漏洞资料显示,影响到服务器级虚拟系统的漏洞中,有35%会波及虚拟机监视器。换言之,罪犯只要控制到一个虚拟系统,便可操纵同一部机上的其他系统。这分析结论对于设计虚拟项目的企业至为有用。
上述报告由IBM旗下享负盛名的安全研究部门X-Force编制。X-Force收集自一九九七年以来披露的漏洞个案进行编目、分析和研究,至今已编目的漏洞超过五万宗。IBM X-Force趋势及风险报告罗列的事例收集自无数情报来源,包括其载有逾五万宗电脑安全漏洞事例的资料库、建置于全球客户网络中好几万网路感应器所录得的数以百万计入侵事故,以及IBM的全球网络爬行器和国际垃圾邮件收集器。中期报告旨在协助客户未雨绸缪,防范风险。
IBM安全方桉包括一系列配套齐全的硬件、软体方桉、专业服务及代管服务组合,范围涵盖\\资讯科技与企业安全风险,包括人员与身份验证、资料与资料核实、应用程式与流程、网络、服务器与端点,以及实体基建。IBM安全方案令客户能在高度安全的基建平台上营运业务,不断创新。
查阅该报告,请登入www.ibm.com/security/x-force。查阅IBM安全方案详情,请浏览www.ibm.com/security。
