设为首页
联系站长
加入收藏
 您的位置: Pecker's Home >> 文章频道 >> 业界新闻 >> 计算机 >> 正文
  IBM最新X-Force年度报告显示-企业无意中正在成为自己客户的最大安全威胁         
IBM最新X-Force年度报告显示-企业无意中正在成为自己客户的最大安全威胁
[ 作者:佚名    转贴自:IBM    点击数:608    更新时间:2009-3-26    文章录入:pecker

    IBM 近日公布了其 2008年度 X-Force 安全趋势与风险报告,结果显示企业正无意间将自己的客户置于受到网络攻击的危险境地。随着利用合法的企业网站向客户发动的攻击以惊人的速度激增,网络犯罪者正在利用企业来攻击其客户,从而不断窃取客户的个人数据。

    新发布的 X-Force 报告指出了 2008年犯罪者利用网站攻击大众的两大趋势。

    首先,网站已成为企业 IT 安全的最薄弱环节。攻击者重点攻击网络应用程序,以便能够感染计算机终端。同时,企业使用的商业应用程序充满漏洞,而他们定制的应用程序可能存在大量无法修补的未知漏洞。2008年发现的漏洞多半与网络应用有关,其中超过 74%的漏洞仍没有补丁。因此,2008年初大规模出现的 SQL 注入漏洞现在仍没有减少。2008年夏季开始出现 SQL 注入攻击,到 2008年底攻击数量飙升了 30倍。

No Patch Available 74%, Patches Available 26%

图1 :2008年发现的 Web 应用漏洞截止 2008年底仍未有厂商补丁的百分比

    IBM 互联网安全系统 X-Force 研发运营经理 Kris Lamb 表示:“这些攻击自动启动,其主要目的是欺骗网络用户,并将他们引向 Web 浏览器漏洞利用程序集。这种大规模的攻击形式很古老、但目前依然存在。令人惊讶的是 ,SQL 注入攻击自首次发现至今已经十年,由于没有适当的补丁至今仍然很猖獗。网络犯罪者之所以将目标锁定企业,是因为任何访问企业网站的用户都可轻易成为攻击目标。”

    IBM X-Force 报告显示的第二大趋势是,尽管攻击者继续将浏览器和 ActiveX 控件作为破坏终端计算机的主要方式,但他们的重点正在转向恶意动画(如 Flash)和文件(如 PDF)的新型漏洞。仅在 2008年第四季度,IBM X-Force发现的包含漏洞的恶意网址的数量就比 2007全年上升 50%。垃圾邮件发送者也转而利用知名网站扩大攻击范围。2008年下半年,在流行博客网站和新闻网站上包含垃圾信息的技术翻了一番。


Malicious Website Exploits by Affected Application, ISS Cobion Crawler, 2008 Q4, Active X 33.8%, Adobe Flash 14.8%, Adobe Acrobat 10.0%, Geneic Exploit or Obfuscation 7.1%, Mozilla Firefox 0.3%, Microsoft Windows 0.1%, Microsoft Internet Explorer 34.0% - source: IBM X-Force.

图2 : 恶意网站攻击手段所利用的应用程序

    X-Force 报告的另一重大发现是,2008年披露的许多严重漏洞还没有大量遭到利用。IBM X-Force 认为,安全行业针对披露的漏洞可以选取不同的响应级别。响应级别目前是参考通用安全漏洞评分系统(CVSS)这一业界标准。漏洞的技术层面是 CVSS 关注的重点,包括漏洞的严重程度和被利用的容易程度。尽管这些因素都极其重要,然而安全行业还是忽视了计算机犯罪的首要动机是获取经济机会。
Lamb 说:“CVSS 提供了安全行业衡量安全威胁的必要基础。但我们也认识到,网络犯罪者主要受经济利益驱使。他们在进攻前会衡量漏洞的经济机会和攻击成本,这是我们应该全面了解的。安全行业如果能够更好的理解计算机网络犯罪者的动机,就可更准确地判断哪些威胁会随时发生,需要紧急修复漏洞;哪些漏洞攻击需要较长时间才会大规模出现,哪些漏洞攻击则可能永远不会出现。对漏洞进行这样的分析可以帮助我们更有效地利用时间和资源。”


Monetization & Exploit Cost

图3 :漏洞利用可能性象限图

    X-Force 自 1997年以来一直对安全漏洞进行分类、分析和研究,已对近 4万个安全漏洞进行了分类,拥有世界上最大的漏洞数据库。X-Force 研究人员通过这一庞大数据库了解漏洞被发现和被传播的规律。

    IBM 的新版 X-Force 报告还表明:


Vulnerability Disclosures 2000 - 2008, source: IBM X-Force

图4 :2000年至2008年披露的漏洞数量

Percentage of Vulnerabilities with Vendor-Supplied Patches by Vulnerability Disclosure Year, 2006 - 2008, source: IBM X-Force

图5 : 2006年至 2008年披露的漏洞对应厂商提供补丁的百分比

欲了解关于 IBM X-Force 趋势报告的更多信息,请访问 www.ibm.com/services/us/iss/xforce/trendreports/

分享到:
    免责声明:本文仅代表作者个人观点,与Pecker's Home无关。登载目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字和图片(或其他媒体形式内容)的真实性、完整性、及时性本站不作任何保证或承诺。请读者仅作参考,并请自行核实相关内容。如果有侵犯版权事宜,请通知master@peckerhome.com,我们将在第一时间删除该信息。
  • 上一篇文章: 触摸屏并不适合PC 只是个营销噱头

  • 下一篇文章: IBM 首次推出终端安全解决方案
  • 发表评论】【告诉好友】【打印此文】【关闭窗口
     最新5篇热点文章
    处理器架构消亡史[00141]
    通信恩仇,5G江湖[00282]
    官方辟谣扫码支付引爆加油…[00525]
    谷歌搭售是不是作恶?可以…[00286]
    你对Zigbee无线连接了解多…[00516]
     
     最新5篇推荐文章
    Pecker之家开通用于电子元…[02-13]
    印刷电路板图设计经验[04-04]
    基于电力线通信的家庭网络…[03-23]
    利用USB控制器设计的Windo…[01-20]
    基于ARM920T微处理器的IDE…[01-20]
     
     相 关 文 章
    传IBM将以10亿美元出售芯片…[00309]
    联想23亿美元收购IBM X86服…[00332]
    Altera为IBM电源系统提供基…[00313]
    IBM团队研发新编程语言 梦…[00313]
    IBM公布软件策略:大数据企…[00331]

      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
        没有任何评论