日前,IBM发布了其2008年度X-Force安全趋势与风险报告,结果显示为窃取客户的个人数据,网络犯罪者利用合法企业网站向其客户发动攻击的数量正在高速增长。
一个数据可以说明这一严重事实:根据由全球各地的3700个管理安全服务客户提供的数据,在过去的4个月里,使用基于网络的安全攻击以盗取客户信息的事件增长了30%,数量从每天18亿次增加到了25亿次。
IBM ISS首席技术官办公室高级安全战略专家PeterG.Allor向记者介绍了2008年犯罪者利用网站攻击大众的两大趋势。
首先,网站已成为企业IT安全的最薄弱环节。攻击者重点攻击网络应用程序,以便能够感染计算机终端。同时,企业使用的现有应用程序充满漏洞,而他们定制的应用程序可能存在大量无法修补的未知漏洞。2008年发现的漏洞多半与网络应用有关,其中超过74%的漏洞没有补丁。因此,2008年初大规模出现的SQL自动化注入漏洞现在仍没有减少。2008年夏季开始出现SQL注入攻击,到2008年底攻击数量飙升了30倍。
IBM X-Force报告显示的第二大趋势是,尽管攻击者继续将浏览器和ActiveX控件作为破坏终端计算机的主要方式,但他们的重点正在转向恶意短片(如Flash)和文件(如PDF)等新型漏洞。仅在2008年第四季度,IBMX-Force发现的包含漏洞的恶意网址的数量就比2007全年上升50%。垃圾邮件发送者也转而利用知名网站扩大攻击范围。2008年下半年,在流行博客网站和新闻网站上包含垃圾信息的技术翻了一番。
X-Force报告的另一重大发现是,2008年披露的许多严重漏洞还没有大量遭到利用。IBM方面认为,安全行业针对披露的漏洞可以选取不同的响应级别。响应级别目前是参考通用安全漏洞评分系统(CVSS)这一业界标准,漏洞的技术层面是CVSS关注的重点,包括漏洞的严重程度和被利用的容易程度。尽管这些因素都极其重要,然而安全行业还是忽视了计算机犯罪的首要动机是获取经济利益。
“CVSS提供了安全行业衡量安全威胁的必要基础。但我们也认识到,网络犯罪者主要受经济利益驱使,他们在进攻前会衡量漏洞的经济机会和攻击成本,这是我们应该全面了解的。安全行业如果能够更好地理解计算机网络犯罪者的动机,就可更准确地判断哪些威胁会随时发生,需要紧急修复漏洞;哪些漏洞攻击需要较长时间才会大规模出现,哪些漏洞攻击则可能永远不会出现。对漏洞进行这样的分析可以帮助我们更有效地利用时间和资源。”IBMISSX-Force研发运营经理Kris Lamb表示。
基于这样的形势,IBM主张企业通过分级和预先防范的安全措施保护其知识产权及客户数据。目前,IBMISS已开发了市场上领先的产品及服务,以帮助客户应对不断升级的安全威胁,同时降低实现IT安全的成本和复杂性。
