2012年4月，惠普公司發(fā)布了《2011年主要網(wǎng)絡安全風險報告》，報告發(fā)現(xiàn)最新披露的商業(yè)應用漏洞的數(shù)量雖然在減少，但企業(yè)網(wǎng)絡面臨的威脅卻一直在增加……

這份網(wǎng)絡安全風險報告由：HP Fortify Web安全研究小組、HP Fortify on Demand、HP DVLabs數(shù)字疫苗實驗室、ZDI、開源漏洞數(shù)據(jù)庫等多個部門和機構(gòu)的數(shù)據(jù)組成。對業(yè)界有一定的參考價值。 

一般來說，每年披露的漏洞數(shù)量反映了當年安全行業(yè)的狀況并能幫助組織機構(gòu)確定防御措施的優(yōu)先級別。但根據(jù)《2011年主要網(wǎng)絡安全風險報告》，單純的漏洞數(shù)量已不再能有效反映安全風險的狀況。太多的隱形因素，在影響著企業(yè)面臨的網(wǎng)絡安全風險……

安全漏洞減少為何威脅還在增加？

在惠普的報告中發(fā)現(xiàn)，2011年漏洞數(shù)量比2010年減少了20%，并且從2006年開始，商業(yè)應用中披露的漏洞數(shù)量持續(xù)地減少。

黑客和網(wǎng)絡利益群體認為已知漏洞已經(jīng)能滿足他們賺取經(jīng)濟利益或達到目標，而不需要尋找新的漏洞，因為企業(yè)對安全的重視程度還不夠高。雖然漏洞數(shù)量減少，但漏洞嚴重性卻在增加。因為高危漏洞從2001年的7%增加到2011年的24%，意味著在四個安全漏洞里面，就有一個是高危漏洞。

按照以往的經(jīng)驗，漏洞的數(shù)量往往直接反映著業(yè)界安全風險的等級。數(shù)量多，則安全風險高，數(shù)量少，則安全風險較低。可這2011年以來，被披露的安全漏洞減少了威脅卻還在增加？

惠普公司企業(yè)安全產(chǎn)品部門北亞區(qū)總經(jīng)理姚翔指出，第一、對于那些已知漏洞，作為廠商也好，客戶也罷，都沒有做到已知漏洞的保護，或者沒有保護全。

第二，黑客和網(wǎng)絡利益群體認為已知漏洞已經(jīng)能滿足他們賺取經(jīng)濟利益或達到他們的目標，他們不需要找新的漏洞，因為大家對整個安全的重視程度還不夠高。這就是業(yè)界的問題。

哪些應用存在漏洞？

作為惠普旗下的一個知名漏洞機構(gòu)，ZDI公布了2011年業(yè)界10大漏洞。

2011年，在新披露的商業(yè)應用漏洞中有近24%的嚴重性評級為8-10。這些漏洞可造成遠程代碼執(zhí)行，是最危險的一類攻擊。所有漏洞中約有36%存在于商業(yè)網(wǎng)絡應用中。約有86%的網(wǎng)絡應用容易遭遇注入式攻擊，這使黑客能通過網(wǎng)站訪問企業(yè)內(nèi)部數(shù)據(jù)庫。

[[89073]]

惠普公司企業(yè)安全產(chǎn)品部門北亞區(qū)總經(jīng)理姚翔

除此之外，姚翔先生還提醒大家不要忽視那些企業(yè)的定制軟件安全，那些軟件的漏洞數(shù)量也同樣不容小覷，如網(wǎng)銀一類。一旦被黑客挖掘到漏洞，威脅會相當大。

惠普的安全主張？

談了這么多的威脅，惠普到底怎么樣解決？不能光談癥狀和毛病，最后總得開方子。

姚翔先生道：“第一是HP Fortify，可以做安全代碼分析，第二是滲透測試。滲透測試就是模擬攻擊，網(wǎng)站搭建好了以后，我模擬100種攻擊方式，看哪種是無效的，哪種是有效的，這對用戶來說非常有用。

另外，HP TippingPoint可以做到主動將攻擊攔截在系統(tǒng)之外；ArcSight可以做更深入的分析……”