主页 > 影音主机 >HP「网路安全风险研究报告」 >

HP「网路安全风险研究报告」

2020-06-07  点赞976   浏览量:911
惠普日前发表「2011年网路安全风险研究报告」,分析数量持续攀升且日趋複杂与猛烈的资安攻击与其伴随而来的风险。这份报告内容主要是协助企业与政府了解威胁型态,并评估其安全防护措施。其中也指出,骇客动机会随着「思想骇客」团体出现而不断改变,例如:无名氏(Anonymous) 与LulzSec皆因犯罪意识使然,而展开颇具规模的报复攻击。除了动机改变,日新月异的攻击技术也导致资安攻击「成功」率上升。因此,企业与政府均面临到风险评估与修复的全新挑战。

以往来说,资安漏洞的年数量能反映出资安产业现况,进而协助企业优先进行防御措施。然而根据这份报告显示,单纯资安漏洞量已不再是监控资安环境有效指标。商业应用程式中新资安漏洞持续减少的同时,却有大量资安漏洞没有被计算在内,反而隐藏在广大的资安产业中。

HP企业安全产品部门的全球行销副总裁Michael Callahan表示:「HP建立全球资安调查网络,协助企业对抗範围广大的攻击,监控目前尚未发现的资安漏洞。而相关调查结果也将纳入HP企业资安解决方案,以协助企业积极主动减少风险。」

资安漏洞全面改变
从2006年开始,商业应用程式里所侦测到的资安漏洞数量在逐渐下降;2011年,几乎下降百分之二十。然而,报告证实数量的减少并不代表风险降低。

数量减少的原因很多,包括私有市场出现亦产生漏洞的情形。此外,客製化网站应用程式,如:零售业网站的兴起,也导致独特资安漏洞环境,需要更强化的技术加以监测与解决。

报告中主要研究摘要包括:
•根据2011年下半年统计,儘管资安漏洞数量下降,但攻击数量却是之前两倍。

•2011年,有将近24% 的新资安漏洞在商业应用程式中被侦测到,而危险程度是八到十级。这些漏洞可能导致一种最危险的攻击型态,也就是远距代码的执行。

•所有资安漏洞中,约有36% 出现在商业网路应用程式中。

•骇客入侵网站内部资料库时,约有86% 的网路应用程式易受资料隐码攻击。

•因为成功率高,2011年网路攻击套件 (web exploits toolkits) 仍非常热门。这些「套装式」攻击架构往往在网路上交易或贩售,让骇客得以入侵企业IT系统,窃取机密资料。例如,网路犯罪最广泛使用的黑洞漏洞攻击包(Blackhole Exploit Kit),于2011年11月底感染率高得异常,比例竟超过八成。

HP为因应瞬息万变的安全风险,提供一个风险导向的安全解决方案整合平台HP Security Intelligence and Risk Management (SIRM) platform。 HP SIRM为企业所提供的能见度跨越传统、行动与云端环境,协助企业根据特定企业风险採取适宜的安全防护。

报告调查方法
HP DVLabs 自2009年以来,每半年都会发表网路安全风险报告,这是一份企业资安漏洞分析与发现的重要研究。HP DVLabs针对HP Tipping Point Intrusion Prevention Systems (IPS)入侵预防系统几千笔资安漏洞的资料进行分析。而这些资料与以下几个来源有关:

•The Zero Day Initiative为HP DVLabs所主导的研究计画,成立目的是藉由监测软体漏洞,制止网路攻击与资安漏洞的发生。

•Open Source Vulnerability Database为独立且开放原始码的资料库,同时也用来作为安全漏洞研究的资料库。

•HP 应用程式资安强化中心; Fortify Application Security Center (ASC), 资安网站研究团队 所提供的网站应用程式资料,协助资安专家、品管专家,与开发人员进行跨企业的网页应用程式安全维护。而HP Software Professional Services与HP Fortify 则视需求而定。

HP DVLabs 的资料也内建一项免费行动应用程式—HP Information Security Pulse,协助IT安全专业人员能即时监控当前网路威胁的趋势。此应用程式目前可在惠普webOS系统上应用,并即将适用于iOS和Android行动平板电脑。

HP年度企业资安活动HP Protect HP Protect将于今年九月十日至十二日,在美国田纳西州纳士维举行。

新闻背景资料
HP「2011年网路安全风险研究报告」重点摘要

概述
过去十年来,企业始终不断面临资安攻击,但2011年所发生的一系列资安事件,引发资安蝴蝶效应,相关影响预期将持续好几年,并将实际改变企业看待安全的方式。例如,2011年,骇客激进组织Anonymous 和Lulz Security(LulzSec)的攻击活动显着增加。这些团体以组织化、系统化的方式,攻击企业或个人,其背后动机是针对其所认为「不合理的行为」进行报复,这让大众对多年来一直暗潮汹涌的资安威胁,有了全新认知,并突显出一个必须开始控制安全风险的新时代已经来临。此外,对如SONY、RSA及美国邮政等,大型企业猛烈公开攻击,更印证现存资安漏洞系统所导致的巨大财务损失。

将业务与网际网路分割,并非实际可行的资安选择;因此问题就演变成,如何才能在不中断或妨碍业务营运的情况下,以最佳方式降低企业关键性资产所面临的风险。此外,对资产和风险进行优先排序为不可或缺的步骤,但究竟该如何、以及在何处部署资安保护措施,并进行优先排序也相当重要。

在「2011年网路安全风险研究报告」中,HP企业安全事业部门针对漏洞安全形势提供全面性观点,并深入研究与分析资安攻击及趋势。这份报告的目的,是为了突显企业现今所面临到的最大风险,并协助其针对降低风险策略进行优先排序。报告中主要调查结果包括以下内容:

商业应用程式中新发现的漏洞数量持续下降:本报告指出,新产生的商业资安漏洞数量不断下降,可能隐藏更深层的漏洞产生环境与其关键趋势。报告中还特别介绍不断发展中的漏洞黑市,显示应付越趋複杂的资安攻击所需越来越高的专业知识水準,以及在不同市场的漏洞交易价格。HP Fortify资料还强调客制化应用程式中,所发现的资安漏洞越来越多,这些漏洞可能会对企业资安带来毁灭性影响。

攻击动机的变化使资安风险提高:儘管资安攻击者一直从其活动中寻求成就感或金钱利益,但是骇客激进组织,如Anonymous,不仅目的性更强,组织化程度也越来越高。这种动机以及后续组织转变将导致更新、更严重的安全攻击。报告中特别介绍现今安全攻击团体的动机,及其对安全防御技术的影响。
越来越多的攻击所针对的是「较小的」 已知资安漏洞:儘管商业应用中已知的漏洞数量不断减少,本报告将以来自HP TippingPoint入侵防御系统(IPS)和HP Fortify实证资料,凸显越来越多针对用户端、伺服器和Web应用的严重攻击。报告中将这些资料根据攻击、漏洞类别、来源资讯,以及严重程度进行划分,以提供对于攻击情况的摘要。其中还包含一个大型企业中Web应用风险的真实案例研究。

安全攻击的技术性更高:儘管许多具针对性的攻击利用的是零时差攻击,但是一般网路犯罪分子,通常利用的是现有漏洞。报告中的资料将技术划分为几类,其中包括利用已知漏洞的模糊或隐形攻击。这份报告还深入研究了解,使用多种重要技术的Blackhole漏洞攻击工具包。

本报告的资料来源有很多种,使HP企业安全事业部门能够获得广泛的资料,并连结其中具有意义的结果。这些来源包括:

来自Open Source Vulnerability Database和HP DVLabsZDI防御计画的资安漏洞资讯

来自HP Fortify网路安全研究团队和Fortify on Demand的Web应用资料

来自HP TippingPoint入侵防御系统全球网路的攻击资讯

来自HP DVLabs的漏洞攻击分析

资安漏洞趋势
想要了解安全风险,首先要知道企业基础设施的弱点。漏洞存在于企业基础设施的每个层面,如边缘、核心,甚至出现在一些非传统领域,如:行动和虚拟环境。这些漏洞是恶意网路攻击者攻击时的入侵点,以盗取或更改资料、关闭系统,或读取机密资讯。

本报告章节内容利用来自The Open Source Vulnerability Database、HP DVLabs The Zero Day Initiative和HP网路安全研究团队的资料,揭示以下漏洞趋势:

商业软体漏洞数量的下降产生虚假的安全感:本章节说明商业应用中,被监测到的新资安漏洞数量。它利用OSVDB的资料提供全球漏洞现状概况——尤其是被监测到的新漏洞数量呈现下降趋势。

漏洞所产生趋势的变化,影响传统方式的漏洞监测与通报:本章节深入研究漏洞监测市场,并重点介绍新监测到的漏洞数量不断下降的原因。

网站应用程式漏洞仍导致企业面临严重风险:本节揭示漏洞现况的另一面向,重点介绍存在于客制化网站应用程式中的资安漏洞。利用来自OSVDB和HP Fortify的资料,本章节揭示网站应用程式中的资安漏洞种类和攻击频率。

资安漏洞在非传统企业基础设施中不断增加:最后一节概括介绍资安漏洞现况其它面向,包括虚拟基础设施以及SCADA系统中,所监测到的资安漏洞及风险,同时包含来自HP网路安全研究团队的资料,分析开始对企业产生影响的行动应用程式的漏洞现状。

攻击趋势
前面内容介绍资安漏洞情势,尤其是应用程式的入侵点和方式。而了解漏洞所在位置是防御资安威胁的一部分。利用漏洞的攻击及频率,将使企业更了解其风险。本节攻击资料分为以下面向:

资安攻击动机:为真正了解安全攻击所产生的相关风险,最重要的是,了解进行攻击的攻击者动机。本章节将攻击动机进行区分,包括攻击者对经济利益和成就感的追求,并概要介绍骇客组织Anonymous。

威胁资料的划分:本章节的资料来自HP TippingPoint 入侵防御系统(IPS)设备网路和HP DVLabs的「honeypots」网路,其中包括发生在企业的攻击频率和类别资讯,这些资讯对于了解具体漏洞的风险严重性非常重要。

深入了解攻击技术:本章节主要研究前一章节的资料,并提供更多分析,以介绍攻击新技术。其中包括关于模糊和隐形处理与漏洞攻击套件的资讯,并深入介绍同时使用两种技术的Blackhole工具套件。

僵尸网路成为普遍性威胁:僵尸网路在很多方面已成为企业持续威胁。有些安全攻击的目的,就是为了不断扩大主机系统的攻击,也就是受到攻击的系统範围,可作为实施攻击的漏洞攻击工具套件,进行买卖。本章节使用来自HP DVLabs的资料,重点介绍一些不断壮大的僵尸网路家族。

攻击技术
过去几年,攻击套件呈现爆发性成长。「2010年HP DVLabs网路安全风险报告」中,首次介绍攻击工具套件,其普及性及新套件的数量增加,使我们需要对其进行深入研究。

过去一年,现有的攻击工具套件进行许多更新,并新增多项新攻击工具套件。去年底,首次发现中文版攻击工具套件。版本较旧的攻击工具套件,如Bleeding Life和Phoenix的攻击性依旧强劲;而Blackhole工具套件则越来越流行。另外,许多新工具套件如:Sakura Pack、Yang Pack,和Siberia开始出现,利用许多近期发布的资安漏洞挑战Phoenix、Eleonore和Blackholde等已知的攻击套件。

过去一年来,Eleonore和YangPack分别新增三个CVE,但仍然是目前所知最流行的攻击套件,值得我们了解去年 Blackhole的相关活动。

僵尸网路
2011年,HP DVLabs的调查显示,各种殭尸网路家族与恶意代码相关活动,呈现有趣的上升趋势。殭尸网路、恶意代码及内容仍然是HP DVLabs安全研究成果的高价值领域。此事件报导源自于全球HP TippingPoint IPS所监控的网路,选自与HP 共享,用于研究与攻击趋势分析的相关统计数据。这些数据、加上从HP「全球威胁环境安全门户ThreatLinQ」,及其IP信誉资料库、灯塔计画,以及其他来源资料都说明殭尸网路行为与发展时有变数与中断,而绝对没有正逐渐减少的趋势。

相关阅读