警 惕!致命的已知漏洞
責(zé)編:cnetsec |2015-04-15 10:28:35高級持續(xù)性威脅(APT)攻擊、0day漏洞、惡意軟件……隨著網(wǎng)絡(luò)犯罪分子攻擊手段與方式的愈發(fā)高級與復(fù)雜化,這些演變的攻擊已為網(wǎng)絡(luò)安全帶來極大的威脅,這些耳熟能詳?shù)淖盅垡惨殉蔀榻陙砭W(wǎng)絡(luò)安全界關(guān)注的熱點。然而在實際情況中,一些常見的攻擊和已知漏洞所造成的攻擊后果卻大大超乎了人們的想象。
在惠普發(fā)布的2015網(wǎng)絡(luò)安全報告中指出,有44%的已知攻擊是針對2-4年前的老漏洞。也就是說,攻擊者繼續(xù)利用廣為人知的技術(shù)來成功入侵系統(tǒng)和網(wǎng)絡(luò)。在2014年出現(xiàn)的十大漏洞都利用了幾年前、甚至數(shù)十年前編寫的代碼。
而在一年之前的2014年4月7日曝出的“心臟滴血”漏洞曾引起業(yè)界一陣軒然大波。而時隔一年之后,根據(jù)安全機構(gòu)Venafi實驗室的一份最新的報告顯示,在《福布斯》評選出的全球2000強企業(yè)面向公網(wǎng)的系統(tǒng)中,仍然有74%的系統(tǒng)會受到OpenSSL漏洞的影響。而在不面向公眾的服務(wù)器設(shè)備方面事態(tài)可能更加糟糕。而且在大多數(shù)情況下,處于企業(yè)防火墻內(nèi)部的服務(wù)器設(shè)備還沒有安裝過足以對抗該漏洞的補丁。在國內(nèi),也仍有部分傳統(tǒng)企業(yè)的服務(wù)器卻仍然存在“心臟滴血”漏洞,不少網(wǎng)絡(luò)設(shè)備仍然受到該漏洞威脅,其中不乏防火墻、視頻監(jiān)控等設(shè)備。
與其他的一些漏洞不同,心臟滴血漏洞的修復(fù)可不是打個補丁那么簡單。受影響的企業(yè)還需要收回舊的SSL證書,然后發(fā)行新的并且生成新的秘鑰。但是不幸的是,絕大多數(shù)的企業(yè)并沒有這樣做。
由此可見,時至今日,網(wǎng)絡(luò)犯罪分子使用最簡單甚至最常用的的攻擊方式和工具,便能夠發(fā)動仍然湊效的攻擊。從某種程度上說,企業(yè)用戶對安全漏洞的視而不見,從一定程度上也幫助了黑客不需要發(fā)展最新的技術(shù)便可以成功發(fā)動攻擊。
而從防御的角度講,除了“心臟滴血”漏洞這樣的個例,應(yīng)對大多數(shù)漏洞防護(hù)是非常簡單的事情,安全人員只要為漏洞打一個補丁,便可有效防止通過該漏洞發(fā)起攻擊。那么,為何這樣簡單的防御策略,卻仍舊有如此眾多的企業(yè)對此視而不見呢?
不可否認(rèn),企業(yè)安全人員的疏忽或缺乏運維經(jīng)驗所導(dǎo)致的漏打補丁的情況或許存在,但更值得引起注意的是:企業(yè)缺乏有效全面的補丁策略或許是導(dǎo)致這一狀況的重要原因。
與個人用戶不同,對于企業(yè)而言,更新補丁之后或許將面臨系統(tǒng)的更新、重啟,這代表著業(yè)務(wù)將受此影響或因此中斷。而在一些對業(yè)務(wù)連續(xù)性要求較高的行業(yè),即便采用災(zāi)備等手段,其也將受到日程、耗費成本等等客觀因素的壓力與制約。此外,在不同的操作系統(tǒng)和基礎(chǔ)架構(gòu)上,在更新補丁之后,是否會導(dǎo)致維系業(yè)務(wù)進(jìn)行的相關(guān)軟件因不兼容而導(dǎo)致系統(tǒng)崩潰、造成業(yè)務(wù)中斷,其帶來的損失更是不可估量。
以上種種原因,或許都成為眾多企業(yè)對已披露的漏洞視而不見的原因。并且,這類企業(yè)大多都存在一種僥幸心理,那就是:黑客不會利用已知的漏洞來發(fā)動攻擊。然而,實際的情況正如同我們上面所說的那樣,事實并非如此。
在如今的網(wǎng)絡(luò)安全防御中,技術(shù)與手段已不再是唯一的武器,而對安全防御的意識形態(tài)的問題已經(jīng)變得比技術(shù)手段本身更重要,甚至成為這場戰(zhàn)役中取勝的重要因素。而目前看來,對安全問題的意識程度卻恰恰成為當(dāng)前多數(shù)企業(yè)在安全防御中的短板問題。
從某種程度上說,這一現(xiàn)狀的改變除了要求企業(yè)盡快確立其全面有效的安全防御策略,同時或許更需要有明確的法律法規(guī)來監(jiān)督、迫使企業(yè)去遵守。在網(wǎng)絡(luò)攻擊面前,我們所面臨的威脅是一致的。而隨著如今中國互聯(lián)網(wǎng)的高速發(fā)展,安全防御技術(shù)亦在隨之進(jìn)步,而與此同時,發(fā)展的同時也會讓網(wǎng)絡(luò)犯罪分子更加垂涎從這其中獲取利益。雖然安全的防御與攻擊已經(jīng)演變的日益復(fù)雜,但真正有效的網(wǎng)絡(luò)安全的防御,還是應(yīng)該從確立正確的意識形態(tài),從最簡單的漏洞補丁做起。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧