你知道嗎，已知的大量攻擊針對的都是幾年前就已經(jīng)存在的安全漏洞。因此，企業(yè)不僅要時刻注意新出現(xiàn)的安全威脅，而且要采取必要的最基本的安全策略和措施，盡量避免已知漏洞帶來的安全威脅?；萜战瞻l(fā)布了《2015年網(wǎng)絡(luò)風險報告》。惠普安全調(diào)查部門每年都會針對企業(yè)用戶進行安全調(diào)查，并發(fā)布這樣一本報告。

《2015年網(wǎng)絡(luò)風險報告》反映出一個核心問題：人們熟知的問題和錯誤配置是2014年最可怕的安全威脅。

打補丁不可少

現(xiàn)在，黑客并不是一找到安全漏洞就直接攻破并獲得利益，而是找到漏洞后便“潛伏”下來，以控制為目的，抓住漏洞反復利用，以便長期獲利。

“現(xiàn)在的黑客攻擊不再以致系統(tǒng)崩潰為主要目的，而是長期攻擊漏洞?！被萜展酒髽I(yè)安全產(chǎn)品北亞區(qū)總經(jīng)理姚翔舉例說，“這就像是小偷拿到了房間的鑰匙，偷竊后不露任何痕跡，以后可以想來就來。這就叫以控制為目的?！?/p>

惠普《2015年網(wǎng)絡(luò)風險報告》顯示，44%的已知攻擊是針對2～4年前就已經(jīng)存在的漏洞。攻擊者繼續(xù)利用廣為人知的技術(shù)成功入侵系統(tǒng)和網(wǎng)絡(luò)。2014年出現(xiàn)的十大漏洞都利用了幾年前甚至幾十年前編寫的代碼。對此，姚翔表示：“很多大的安全風險問題我們幾十年前就已經(jīng)知道。這些問題讓企業(yè)面臨著不必要的風險。我們不能因為信任新技術(shù)而忽視了對這些已知漏洞的防御。企業(yè)必須采用基本的安全策略應對已知漏洞，從而消除大量的風險?！?/p>

安全問題無處不在。正因為如此，很多企業(yè)會忽略已經(jīng)成為“常態(tài)”的安全問題。比如，常見的攻擊仍然奏效。這是指黑客利用最簡單的方式或技術(shù)手段進行安全攻擊，而且屢屢奏效。《2015年網(wǎng)絡(luò)風險報告》發(fā)現(xiàn)，目前應用最普及的Windows操作系統(tǒng)中的一個漏洞產(chǎn)生于2010年。通常情況下，當企業(yè)發(fā)現(xiàn)這一漏洞后的1～2周內(nèi)就會打補丁。但是5年過去了，這個漏洞仍然存在，并成為攻擊的目標。對于黑客來說，他們現(xiàn)在實施的攻擊行為是一項做了五年的熟練工作，如果哪個企業(yè)沒能有效處置這個安全漏洞，那么黑客的攻擊就可能奏效。

《2015年網(wǎng)絡(luò)風險報告》發(fā)現(xiàn)，在現(xiàn)存的高危漏洞中，大量漏洞是三年前就已知的。其實，防護這樣的漏洞是一件非常簡單的事，打個補丁而已。但是很多企業(yè)用戶對這樣的安全漏洞視而不見。對黑客來說，他們似乎并不需要利用最新的攻擊技術(shù)，只要找到已有的漏洞就可以輕松獲益了。對于《2015年網(wǎng)絡(luò)風險報告》反映的上述情況，姚翔也很意外。

既然彌補安全漏洞只是打個補丁這么簡單，為什么很多企業(yè)卻沒有做呢？

姚翔分析說可能有以下三方面原因： 第一，由于工作太忙，有些系統(tǒng)管理員會忽視像打補丁這樣的簡單工作；第二，打補丁或?qū)ο到y(tǒng)進行升級，可能要中斷業(yè)務(wù)系統(tǒng)，這是許多要保證業(yè)務(wù)7×24小時持續(xù)運行的企業(yè)不愿意做的事；第三，有些應用是基于特定的底層架構(gòu)和操作系統(tǒng)開發(fā)的，如果給操作系統(tǒng)打補丁，可能會出現(xiàn)與上層應用軟件不兼容的情況，這也是一些企業(yè)不愿意經(jīng)常給系統(tǒng)打補丁的重要原因。

“當系統(tǒng)運維人員將打補丁或升級系統(tǒng)的要求提交給開發(fā)人員時，有時會被開發(fā)人員拒絕。打補丁或升級系統(tǒng)就要對應用環(huán)境進行測試，這會占用開發(fā)人員的時間，而開發(fā)人員可能每天加班加點都完不成新業(yè)務(wù)或新功能上線的任務(wù)，所以總會把安全的事往后放，先滿足業(yè)務(wù)的需求?！币ο璺治稣f，“網(wǎng)絡(luò)安全人員應該采取全面的補丁策略，以保證系統(tǒng)實時獲得最新的保護?！?/p>

配置錯誤不可小覷

惠普《2015年網(wǎng)絡(luò)風險報告》反映出的另一個重要問題是，服務(wù)器配置錯誤是最常見的漏洞。除了隱私和Cookie安全問題等漏洞以外，服務(wù)器配置錯誤是2014年暴露出的安全問題中十分突出的一類問題。它讓攻擊者可以輕易潛入系統(tǒng)訪問文件，并導致企業(yè)受到攻擊。

今年2月，國內(nèi)某知名監(jiān)控設(shè)備廠商被曝光，其視頻監(jiān)控產(chǎn)品存在嚴重安全隱患，部分設(shè)備已經(jīng)被境外IP地址控制。據(jù)說，導致這次安全事件的原因是這家廠商銷售的攝像頭沒有修改初始密碼。

企業(yè)上線一個業(yè)務(wù)系統(tǒng)通常要對服務(wù)器進行配置，這是一項必須完成的任務(wù)。配置錯誤會產(chǎn)生大量安全漏洞。在企業(yè)中，Web服務(wù)器是最容易受到攻擊的，因為它的應用非常普及。

Web服務(wù)器的配置涉及一些比較專業(yè)的技術(shù)問題，姚翔舉了一個更通俗的例子：“很多人家里可能都有無線路由器，這些無線路由器在出廠時通常有一個缺省的密碼。有多少人會修改這個缺省的密碼？黑客很可能通過無線路由器的缺省密碼進行攻擊。在企業(yè)中，大約70%～80%的系統(tǒng)配置是有問題的，但是使用者沒有發(fā)現(xiàn)?！?/p>

Cookie也是安全漏洞多發(fā)地。有些人在上網(wǎng)時怕麻煩，不愿意每次都輸入密碼，而是將用戶名和密碼都保存在本地的瀏覽器中。這樣做雖然方便上網(wǎng)，但是如果企業(yè)沒有對網(wǎng)站進行完整的防護，那么黑客很容易通過Cookie找到漏洞并實施攻擊?！跋到y(tǒng)信息的泄漏也是一個比較嚴重的安全隱患。所謂系統(tǒng)信息泄漏，是指外界發(fā)起一個訪問，詢問服務(wù)器的版本號是什么，如果在服務(wù)器端沒有完全的保護措施，服務(wù)器便會毫無保留地提供服務(wù)器版本號、數(shù)據(jù)庫版本號等信息。而這些信息很容易被黑客反復利用?！币ο杞榻B說，“這些問題提醒我們，無論是在企業(yè)內(nèi)部還是外部，都要對系統(tǒng)配置進行定期的滲透測試和驗證，在攻擊者利用配置錯誤之前發(fā)現(xiàn)并解決問題?！?/p>

動態(tài)安全防護

隨著物聯(lián)網(wǎng)市場的快速發(fā)展，攝像頭、可穿戴設(shè)備等變得越來越普及。Gartner預測，2015年將有49億臺物聯(lián)網(wǎng)設(shè)備投入使用，比2014年增加30%，并帶來新的安全問題。而在2020年將達到250億臺?；萜盏恼{(diào)查顯示，遠程監(jiān)控所需的網(wǎng)絡(luò)連接和訪問帶來了更多的安全問題。

互聯(lián)設(shè)備的增加帶來了更多可以讓黑客實施攻擊的路徑。“除了物聯(lián)網(wǎng)設(shè)備帶來的安全問題以外，2014年，移動惡意軟件的水平也有所提高。隨著計算生態(tài)系統(tǒng)的不斷擴展，企業(yè)如果不充分考慮安全的問題，攻擊者將有更多入侵的機會?！币ο璞硎?。

從傳統(tǒng)的互聯(lián)網(wǎng)到移動互聯(lián)網(wǎng)，再到家庭的智能網(wǎng)絡(luò)，網(wǎng)絡(luò)的延伸也讓安全問題滲透到人們的工作、生活中，而且變得更加復雜。姚翔表示：“人們對互聯(lián)網(wǎng)的依賴越來越嚴重，而且把大量數(shù)據(jù)‘放心地交給互聯(lián)網(wǎng)，但在互聯(lián)網(wǎng)安全防護方面，還有很多空白要去彌補。不管未來安全技術(shù)走向何方，‘人都是其中非常重要的因素?！?/p>

從去年開始，惠普加強了與高校的合作，推出了一些針對信息安全的教育計劃，目的是培養(yǎng)更多的信息安全專業(yè)人才，彌補市場上信息安全人員的缺口。由于信息安全涉及的技術(shù)門類和領(lǐng)域非常廣泛，真正懂信息安全的人不僅要了解主機、網(wǎng)絡(luò)，還要懂技術(shù)開發(fā)，甚至是整個IT架構(gòu)的設(shè)計?！昂芏嗳酥皇强吹搅诵畔踩摹揭唤?，而不能看到水下的整個冰山?！币ο璞硎?，“為確保信息安全，企業(yè)應該從整體上進行設(shè)計和部署，建立完善的信息防護體系，即使是一些細枝末節(jié)也不能輕易放過?！?/p>

另外，信息安全與企業(yè)的業(yè)務(wù)流程相關(guān)。企業(yè)如果沒有建立一個規(guī)范、嚴格的業(yè)務(wù)流程，新的移動應用不經(jīng)過安全測試就上線，或在發(fā)現(xiàn)安全漏洞時不及時打補丁，就容易給黑客可乘之機。

從安全產(chǎn)品的角度看，面對那些新出現(xiàn)的安全威脅，以前那種功能單一的安全產(chǎn)品已經(jīng)不再適用。安全技術(shù)在不斷進步，而黑客也在隨時研究新技術(shù)，想方設(shè)法繞過企業(yè)的安全防護層。在這種情況下，企業(yè)只有把安全產(chǎn)品進行整合，并賦予它更多的智能，才能進行更有效的防護。

姚翔表示：“隨著物聯(lián)網(wǎng)等新技術(shù)的興起，企業(yè)需要了解新的攻擊渠道，以防備潛在的安全漏洞被利用。另外，企業(yè)應始終保持居安思危的心態(tài)。世界上沒有100%安全的解決方案，防御系統(tǒng)應采用補充式、分層式的安全策略，以實現(xiàn)更佳的防御。”