警 惕!致命的已知漏洞

高级持续性威胁(APT)攻击、0day漏洞、恶意软件……随着网络犯罪分子攻击手段与方式的愈发高级与复杂化,这些演变的攻击已为网络安全带来极大的威胁,这些耳熟能详的字眼也已成为近年来网络安全界关注的热点。然而在实际情况中,一些常见的攻击和已知漏洞所造成的攻击后果却大大超乎了人们的想象。

在惠普发布的2015网络安全报告中指出,有44%的已知攻击是针对2-4年前的老漏洞。也就是说,攻击者继续利用广为人知的技术来成功入侵系统和网络。在2014年出现的十大漏洞都利用了几年前、甚至数十年前编写的代码。

而在一年之前的2014年4月7日曝出的“心脏滴血”漏洞曾引起业界一阵轩然大波。而时隔一年之后,根据安全机构Venafi实验室的一份最新的报告显示,在《福布斯》评选出的全球2000强企业面向公网的系统中,仍然有74%的系统会受到OpenSSL漏洞的影响。而在不面向公众的服务器设备方面事态可能更加糟糕。而且在大多数情况下,处于企业防火墙内部的服务器设备还没有安装过足以对抗该漏洞的补丁。在国内,也仍有部分传统企业的服务器却仍然存在“心脏滴血”漏洞,不少网络设备仍然受到该漏洞威胁,其中不乏防火墙、视频监控等设备。

与其他的一些漏洞不同,心脏滴血漏洞的修复可不是打个补丁那么简单。受影响的企业还需要收回旧的SSL证书,然后发行新的并且生成新的秘钥。但是不幸的是,绝大多数的企业并没有这样做。

由此可见,时至今日,网络犯罪分子使用最简单甚至最常用的的攻击方式和工具,便能够发动仍然凑效的攻击。从某种程度上说,企业用户对安全漏洞的视而不见,从一定程度上也帮助了黑客不需要发展最新的技术便可以成功发动攻击。

而从防御的角度讲,除了“心脏滴血”漏洞这样的个例,应对大多数漏洞防护是非常简单的事情,安全人员只要为漏洞打一个补丁,便可有效防止通过该漏洞发起攻击。那么,为何这样简单的防御策略,却仍旧有如此众多的企业对此视而不见呢?

不可否认,企业安全人员的疏忽或缺乏运维经验所导致的漏打补丁的情况或许存在,但更值得引起注意的是:企业缺乏有效全面的补丁策略或许是导致这一状况的重要原因。

与个人用户不同,对于企业而言,更新补丁之后或许将面临系统的更新、重启,这代表着业务将受此影响或因此中断。而在一些对业务连续性要求较高的行业,即便采用灾备等手段,其也将受到日程、耗费成本等等客观因素的压力与制约。此外,在不同的操作系统和基础架构上,在更新补丁之后,是否会导致维系业务进行的相关软件因不兼容而导致系统崩溃、造成业务中断,其带来的损失更是不可估量。

以上种种原因,或许都成为众多企业对已披露的漏洞视而不见的原因。并且,这类企业大多都存在一种侥幸心理,那就是:黑客不会利用已知的漏洞来发动攻击。然而,实际的情况正如同我们上面所说的那样,事实并非如此。

在如今的网络安全防御中,技术与手段已不再是唯一的武器,而对安全防御的意识形态的问题已经变得比技术手段本身更重要,甚至成为这场战役中取胜的重要因素。而目前看来,对安全问题的意识程度却恰恰成为当前多数企业在安全防御中的短板问题。

从某种程度上说,这一现状的改变除了要求企业尽快确立其全面有效的安全防御策略,同时或许更需要有明确的法律法规来监督、迫使企业去遵守。在网络攻击面前,我们所面临的威胁是一致的。而随着如今中国互联网的高速发展,安全防御技术亦在随之进步,而与此同时,发展的同时也会让网络犯罪分子更加垂涎从这其中获取利益。虽然安全的防御与攻击已经演变的日益复杂,但真正有效的网络安全的防御,还是应该从确立正确的意识形态,从最简单的漏洞补丁做起。

上一篇:七种武器PK六脉神剑 看DDOS攻击与防御

下一篇:煤矿工自学成“黑客”入侵腾讯服务器