高級持續性威脅(APT)攻擊、0day漏洞、惡意軟件……隨著網絡犯罪分子攻擊手段與方式的愈發高級與復雜化,這些演變的攻擊已為網絡安全帶來極大的威脅,這些耳熟能詳的字眼也已成為近年來網絡安全界關注的熱點。然而在實際情況中,一些常見的攻擊和已知漏洞所造成的攻擊后果卻大大超乎了人們的想象。
在惠普發布的2015網絡安全報告中指出,有44%的已知攻擊是針對2-4年前的老漏洞。也就是說,攻擊者繼續利用廣為人知的技術來成功入侵系統和網絡。在2014年出現的十大漏洞都利用了幾年前、甚至數十年前編寫的代碼。
而在一年之前的2014年4月7日曝出的“心臟滴血”漏洞曾引起業界一陣軒然大波。而時隔一年之后,根據安全機構Venafi實驗室的一份最新的報告顯示,在《福布斯》評選出的全球2000強企業面向公網的系統中,仍然有74%的系統會受到OpenSSL漏洞的影響。而在不面向公眾的服務器設備方面事態可能更加糟糕。而且在大多數情況下,處于企業防火墻內部的服務器設備還沒有安裝過足以對抗該漏洞的補丁。在國內,也仍有部分傳統企業的服務器卻仍然存在“心臟滴血”漏洞,不少網絡設備仍然受到該漏洞威脅,其中不乏防火墻、視頻監控等設備。
與其他的一些漏洞不同,心臟滴血漏洞的修復可不是打個補丁那么簡單。受影響的企業還需要收回舊的SSL證書,然后發行新的并且生成新的秘鑰。但是不幸的是,絕大多數的企業并沒有這樣做。
由此可見,時至今日,網絡犯罪分子使用最簡單甚至最常用的的攻擊方式和工具,便能夠發動仍然湊效的攻擊。從某種程度上說,企業用戶對安全漏洞的視而不見,從一定程度上也幫助了黑客不需要發展最新的技術便可以成功發動攻擊。
而從防御的角度講,除了“心臟滴血”漏洞這樣的個例,應對大多數漏洞防護是非常簡單的事情,安全人員只要為漏洞打一個補丁,便可有效防止通過該漏洞發起攻擊。那么,為何這樣簡單的防御策略,卻仍舊有如此眾多的企業對此視而不見呢?
不可否認,企業安全人員的疏忽或缺乏運維經驗所導致的漏打補丁的情況或許存在,但更值得引起注意的是:企業缺乏有效全面的補丁策略或許是導致這一狀況的重要原因。
與個人用戶不同,對于企業而言,更新補丁之后或許將面臨系統的更新、重啟,這代表著業務將受此影響或因此中斷。而在一些對業務連續性要求較高的行業,即便采用災備等手段,其也將受到日程、耗費成本等等客觀因素的壓力與制約。此外,在不同的操作系統和基礎架構上,在更新補丁之后,是否會導致維系業務進行的相關軟件因不兼容而導致系統崩潰、造成業務中斷,其帶來的損失更是不可估量。
以上種種原因,或許都成為眾多企業對已披露的漏洞視而不見的原因。并且,這類企業大多都存在一種僥幸心理,那就是:黑客不會利用已知的漏洞來發動攻擊。然而,實際的情況正如同我們上面所說的那樣,事實并非如此。
在如今的網絡安全防御中,技術與手段已不再是唯一的武器,而對安全防御的意識形態的問題已經變得比技術手段本身更重要,甚至成為這場戰役中取勝的重要因素。而目前看來,對安全問題的意識程度卻恰恰成為當前多數企業在安全防御中的短板問題。
從某種程度上說,這一現狀的改變除了要求企業盡快確立其全面有效的安全防御策略,同時或許更需要有明確的法律法規來監督、迫使企業去遵守。在網絡攻擊面前,我們所面臨的威脅是一致的。而隨著如今中國互聯網的高速發展,安全防御技術亦在隨之進步,而與此同時,發展的同時也會讓網絡犯罪分子更加垂涎從這其中獲取利益。雖然安全的防御與攻擊已經演變的日益復雜,但真正有效的網絡安全的防御,還是應該從確立正確的意識形態,從最簡單的漏洞補丁做起。
京公網安備 11010502049343號