根据蓝色巨人IBM,于3月22日发布的一份《X-Force 2011 Trend and Risk Report》报告显示,在处理海量网络安全威胁方面,IT安全专家比过去的表现要好得多。垃圾邮件总量从2010年到2011年得到明显下降,而且蓝色巨人认为,在漏洞修补和软件应用代码方面,获得了重大改进。下面,我们就来了解下,IBM对当代网络安全的详细解读吧。
一、垃圾邮件减少
根据介绍,2011年垃圾邮件的数量仅为前一年的一半。部分原因是因为执法部门取缔了几个垃圾邮件僵尸网络,比如大名鼎鼎的Rustock。
更少的垃圾邮件
二、Exploit Code减少
当安全漏洞被暴露,相应的Exploit Code就会提供给黑客下载进行使用。它会帮助黑客专门针对漏洞发起攻击。IBM表示,2011年的此类代码数量,在2010的基础上下降了约30%。
Exploit Code减少
三、未打补丁的漏洞减少
软件中有些安全漏洞并没有相应的补丁可用,这一情况在2011年的比例为36%,而2010年这一数字却高达43%。
未打补丁漏洞减少
#p#副标题#e#
四、XSS漏洞减少
软件质量不断在提升,部门原因得归功于开发人员使用了分析、发现和修补漏洞的工具和服务。IBM发现,跨站点脚本漏洞(XSS)比过去四年减少了50%。不过,通过IBM AppScan OnDemand服务扫描发现,仍有40%的客户网站存有漏洞。
XSS漏洞减少
五、移动设备漏洞增多
接下来是讲安全形势的严峻一面。移动计算正成为黑客大肆杀戮的新领域。根据IBM报告,从2010年到2011年,移动设备暴露出的漏洞上升了19%。而在日益流行的BYOD(bring-your-own-device)趋势下,这对于IT部门来说无疑会带来巨大风险。
移动设备漏洞增多
六、瞄准社交媒介
随着社交媒介的广泛普及,黑客也在社交网络上发起钓鱼攻击。更令人担忧的是,他们还会收集社交网络上的个人信息。
瞄准社交媒介
七、指令注入攻击
SQL注入漏洞迎来了新的进展:2011年攻击Web应用程序方面下降了46%。不过现在黑客更多的转向了Shellcommand 注入漏洞,利用该漏洞可以在Web服务器上直接运行任何命令,此类攻击在整个2011年几乎增加了3倍。
指令注入攻击
#p#副标题#e#
八、自动智慧型密码猜测增加
安全欠缺的密码和密码政策,在数据泄漏方面担有重要责任。网络攻击仍然会青睐那些扫描薄弱密码的自动攻击手段。在2011年下半年,涌现出很多借助密码猜测进行攻击的事件。
自动密码猜测增多
九、云端风险巨大
随着云计算的快速成长,IT管理员需要知道何种工作负载可以放入到第三方云服务商,并且使用什么类型的防火墙。同时他们还需要知道,何时开始根据与云服务商签订的SAL协议进行工作。IBM建议充分利用SLA减少云端带来的潜在威胁。
云端风险大
十、钓鱼攻击层出不穷
2010年和去年上半年,钓鱼攻击相关的电子邮件数量相对比较少。然而在去年下半年情况却发生了改变。很多钓鱼攻击电子邮件会假扮社交网络站点,极力吸引用户点击带有恶意软件的网站链接。另外,IBM还披露说,点击欺诈的问题也不少。
钓鱼攻击层出不穷
原文链接:http://safe.zol.com.cn/283/2838078.html
