HP「網路安全風險研究報告」
分類: 軟體 新品報導 7/12/2012
惠普日前發表「2011年網路安全風險研究報告」,分析數量持續攀升且日趨複雜與猛烈的資安攻擊與其伴隨而來的風險。這份報告內容主要是協助企業與政府了解威脅型態,並評估其安全防護措施。其中也指出,駭客動機會隨著「思想駭客」團體出現而不斷改變,例如:無名氏(Anonymous) 與LulzSec皆因犯罪意識使然,而展開頗具規模的報復攻擊。除了動機改變,日新月異的攻擊技術也導致資安攻擊「成功」率上升。因此,企業與政府均面臨到風險評估與修復的全新挑戰。
以往來說,資安漏洞的年數量能反映出資安產業現況,進而協助企業優先進行防禦措施。然而根據這份報告顯示,單純資安漏洞量已不再是監控資安環境有效指標。商業應用程式中新資安漏洞持續減少的同時,卻有大量資安漏洞沒有被計算在內,反而隱藏在廣大的資安產業中。
HP企業安全產品部門的全球行銷副總裁Michael Callahan表示:「HP建立全球資安調查網絡,協助企業對抗範圍廣大的攻擊,監控目前尚未發現的資安漏洞。而相關調查結果也將納入HP企業資安解決方案,以協助企業積極主動減少風險。」
資安漏洞全面改變
從2006年開始,商業應用程式裡所偵測到的資安漏洞數量在逐漸下降;2011年,幾乎下降百分之二十。然而,報告證實數量的減少並不代表風險降低。
數量減少的原因很多,包括私有市場出現亦產生漏洞的情形。此外,客製化網站應用程式,如:零售業網站的興起,也導致獨特資安漏洞環境,需要更強化的技術加以監測與解決。
報告中主要研究摘要包括:
• 根據2011年下半年統計,儘管資安漏洞數量下降,但攻擊數量卻是之前兩倍。
• 2011年,有將近24% 的新資安漏洞在商業應用程式中被偵測到,而危險程度是八到十級。這些漏洞可能導致一種最危險的攻擊型態,也就是遠距代碼的執行。
• 所有資安漏洞中,約有36% 出現在商業網路應用程式中。
• 駭客入侵網站內部資料庫時,約有86% 的網路應用程式易受資料隱碼攻擊。
• 因為成功率高,2011年網路攻擊套件 (web exploits toolkits) 仍非常熱門。這些「套裝式」攻擊架構往往在網路上交易或販售,讓駭客得以入侵企業IT系統,竊取機密資料。例如,網路犯罪最廣泛使用的黑洞漏洞攻擊包(Blackhole Exploit Kit),於2011年11月底感染率高得異常,比例竟超過八成。
HP為因應瞬息萬變的安全風險,提供一個風險導向的安全解決方案整合平台HP Security Intelligence and Risk Management (SIRM) platform。 HP SIRM為企業所提供的能見度跨越傳統、行動與雲端環境,協助企業根據特定企業風險採取適宜的安全防護。
報告調查方法
HP DVLabs 自2009年以來,每半年都會發表網路安全風險報告,這是一份企業資安漏洞分析與發現的重要研究。HP DVLabs針對HP Tipping Point Intrusion Prevention Systems (IPS)入侵預防系統幾千筆資安漏洞的資料進行分析。而這些資料與以下幾個來源有關:
• The Zero Day Initiative為HP DVLabs所主導的研究計畫,成立目的是藉由監測軟體漏洞,制止網路攻擊與資安漏洞的發生。
• Open Source Vulnerability Database為獨立且開放原始碼的資料庫,同時也用來作為安全漏洞研究的資料庫。
• HP 應用程式資安強化中心; Fortify Application Security Center (ASC), 資安網站研究團隊 所提供的網站應用程式資料,協助資安專家、品管專家,與開發人員進行跨企業的網頁應用程式安全維護。而HP Software Professional Services與HP Fortify 則視需求而定。
HP DVLabs 的資料也內建一項免費行動應用程式—HP Information Security Pulse,協助IT安全專業人員能即時監控當前網路威脅的趨勢。此應用程式目前可在惠普webOS系統上應用,並即將適用於iOS和Android行動平板電腦。
HP年度企業資安活動HP Protect HP Protect將於今年九月十日至十二日,在美國田納西州納士維舉行。
新聞背景資料
HP「2011年網路安全風險研究報告」重點摘要
概述
過去十年來,企業始終不斷面臨資安攻擊,但2011年所發生的一系列資安事件,引發資安蝴蝶效應,相關影響預期將持續好幾年,並將實際改變企業看待安全的方式。例如,2011年,駭客激進組織Anonymous 和Lulz Security(LulzSec)的攻擊活動顯著增加。這些團體以組織化、系統化的方式,攻擊企業或個人,其背後動機是針對其所認為「不合理的行為」進行報復,這讓大眾對多年來一直暗潮洶湧的資安威脅,有了全新認知,並突顯出一個必須開始控制安全風險的新時代已經來臨。此外,對如SONY、RSA及美國郵政等,大型企業猛烈公開攻擊,更印證現存資安漏洞系統所導致的巨大財務損失。
將業務與網際網路分割,並非實際可行的資安選擇;因此問題就演變成,如何才能在不中斷或妨礙業務營運的情況下,以最佳方式降低企業關鍵性資產所面臨的風險。此外,對資產和風險進行優先排序為不可或缺的步驟,但究竟該如何、以及在何處部署資安保護措施,並進行優先排序也相當重要。
在「2011年網路安全風險研究報告」中,HP企業安全事業部門針對漏洞安全形勢提供全面性觀點,並深入研究與分析資安攻擊及趨勢。這份報告的目的,是為了突顯企業現今所面臨到的最大風險,並協助其針對降低風險策略進行優先排序。報告中主要調查結果包括以下內容:
商業應用程式中新發現的漏洞數量持續下降:本報告指出,新產生的商業資安漏洞數量不斷下降,可能隱藏更深層的漏洞產生環境與其關鍵趨勢。報告中還特別介紹不斷發展中的漏洞黑市,顯示應付越趨複雜的資安攻擊所需越來越高的專業知識水準,以及在不同市場的漏洞交易價格。HP Fortify資料還強調客制化應用程式中,所發現的資安漏洞越來越多,這些漏洞可能會對企業資安帶來毀滅性影響。
攻擊動機的變化使資安風險提高:儘管資安攻擊者一直從其活動中尋求成就感或金錢利益,但是駭客激進組織,如Anonymous,不僅目的性更強,組織化程度也越來越高。這種動機以及後續組織轉變將導致更新、更嚴重的安全攻擊。報告中特別介紹現今安全攻擊團體的動機,及其對安全防禦技術的影響。
越來越多的攻擊所針對的是「較小的」 已知資安漏洞:儘管商業應用中已知的漏洞數量不斷減少,本報告將以來自HP TippingPoint入侵防禦系統(IPS)和HP Fortify實證資料,凸顯越來越多針對用戶端、伺服器和Web應用的嚴重攻擊。報告中將這些資料根據攻擊、漏洞類別、來源資訊,以及嚴重程度進行劃分,以提供對於攻擊情況的摘要。其中還包含一個大型企業中Web應用風險的真實案例研究。
安全攻擊的技術性更高:儘管許多具針對性的攻擊利用的是零時差攻擊,但是一般網路犯罪分子,通常利用的是現有漏洞。報告中的資料將技術劃分為幾類,其中包括利用已知漏洞的模糊或隱形攻擊。這份報告還深入研究了解,使用多種重要技術的Blackhole漏洞攻擊工具包。
本報告的資料來源有很多種,使HP企業安全事業部門能夠獲得廣泛的資料,並連結其中具有意義的結果。這些來源包括:
來自Open Source Vulnerability Database和HP DVLabsZDI防禦計畫的資安漏洞資訊
來自HP Fortify網路安全研究團隊和Fortify on Demand的Web應用資料
來自HP TippingPoint入侵防禦系統全球網路的攻擊資訊
來自HP DVLabs的漏洞攻擊分析
資安漏洞趨勢
想要瞭解安全風險,首先要知道企業基礎設施的弱點。漏洞存在於企業基礎設施的每個層面,如邊緣、核心,甚至出現在一些非傳統領域,如:行動和虛擬環境。這些漏洞是惡意網路攻擊者攻擊時的入侵點,以盜取或更改資料、關閉系統,或讀取機密資訊。
本報告章節內容利用來自The Open Source Vulnerability Database、HP DVLabs The Zero Day Initiative和HP網路安全研究團隊的資料,揭示以下漏洞趨勢:
商業軟體漏洞數量的下降產生虛假的安全感:本章節說明商業應用中,被監測到的新資安漏洞數量。它利用OSVDB的資料提供全球漏洞現狀概況——尤其是被監測到的新漏洞數量呈現下降趨勢。
漏洞所產生趨勢的變化,影響傳統方式的漏洞監測與通報:本章節深入研究漏洞監測市場,並重點介紹新監測到的漏洞數量不斷下降的原因。
網站應用程式漏洞仍導致企業面臨嚴重風險:本節揭示漏洞現況的另一面向,重點介紹存在於客制化網站應用程式中的資安漏洞。利用來自OSVDB和HP Fortify的資料,本章節揭示網站應用程式中的資安漏洞種類和攻擊頻率。
資安漏洞在非傳統企業基礎設施中不斷增加:最後一節概括介紹資安漏洞現況其它面向,包括虛擬基礎設施以及SCADA系統中,所監測到的資安漏洞及風險,同時包含來自HP網路安全研究團隊的資料,分析開始對企業產生影響的行動應用程式的漏洞現狀。
攻擊趨勢
前面內容介紹資安漏洞情勢,尤其是應用程式的入侵點和方式。而了解漏洞所在位置是防禦資安威脅的一部分。利用漏洞的攻擊及頻率,將使企業更瞭解其風險。本節攻擊資料分為以下面向:
資安攻擊動機:為真正瞭解安全攻擊所產生的相關風險,最重要的是,瞭解進行攻擊的攻擊者動機。本章節將攻擊動機進行區分,包括攻擊者對經濟利益和成就感的追求,並概要介紹駭客組織Anonymous。
威脅資料的劃分:本章節的資料來自HP TippingPoint 入侵防禦系統(IPS)設備網路和HP DVLabs的「honeypots」網路,其中包括發生在企業的攻擊頻率和類別資訊,這些資訊對於瞭解具體漏洞的風險嚴重性非常重要。
深入瞭解攻擊技術:本章節主要研究前一章節的資料,並提供更多分析,以介紹攻擊新技術。其中包括關於模糊和隱形處理與漏洞攻擊套件的資訊,並深入介紹同時使用兩種技術的Blackhole工具套件。
僵屍網路成為普遍性威脅:僵屍網路在很多方面已成為企業持續威脅。有些安全攻擊的目的,就是為了不斷擴大主機系統的攻擊,也就是受到攻擊的系統範圍,可作為實施攻擊的漏洞攻擊工具套件,進行買賣。本章節使用來自HP DVLabs的資料,重點介紹一些不斷壯大的僵屍網路家族。
攻擊技術
過去幾年,攻擊套件呈現爆發性成長。「2010年HP DVLabs網路安全風險報告」中,首次介紹攻擊工具套件,其普及性及新套件的數量增加,使我們需要對其進行深入研究。
過去一年,現有的攻擊工具套件進行許多更新,並新增多項新攻擊工具套件。去年底,首次發現中文版攻擊工具套件。版本較舊的攻擊工具套件,如Bleeding Life和Phoenix的攻擊性依舊強勁;而Blackhole工具套件則越來越流行。另外,許多新工具套件如:Sakura Pack、Yang Pack,和Siberia開始出現,利用許多近期發佈的資安漏洞挑戰Phoenix、Eleonore和Blackholde等已知的攻擊套件。
過去一年來,Eleonore和YangPack分別新增三個CVE,但仍然是目前所知最流行的攻擊套件,值得我們了解去年 Blackhole的相關活動。
僵屍網路
2011年,HP DVLabs的調查顯示,各種殭屍網路家族與惡意代碼相關活動,呈現有趣的上升趨勢。殭屍網路、惡意代碼及內容仍然是HP DVLabs安全研究成果的高價值領域。此事件報導源自於全球HP TippingPoint IPS所監控的網路,選自與HP 共享,用於研究與攻擊趨勢分析的相關統計數據。這些數據、加上從HP「全球威脅環境安全門戶ThreatLinQ」,及其IP信譽資料庫、燈塔計畫,以及其他來源資料都說明殭屍網路行為與發展時有變數與中斷,而絕對沒有正逐漸減少的趨勢。