在向前看开始规划2015年之前,让我们花上几分钟记住2014年的漏洞,以及我们可以从中学到什么。每年都会出现几个零时差漏洞和大量来自软件厂商的漏洞修复程序,2014年有些不同:
1、每年所披露的安全漏洞总数近1万个。正因为如此,CVE数据库的维护者宣布将修改CVE语法,它现在允许每年可分配的漏洞标识符达到1000万个。
2、重大的“命名”漏洞如Heartbleed心脏滴血漏洞、Shellshock、Poodle和WinShock被披露,并在安全产业内广为人知。这些漏洞因为其严重的影响、广泛的攻击面及修补的困难而值得注意。
3、放大分布式阻断服务(DDoS)攻击增加。这些攻击被用来产生大规模网络流量以阻断服务,它利用网络协议的漏洞“引出”大量响应封包,将其“重新导向”到受害者,导致对其的阻断服务攻击。
4、一些好消息——2014年没有JAVA零时差漏洞!然而,这并不代表JAVA漏洞不会遭受攻击。它们还是会被漏洞攻击包加以利用,所以仍在使用旧版本JAVA的用户应该要加以升级。
5、对于Adobe产品的整体来说,其安全漏洞数量从2013年开始下降。然而,Adobe Flash的安全漏洞数量从56个上升到76个。Acrobat/Reader漏洞下跌了几乎30%。
(Flash Player和Acrobat/Reader的安全漏洞数量)
6、除了Heartbleed,还有许多OpenSSL的漏洞被发现。在 2014 年,有24个 漏洞被发现——是之前三年的总和。
了解上述事实后,我们该从中学到什么?
1、即使是旧应用程序仍然可以被发现漏洞,正如我们所看到的Heartbleed和Shellshock。
2、开放原始码软件据说在本质上较安全,因为它会被多人应用并检查(也因此有更多机会发现安全漏洞)。然而从OpenSSL和Bash的例子可以得知并不一定如此。
3、CVSS分数并不能完全地表现出安全漏洞的严重性。毕竟Heartbleed只拿到了CVSS 5.0的分数!根据你组织的情况和应用程序来评估漏洞的影响,用来加权(CVSS)分数!
4、尽快地升级版本,只要情况允许就尽快更新修补程序。
5、不断检查你的安全状态和相应地规划你在信息安全工具和做法上的投资。员工教育是确保公司信息安全的关键一环。同时,也确保你充分地利用了安全解决方案——例如进行正确的设定,根据需求来加以调整等。
6、实施最低权限存取政策。今日有许多漏洞攻击都可以取得登录用户的权限;最低权限存取政策将有助于减轻这些攻击所造成的损害。
2014 年还有一些其他并非出乎预料的事件,但仍相当值得注意。
1、有八个IE浏览器的零时差漏洞,而AdobeAcrobat/Reader则有四个。你可以考虑使用一些替代性的浏览器和PDF阅读器。
2、对网页服务器来说,Apache Struts和WordPress(及WordPress插件)都被发现零时差漏洞。可以清楚地知道,除了服务器软件外,额外的插件也是可能的风险来源。
3、趋势科技在2014年发现并回报了19个严重漏洞给相关厂商。
无论我们看到了多少个零时差或Heartbleed/Shellshock类型漏洞,也不要忘记像SQL注入、跨网站脚本(XSS),打破身份认证等网页应用程序中的基本安全漏洞仍然非常普遍。很多时候,它们正是发生大规模资料外泄事件背后的原因。
此外,我们永远不该忘记控制数据存取、尽可能地加密、确保正确的安全产品都到位来迅速防护漏洞等最佳实作。
转载请标明出处,来源于趋势科技