360互联网安全中心日前发布的《中国网站安全报告(2015)》显示,网站漏洞仍然比较严重,并且修复率不到一成。对此,专家建议应及时修复漏洞,避免不必要的损失。
据悉,数十亿条个人信息面临泄露危险。按照被攻击次数,2015年北京、苏州等十城市遭受漏洞攻击超过12亿次,其中,北京遭到攻击的IP最多,高达2.9亿个。
黑客对网站发动攻击包括用漏洞入侵网站,对网站发动流量攻击,或在网站内植入木马,引导网民转向恶意网址。
据360互联网安全中心专家裴智勇博士介绍,从各种漏洞类型来看,跨站脚本攻击漏洞(21.9%)、异常页面导致服务器路径泄露(11.8%)和SQL注入漏洞(16.0%)这三类安全漏洞是占比最高的网站安全漏洞,三者之和接近网站所有漏洞检出总次数的一半。相比2014年,“异常页面导致服务器路径泄露”之漏洞是2015年的“黑马”漏洞,超过SQL注入漏洞而跃居第二。
在万物互联时代,物联网、车联网、互联网+金融、O2O创业等领域方兴未艾,厂商重视客户端应用界面的快速上线,而忽略了应用背后常规、基础的安全保障功能,以致对安全投入成本跟不上,导致大量应用及网站服务器端漏洞曝出。360互联网安全中心专家对IT/互联网、电信运营商六个重点领域网站存在的漏洞进行分析,发现泄露信息漏洞共可导致约11.5亿条个人信息泄露。其中:IT/互联网网站可能泄漏的个人信息最多,其次是医疗卫生网站,电信运营商"金融理财网站,汽车交通网站,教育培训。
“事实上,只要是人编写的程序,都有可能出现漏洞,只要及时修复,就很大程度上避免信息泄露。”补天漏洞响应平台专家鲍宇介绍,虽然漏洞频繁,但网站漏洞修复率过低,是目前网站安全面临的重大问题。2015年的统计数据显示,网站在收到相关漏洞报告后,平均修复率仍然不超过10%,有的行业甚至低于5%。
裴智勇博士建议,鉴于多数通用型漏洞属于可以检测的已知漏洞,事件型漏洞则存在一定的偶发性和不可预测性。如果网站加入补天平台,就会安排专人对补天平台报告的漏洞进行响应和处理。统计显示,在2015年被报告漏洞的备案网站中,有22.0%的网站已加入补天平台。
裴智勇博士表示,2015年,“数据驱动安全”的全新技术理念正在逐步取代传统的被动防御、静态防御、孤立防御的技术理念,成为广泛认可的重要的网络安全发展趋势,并且已经取得了一系列的重要成果。威胁情报将是未来一两年内,最具发展潜力的新兴安全服务技术。人工智能、机器学习以及大数据可视化等一系列新兴的网络安全技术,将成为网络安全企业竞争力的核心体现。
本文转自d1net(转载)