高級(jí)持續(xù)性威脅(APT)攻擊、0day漏洞、惡意軟件……隨著網(wǎng)絡(luò)犯罪分子攻擊手段與方式的愈發(fā)高級(jí)與復(fù)雜化,這些演變的攻擊已為網(wǎng)絡(luò)安全帶來(lái)極大的威脅,這些耳熟能詳?shù)淖盅垡惨殉蔀榻陙?lái)網(wǎng)絡(luò)安全界關(guān)注的熱點(diǎn)。然而在實(shí)際情況中,一些常見(jiàn)的攻擊和已知漏洞所造成的攻擊后果卻大大超乎了人們的想象。
在惠普發(fā)布的2015網(wǎng)絡(luò)安全報(bào)告中指出,有44%的已知攻擊是針對(duì)2-4年前的老漏洞。也就是說(shuō),攻擊者繼續(xù)利用廣為人知的技術(shù)來(lái)成功入侵系統(tǒng)和網(wǎng)絡(luò)。在2014年出現(xiàn)的十大漏洞都利用了幾年前、甚至數(shù)十年前編寫(xiě)的代碼。
而在一年之前的2014年4月7日曝出的“心臟滴血”漏洞曾引起業(yè)界一陣軒然大波。而時(shí)隔一年之后,根據(jù)安全機(jī)構(gòu)Venafi實(shí)驗(yàn)室的一份最新的報(bào)告顯示,在《福布斯》評(píng)選出的全球2000強(qiáng)企業(yè)面向公網(wǎng)的系統(tǒng)中,仍然有74%的系統(tǒng)會(huì)受到OpenSSL漏洞的影響。而在不面向公眾的服務(wù)器設(shè)備方面事態(tài)可能更加糟糕。而且在大多數(shù)情況下,處于企業(yè)防火墻內(nèi)部的服務(wù)器設(shè)備還沒(méi)有安裝過(guò)足以對(duì)抗該漏洞的補(bǔ)丁。在國(guó)內(nèi),也仍有部分傳統(tǒng)企業(yè)的服務(wù)器卻仍然存在“心臟滴血”漏洞,不少網(wǎng)絡(luò)設(shè)備仍然受到該漏洞威脅,其中不乏防火墻、視頻監(jiān)控等設(shè)備。
與其他的一些漏洞不同,心臟滴血漏洞的修復(fù)可不是打個(gè)補(bǔ)丁那么簡(jiǎn)單。受影響的企業(yè)還需要收回舊的SSL證書(shū),然后發(fā)行新的并且生成新的秘鑰。但是不幸的是,絕大多數(shù)的企業(yè)并沒(méi)有這樣做。
由此可見(jiàn),時(shí)至今日,網(wǎng)絡(luò)犯罪分子使用最簡(jiǎn)單甚至最常用的的攻擊方式和工具,便能夠發(fā)動(dòng)仍然湊效的攻擊。從某種程度上說(shuō),企業(yè)用戶(hù)對(duì)安全漏洞的視而不見(jiàn),從一定程度上也幫助了黑客不需要發(fā)展最新的技術(shù)便可以成功發(fā)動(dòng)攻擊。
而從防御的角度講,除了“心臟滴血”漏洞這樣的個(gè)例,應(yīng)對(duì)大多數(shù)漏洞防護(hù)是非常簡(jiǎn)單的事情,安全人員只要為漏洞打一個(gè)補(bǔ)丁,便可有效防止通過(guò)該漏洞發(fā)起攻擊。那么,為何這樣簡(jiǎn)單的防御策略,卻仍舊有如此眾多的企業(yè)對(duì)此視而不見(jiàn)呢?
不可否認(rèn),企業(yè)安全人員的疏忽或缺乏運(yùn)維經(jīng)驗(yàn)所導(dǎo)致的漏打補(bǔ)丁的情況或許存在,但更值得引起注意的是:企業(yè)缺乏有效全面的補(bǔ)丁策略或許是導(dǎo)致這一狀況的重要原因。
與個(gè)人用戶(hù)不同,對(duì)于企業(yè)而言,更新補(bǔ)丁之后或許將面臨系統(tǒng)的更新、重啟,這代表著業(yè)務(wù)將受此影響或因此中斷。而在一些對(duì)業(yè)務(wù)連續(xù)性要求較高的行業(yè),即便采用災(zāi)備等手段,其也將受到日程、耗費(fèi)成本等等客觀(guān)因素的壓力與制約。此外,在不同的操作系統(tǒng)和基礎(chǔ)架構(gòu)上,在更新補(bǔ)丁之后,是否會(huì)導(dǎo)致維系業(yè)務(wù)進(jìn)行的相關(guān)軟件因不兼容而導(dǎo)致系統(tǒng)崩潰、造成業(yè)務(wù)中斷,其帶來(lái)的損失更是不可估量。
以上種種原因,或許都成為眾多企業(yè)對(duì)已披露的漏洞視而不見(jiàn)的原因。并且,這類(lèi)企業(yè)大多都存在一種僥幸心理,那就是:黑客不會(huì)利用已知的漏洞來(lái)發(fā)動(dòng)攻擊。然而,實(shí)際的情況正如同我們上面所說(shuō)的那樣,事實(shí)并非如此。
在如今的網(wǎng)絡(luò)安全防御中,技術(shù)與手段已不再是唯一的武器,而對(duì)安全防御的意識(shí)形態(tài)的問(wèn)題已經(jīng)變得比技術(shù)手段本身更重要,甚至成為這場(chǎng)戰(zhàn)役中取勝的重要因素。而目前看來(lái),對(duì)安全問(wèn)題的意識(shí)程度卻恰恰成為當(dāng)前多數(shù)企業(yè)在安全防御中的短板問(wèn)題。
從某種程度上說(shuō),這一現(xiàn)狀的改變除了要求企業(yè)盡快確立其全面有效的安全防御策略,同時(shí)或許更需要有明確的法律法規(guī)來(lái)監(jiān)督、迫使企業(yè)去遵守。在網(wǎng)絡(luò)攻擊面前,我們所面臨的威脅是一致的。而隨著如今中國(guó)互聯(lián)網(wǎng)的高速發(fā)展,安全防御技術(shù)亦在隨之進(jìn)步,而與此同時(shí),發(fā)展的同時(shí)也會(huì)讓網(wǎng)絡(luò)犯罪分子更加垂涎從這其中獲取利益。雖然安全的防御與攻擊已經(jīng)演變的日益復(fù)雜,但真正有效的網(wǎng)絡(luò)安全的防御,還是應(yīng)該從確立正確的意識(shí)形態(tài),從最簡(jiǎn)單的漏洞補(bǔ)丁做起。