新闻发布: 2012年04月27日
主题:

惠普研究发现安全风险进入新时代,漏洞状况发生改变

网络安全报告帮助企业确定风险的重要程度并降低风险

2012年4月27日,北京——惠普公司近日发布了2011年主要网络安全风险报告》,报告发现安全攻击日趋复杂和严重,并带来了更多风险。

该报告的信息有助于企业和政府机构了解威胁状况并对其安全情况进行评估。

该报告还表明,随着Anonymous和LulzSec等黑客组织的日益发展,黑客的动机也在不断改变,他们进行了高度有组织性的攻击以报复现有不法行为。除了动机的改变,攻击技术的进步也提升了安全攻击的“成功”率。因此,企业和政府在评估和降低风险方面面临新的挑战。

一般来说,每年披露的漏洞数量反映了当年安全行业的状况并能帮助组织机构确定防御措施的优先级别。根据《2011年主要网络安全风险报告》,单纯的漏洞数量已不再能有效反映安全风险的状况。虽然商业应用中新报告的漏洞数量持续降低,但仍有大量漏洞来源不明,因此也未向更广泛的安全行业披露。

“为了帮助企业防御各种攻击,惠普建立了全球安全研究员网络,以寻找未公开披露的漏洞。”惠普公司企业安全产品部门全球产品与解决方案营销副总裁MichaelCallahan表示:“这些研究组发现的情报将融入惠普企业安全解决方案,从而帮助企业主动降低风险。”

漏洞状况改变

自2006年起,新披露的商业应用漏洞逐渐减少,到2011年同比降低了近20%,但本次报告的数据表明这并不意味着风险降低。

被披露的漏洞数量减少出于多种因素,包括开始出现的漏洞交易黑市。此外,类似零售网站等定制化网络应用的蔓延催生了独特的漏洞攻击市场,这需要高级的专业知识来发现和解决。

本次报告的主要内容包括:

  • 虽然被报告的漏洞数量有所减少,但HPTippingPoint入侵防御系统(IPS)监测到的攻击数量却在2011年下半年增长了一倍多。  
  • 2011年,在新披露的商业应用漏洞中有近24%的严重性评级为8-10。这些漏洞可造成远程代码执行,这是最危险的一类攻击。  
  • 所有漏洞中约有 36%存在于商业网络应用中。
  • 约有 86%的网络应用容易遭 遇注入式攻击,这使黑客能通过网站访问企业内部数据库。
  • 由于成功率高,网络攻击工具包在2011继续呈泛滥之势。这些“打包”的攻击框架在网络上进行交易,可使黑客能访问企业的IT系统并盗取敏感数据。例如,大多数网络犯罪使用BlackholeExploitKit,这造成了2011年11月底不同以往的超过80%的高感染率。

为打击不断变化的安全风险,惠普提供了惠普安全智能和风险管理(SIRM)平台,这是一款整合的风险驱动型安全解决方案平台,可使企业清楚了解其传统、移动和云环境情况,从而能根据具体的企业风险采取适当的安全防御措施。

研究方法

2009年起,领先的漏洞分析与发现研究机构HP DVLabs6个月发布一次《网络安全风险报告》,分析来自数千个已部署的HPTippingPoint入侵防御系统的安全漏洞数据,并把这些数据与以下信息进行关联: 

来自HPDVLabs的数据也将融入HP Information SecurityPulse,该免费移动应用可以帮助IT安全专业人士实时监测当前的网络威胁趋势。该应用目前支持惠普webOS生态系统,并将很快支持iOS以及安卓移动平板电脑等设备。

HPDVLabs高级安全智能工程师Jason Jones和HPFortify高级产品经理AdamHils将于美国太平洋时间5月2日星期三上午11点召开网络研讨会,发布《主要安全威胁及趋势:2011年网络安全风险报告》

惠普年度用户大会HP Discover,将于2012年6月4日至7日在美国拉斯维加斯举行。

惠普年度企业安全大会HP Protect,将于2012年9月10日至12日在美国田纳西州纳什维尔举行。

关于惠普

惠普为科技显著改变人们生活、工作、政府和社会创造新的可能。作为世界最大的科技企业,惠普提供打印机个人计算机软件服务IT基础设施等,帮助客户解决问题。如需了解关于惠普(纽交所交易代码:HPQ)的更多信息,请登录网站:http://www.hp.com

About HP Inc.

HP Inc. creates technology that makes life better for everyone, everywhere. Through our portfolio of printers, PCs, mobile devices, solutions, and services, we engineer experiences that amaze. More information about HP Inc. is available at http://www.hp.com.

© 2016 HP Inc. The information contained herein is subject to change without notice. The only warranties for HP Inc. products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. HP Inc. shall not be liable for technical or editorial errors or omissions contained herein.