新聞室: 2012年07月12日
主題:

HP 研究指出資安風險新紀元來臨 漏洞型態有別以往

資安報告協助企業排定優先順序並減低風險

惠普日前發表「2011年網路安全風險研究報告」,分析數量持續攀升且日趨複雜與猛烈的資安攻擊與其伴隨而來的風險。

這份報告內容主要是協助企業與政府了解威脅型態,並評估其安全防護措施。其中也指出,駭客動機會隨著「思想駭客」團體出現而不斷改變,例如:無名氏(Anonymous) 與LulzSec皆因犯罪意識使然,而展開頗具規模的報復攻擊。除了動機改變,日新月異的攻擊技術也導致資安攻擊「成功」率上升。因此,企業與政府均面臨到風險評估與修復的全新挑戰。

以往來說,資安漏洞的年數量能反映出資安產業現況,進而協助企業優先進行防禦措施。然而根據這份報告顯示,單純資安漏洞量已不再是監控資安環境有效指標。商業應用程式中新資安漏洞持續減少的同時,卻有大量資安漏洞沒有被計算在內,反而隱藏在廣大的資安產業中。

HP企業安全產品部門的全球行銷副總裁Michael Callahan表示:「HP建立全球資安調查網絡,協助企業對抗範圍廣大的攻擊,監控目前尚未發現的資安漏洞。而相關調查結果也將納入HP企業資安解決方案,以協助企業積極主動減少風險。」

資安漏洞全面改變

從2006年開始,商業應用程式裡所偵測到的資安漏洞數量在逐漸下降;2011年,幾乎下降百分之二十。然而,報告證實數量的減少並不代表風險降低。

數量減少的原因很多,包括私有市場出現亦產生漏洞的情形。此外,客製化網站應用程式,如:零售業網站的興起,也導致獨特資安漏洞環境,需要更強化的技術加以監測與解決。

報告中主要研究摘要包括:

  • 根據2011年下半年統計,儘管資安漏洞數量下降,但攻擊數量卻是之前兩倍。
  • 2011年,有將近24%的新資安漏洞在商業應用程式中被偵測到,而危險程度是八到十級。這些漏洞可能導致一種最危險的攻擊型態,也就是遠距代碼的執行。
  • 所有資安漏洞中,約有36%出現在商業網路應用程式中。
  • 駭客入侵網站內部資料庫時,約有86%的網路應用程式易受資料隱碼攻擊。
  • 因為成功率高,2011年網路攻擊套件 (web exploits toolkits) 仍非常熱門。這些「套裝式」攻擊架構往往在網路上交易或販售,讓駭客得以入侵企業IT系統,竊取機密資料。例如,網路犯罪最廣泛使用的黑洞漏洞攻擊包(Blackhole Exploit Kit),於2011年11月底感染率高得異常,比例竟超過八成。

HP為因應瞬息萬變的安全風險,提供一個風險導向的安全解決方案整合平台HP Security Intelligence and Risk Management (SIRM) platform。 HP SIRM為企業所提供的能見度跨越傳統、行動與雲端環境,協助企業根據特定企業風險採取適宜的安全防護。

報告調查方法

HP DVLabs 自2009年以來,每半年都會發表網路安全風險報告,這是一份企業資安漏洞分析與發現的重要研究。HP DVLabs針對HP Tipping Point Intrusion Prevention Systems (IPS)入侵預防系統幾千筆資安漏洞的資料進行分析。而這些資料與以下幾個來源有關:

HP DVLabs 的資料也內建一項免費行動應用程式—HP Information Security Pulse,協助IT安全專業人員能即時監控當前網路威脅的趨勢。此應用程式目前可在惠普webOS系統上應用,並即將適用於iOS和Android行動平板電腦。

HP年度企業資安活動HP Protect HP Protect將於今年九月十日至十二日,在美國田納西州納士維舉行。

年報中文摘要
HP《2011年網路安全風險報告》中文摘要

新聞聯絡資訊

HP Taiwan
劉露霞 Nancy Liu
Tel: (02) 8722-9507
nancy.liu@hp.com

達豐公關 for HP Taiwan
周妤潔 Karen Chou
Tel: (02) 2546-6086 Ext.57
karen.chou@compasspr.com.tw

達豐公關 for HP Taiwan
陳昀 Jasper Chen
Tel: (02) 2546-6086 Ext.38
jasper.chen@compasspr.com.tw

About HP Inc.

HP Inc. creates technology that makes life better for everyone, everywhere. Through our portfolio of printers, PCs, mobile devices, solutions, and services, we engineer experiences that amaze. More information about HP Inc. is available at http://www.hp.com.

© 2016 HP Inc. The information contained herein is subject to change without notice. The only warranties for HP Inc. products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. HP Inc. shall not be liable for technical or editorial errors or omissions contained herein.