IBM于今年2月公布了其2008年度X-Force安全趨勢(shì)與風(fēng)險(xiǎn)報(bào)告，結(jié)果顯示企業(yè)正無(wú)意間將自己的客戶置于受到網(wǎng)絡(luò)攻擊的危險(xiǎn)境地。隨著利用合法的企業(yè)網(wǎng)站向客戶發(fā)動(dòng)的攻擊以驚人的速度激增，網(wǎng)絡(luò)犯罪者正在利用企業(yè)來(lái)攻擊其客戶，從而不斷竊取客戶的個(gè)人數(shù)據(jù)。

　　新發(fā)布的X-Force報(bào)告指出了2008年犯罪者利用網(wǎng)站攻擊大眾的兩大趨勢(shì)。

　　首先，網(wǎng)站已成為企業(yè)IT安全的最薄弱環(huán)節(jié)。攻擊者重點(diǎn)攻擊網(wǎng)絡(luò)應(yīng)用程序，以便能夠感染計(jì)算機(jī)終端。同時(shí)，企業(yè)使用的現(xiàn)成應(yīng)用程序充滿漏洞，而他們定制的應(yīng)用程序可能存在大量無(wú)法修補(bǔ)的未知漏洞。2008年發(fā)現(xiàn)的漏洞多半與網(wǎng)絡(luò)應(yīng)用有關(guān)，其中超過(guò)74%的漏洞沒(méi)有補(bǔ)丁。因此，2008年初大規(guī)模出現(xiàn)的SQL自動(dòng)化注入漏洞現(xiàn)在仍沒(méi)有減少。2008年夏季開(kāi)始出現(xiàn)SQL注入攻擊，到2008年底攻擊數(shù)量飆升了30倍。

　　IBM互聯(lián)網(wǎng)安全系統(tǒng)X-Force研發(fā)運(yùn)營(yíng)經(jīng)理Kris Lamb表示：“這些攻擊自動(dòng)啟動(dòng)，其主要目的是欺騙網(wǎng)絡(luò)用戶，并將他們引向Web瀏覽器漏洞利用程序集。這種大規(guī)模的攻擊形式很古老、但目前依然存在。令人驚訝的是，SQL注入攻擊自首次發(fā)現(xiàn)至今已經(jīng)十年，由于沒(méi)有適當(dāng)?shù)难a(bǔ)丁至今仍然很猖獗。網(wǎng)絡(luò)犯罪者之所以將目標(biāo)鎖定企業(yè)，是因?yàn)槿魏卧L問(wèn)企業(yè)網(wǎng)站的用戶都可輕易成為攻擊目標(biāo)�！�

　　IBM X-Force報(bào)告顯示的第二大趨勢(shì)是，盡管攻擊者繼續(xù)將瀏覽器和ActiveX控件作為破壞終端計(jì)算機(jī)的主要方式，但他們的重點(diǎn)正在轉(zhuǎn)向惡意影片（如Flash）和文件（如PDF）的新型漏洞。僅在2008年第四季度，IBM X-Force發(fā)現(xiàn)的包含漏洞的惡意網(wǎng)址的數(shù)量就比2007全年上升50%。垃圾郵件發(fā)送者也轉(zhuǎn)而利用知名網(wǎng)站擴(kuò)大攻擊范圍。2008年下半年，在流行博客網(wǎng)站和新聞網(wǎng)站上包含垃圾信息的技術(shù)翻了一番。

　　X-Force報(bào)告的另一重大發(fā)現(xiàn)是，2008年披露的許多嚴(yán)重漏洞還沒(méi)有大量遭到利用。IBM X-Force認(rèn)為，安全行業(yè)針對(duì)披露的漏洞可以選取不同的響應(yīng)級(jí)別。響應(yīng)級(jí)別目前是參考通用安全漏洞評(píng)分系統(tǒng)（CVSS）這一業(yè)界標(biāo)準(zhǔn)。漏洞的技術(shù)層面是CVSS關(guān)注的重點(diǎn)，包括漏洞的嚴(yán)重程度和被利用的容易程度。盡管這些因素都極其重要，然而安全行業(yè)還是忽視了計(jì)算機(jī)犯罪的首要?jiǎng)訖C(jī)是獲取經(jīng)濟(jì)機(jī)會(huì)。

　　Lamb說(shuō)：“CVSS提供了安全行業(yè)衡量安全威脅的必要基礎(chǔ)。但我們也認(rèn)識(shí)到，網(wǎng)絡(luò)犯罪者主要受經(jīng)濟(jì)利益驅(qū)使。他們?cè)谶M(jìn)攻前會(huì)衡量漏洞的經(jīng)濟(jì)機(jī)會(huì)和攻擊成本，這是我們應(yīng)該全面了解的。安全行業(yè)如果能夠更好的理解計(jì)算機(jī)網(wǎng)絡(luò)犯罪者的動(dòng)機(jī)，就可更準(zhǔn)確地判斷哪些威脅會(huì)隨時(shí)發(fā)生，需要緊急修復(fù)漏洞；哪些漏洞攻擊需要較長(zhǎng)時(shí)間才會(huì)大規(guī)模出現(xiàn)，哪些漏洞攻擊則可能永遠(yuǎn)不會(huì)出現(xiàn)。對(duì)漏洞進(jìn)行這樣的分析可以幫助我們更有效地利用時(shí)間和資源。”

　　X-Force自1997年以來(lái)一直對(duì)安全漏洞進(jìn)行分類、分析和研究，已對(duì)近4萬(wàn)個(gè)安全漏洞進(jìn)行了分類，擁有世界上最大的漏洞數(shù)據(jù)庫(kù)。X-Force研究人員通過(guò)這一龐大數(shù)據(jù)庫(kù)了解漏洞被發(fā)現(xiàn)和被傳播的規(guī)律。

　　IBM的新版X-Force報(bào)告還表明：

　　2008年是發(fā)現(xiàn)漏洞最多的一年，比2007年增加了13.5%。

　　在2008年底，全年發(fā)現(xiàn)的漏洞中53%沒(méi)有廠商提供的補(bǔ)丁。此外，到2008年底，2006年出現(xiàn)的46%的漏洞以及2007年出現(xiàn)的44%的漏洞依然無(wú)可用補(bǔ)丁。

　　2008年，McColo的關(guān)閉大大打擊了垃圾郵件。垃圾郵件的數(shù)量和類型以及頻繁發(fā)送垃圾郵件的國(guó)家數(shù)量都有所減少。

　　在McColo關(guān)閉前的許多年內(nèi)，美國(guó)一直是最大垃圾郵件發(fā)送國(guó)。在McColo關(guān)閉后中國(guó)成為最大垃圾郵件發(fā)送國(guó)，但是到年底被巴西取而代之。

　　2008年，垃圾郵件主要發(fā)送國(guó)包括：俄羅斯，占12%；美國(guó)，占9.6%；土耳其，占7.8%。然而，垃圾郵件起源地并不一定與垃圾郵件發(fā)送者居住地有關(guān)。

　　2008年，中國(guó)首次超過(guò)美國(guó)成為托管惡意網(wǎng)站最多的國(guó)家。

　　網(wǎng)絡(luò)釣客繼續(xù)攻擊金融機(jī)構(gòu)。近90%的網(wǎng)絡(luò)釣客攻擊目標(biāo)是金融機(jī)構(gòu)，而攻擊目標(biāo)大部分位于北美地區(qū)。

　　在2008年的所有惡意軟件中，46%是以網(wǎng)上游戲和網(wǎng)上銀行用戶為攻擊目標(biāo)的木馬病毒。X-Force報(bào)告預(yù)測(cè)，這些特定用戶群可能仍是2009年的攻擊目標(biāo)。

　　IBM主張企業(yè)通過(guò)分級(jí)和預(yù)先防范的安全措施保護(hù)其知識(shí)產(chǎn)權(quán)及客戶數(shù)據(jù)。IBM互聯(lián)網(wǎng)安全系統(tǒng)開(kāi)發(fā)了市場(chǎng)上領(lǐng)先的產(chǎn)品及服務(wù)，以幫助客戶應(yīng)對(duì)不斷升級(jí)的安全威脅，同時(shí)降低實(shí)現(xiàn)IT安全的成本和復(fù)雜性。

　　IBM是全球領(lǐng)先的風(fēng)險(xiǎn)與安全解決方案提供商。全球范圍內(nèi)的客戶與IBM開(kāi)展合作，旨在幫助降低安全措施的復(fù)雜性，希望能夠從戰(zhàn)略角度管理風(fēng)險(xiǎn)。從專項(xiàng)研究、軟件、硬件、服務(wù)到全球業(yè)務(wù)合作伙伴價(jià)值，IBM在風(fēng)險(xiǎn)和安全解決方案領(lǐng)域所累積的經(jīng)驗(yàn)和涉及的范圍是其他企業(yè)無(wú)可企及的。因此，IBM能夠幫助客戶在整個(gè)企業(yè)范圍內(nèi)實(shí)施集成的風(fēng)險(xiǎn)管理計(jì)劃，確�？蛻舻臉I(yè)務(wù)運(yùn)營(yíng)安全。