一、网络安全应注意防范SQL注入
尽管一些研究数据显示,与其他网络犯罪方式相比,SQL注入攻击有所下降,但是本周发布的最新调查显示,对于关注数据库安全的中小企业而言,阻止SQL注入攻击仍然是他们最重要的工作。
Securosis公司分析师Adrian Lane表示,“尽管SQL注入这种攻击形式已经出现十年之久,但仍是最大的安全威胁,虽然根据数据泄露事故的分析显示,SQL注入攻击有所下降,但是这仍然是中小企业和拥有web应用程序的企业面临的主要问题。”
数据库安全公司GreenSQL对6000多名中小企业技术决策者进行了调查,询问让他们夜不能寐的数据库安全问题。虽然,只有18%的中小企业受访者表示他们担心合规问题,并且只有不到三分之一的受访者担心内部威胁(例如恶意内部人员),51%的受访者表示SQL注入攻击是最令他们头痛的问题。GreenSQL首席技术官David Maman表示,SQL注入攻击当之无愧地成为最受关注的问题。
他表示,“说实话,这让我们很震惊,因为现在讨论的所有研究结果都是有关SQL注入攻击已经下降,但这却是中小企业社区面临的最大威胁,很多人都担心Anonymous,很多人担心暴露敏感信息和客户信息。”
面对寻找SQL注入漏洞的自动蠕虫病毒和大规模SQL注入攻击,很多中小企业往往无法不具备相关洞察力或者方法来阻止它们。他们经常不知道他们已经被“围困”,Maman举了一个实例,一位新的GreenSQL中小企业客户找到他,想知道其软件有什么问题,结果后来发现他的基础设施每天遭受2000次SQL注入攻击尝试。
在帮助该名管理员进行调查后,Maman不仅发现这个数字准确无误,而且发动这种攻击的IP地址之一位于该中小企业自己的网络内部。
“他告诉我,‘看,这是一个误报,因为这是我的网络IP地址,’”Maman表示,“我告诉他,‘听着,这是一个真正的SQL注入攻击’,原来他的一台电脑被恶意软件感染了。”
根据Verizon公司RISK团队负责人Chris Porter表示,Verizon最近发布的数据泄露调查统计数据的优先级可能要比其他攻击要低,但是这仍然是中小企业需要认真对待的事情。
“这是一个很大的问题,”他表示,“你可以看到在我们过去两年的调查数据中,SQL注入攻击已经下降,相对于其他攻击来说,这种下降确实是在发生。”
在SQL注入攻击方面,他认为影响中小企业最大的因素之一是他们更加频繁地使用现成的电子商务解决方案。他表示,中小企业往往不会修复这些软件,或者进行正确地配置,这让中小企业很容易成为自动攻击的目标。即使没有部署任何数据库安全或者web应用程序防火墙解决方案,很多企业都可以通过及时修复这些电子商务和第三方web应用程序来降低他们的风险面。
“我认为很多小型企业并没有认真对待,他们经常没有修复漏洞,”Porter表示,“这样就可能存在SQL注入漏洞,攻击者就能够利用这些漏洞发动攻击,然后自动注入脚本。”
二、如何应对互联网安防威胁
专家根据艾瑞《个人网络安全报告》对明年安全威胁作出预测:主要集中在“成为帮凶的社交媒体”、“信息泄露增多”、“大型僵尸网络病毒打散成小型僵尸网络病毒传播”三个方向。
1、 社交媒体成为病毒帮凶
社交媒体在企业中迅速扩张,它的威胁指数也具上升。社交媒体的资料将成为黑客劫持的对象,盗窃信息的人利用黑客技术迫使终端用户公开敏感信息,下载恶意软件或是二者兼具。为了应对这种威胁,各公司应该不局限于基础安全策略,还应该使用更高级的技术,如防数据泄漏,高级网络监控和日志文件分析等。
尽管社交网络在去年的威胁预测中在潜在因素目录中排名靠前,今年它将不再是为网络犯罪创造机会的重要途径。不过这并不意味着社交网络将有所减少,它们会作为木马等恶意网站实施欺诈入侵行为的重要过度,越来越多的成为病毒攻击用户的桥梁。
2、信息泄露增多 信息保障成焦点
由于人们对互联网信息开发不断充分,人们对互联网的依赖性也日益增强,互联网所蕴含的经济价值更加巨大。以CSDN 600万用户信息泄露开始,中国互联网接连爆发的信息泄露为“互联网之殇”再添一笔,继年初索尼用户信息泄露、到各类邮箱零天漏洞的不断出现,未来针对私人信息的破解和攻击会愈演愈烈。如何确保信息安全,加强信息保障工作,将是今年关注的重中之重。
|