查看: 3150|回复: 2
收起左侧

[分享] 从 2014 年漏洞,学到什么?

[复制链接]
Sammi888
发表于 2015-1-29 15:10:26 | 显示全部楼层 |阅读模式


在向前看开始规划2015年之前,让我们花上几分钟记住2014年的漏洞,以及我们可以从中学到什么。每年都会出现几个零时差漏洞和大量来自软件厂商的漏洞修复程序,2014年有些不同:
1、每年所披露的安全漏洞总数近1万个。正因为如此,CVE数据库的维护者宣布将修改CVE语法,它现在允许每年可分配的漏洞标识符达到1000万个。
2、重大的“命名”漏洞如Heartbleed心脏滴血漏洞、Shellshock、Poodle和WinShock被披露,并在安全产业内广为人知。这些漏洞因为其严重的影响、广泛的攻击面及修补的困难而值得注意。
3、放大分布式阻断服务(DDoS)攻击增加。这些攻击被用来产生大规模网络流量以阻断服务,它利用网络协议的漏洞“引出”大量响应封包,将其“重新导向”到受害者,导致对其的阻断服务攻击。
4、一些好消息——2014年没有JAVA零时差漏洞!然而,这并不代表JAVA漏洞不会遭受攻击。它们还是会被漏洞攻击包加以利用,所以仍在使用旧版本JAVA的用户应该要加以升级。
5、对于Adobe产品的整体来说,其安全漏洞数量从2013年开始下降。然而,Adobe Flash的安全漏洞数量从56个上升到76个。Acrobat/Reader漏洞下跌了几乎30%。

(Flash Player和Acrobat/Reader的安全漏洞数量)
6、除了Heartbleed,还有许多OpenSSL的漏洞被发现。在 2014 年,有24个 漏洞被发现——是之前三年的总和。

了解上述事实后,我们该从中学到什么?
1、即使是旧应用程序仍然可以被发现漏洞,正如我们所看到的Heartbleed和Shellshock。
2、开放原始码软件据说在本质上较安全,因为它会被多人应用并检查(也因此有更多机会发现安全漏洞)。然而从OpenSSL和Bash的例子可以得知并不一定如此。
3、CVSS分数并不能完全地表现出安全漏洞的严重性。毕竟Heartbleed只拿到了CVSS 5.0的分数!根据你组织的情况和应用程序来评估漏洞的影响,用来加权(CVSS)分数!
4、尽快地升级版本,只要情况允许就尽快更新修补程序。
5、不断检查你的安全状态和相应地规划你在信息安全工具和做法上的投资。员工教育是确保公司信息安全的关键一环。同时,也确保你充分地利用了安全解决方案——例如进行正确的设定,根据需求来加以调整等。
6、实施最低权限存取政策。今日有许多漏洞攻击都可以取得登录用户的权限;最低权限存取政策将有助于减轻这些攻击所造成的损害。

2014 年还有一些其他并非出乎预料的事件,但仍相当值得注意。
1、有八个IE浏览器的零时差漏洞,而Adobe Acrobat/Reader则有四个。你可以考虑使用一些替代性的浏览器和PDF阅读器。
2、对网页服务器来说,Apache Struts和WordPress(及WordPress插件)都被发现零时差漏洞。可以清楚地知道,除了服务器软件外,额外的插件也是可能的风险来源。
3、趋势科技在2014年发现并回报了19个严重漏洞给相关厂商。
无论我们看到了多少个零时差或Heartbleed/Shellshock类型漏洞,也不要忘记像SQL注入、跨网站脚本(XSS),打破身份认证等网页应用程序中的基本安全漏洞仍然非常普遍。很多时候,它们正是发生大规模资料外泄事件背后的原因。
此外,我们永远不该忘记控制数据存取、尽可能地加密、确保正确的安全产品都到位来迅速防护漏洞等最佳实作。
转载请标明出处,来源于趋势科技

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
每顿需吃三大碗
发表于 2015-1-31 23:50:01 | 显示全部楼层
趋势太牛了,所以不用它
ELOHIM
发表于 2015-2-15 00:00:46 | 显示全部楼层

1、有八个IE浏览器的零时差漏洞,而Adobe Acrobat/Reader则有四个。你可以考虑使用一些替代性的浏览器和PDF阅读器。

IE 有8个,然后换了谷歌,谷歌也有漏洞少一点,6个,加一块成14个了……
莫非要删掉IE这个组件才好呀,
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 21:04 , Processed in 0.135864 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表