惠普近日發(fā)布了2015年網(wǎng)絡(luò)風(fēng)險報告，針對上一年困擾企業(yè)的最緊迫的安全問題進行了深入的風(fēng)險調(diào)查和分析，并指出了2015年的趨勢。

　　這份調(diào)查報告由惠普安全調(diào)查部門編寫，研究對象為讓企業(yè)面臨安全風(fēng)險的最普遍的漏洞的數(shù)據(jù)。報告顯示，人們熟知的問題和錯誤配置促成了2014年最可怕的威脅。

　　惠普公司企業(yè)安全產(chǎn)品北亞區(qū)總經(jīng)理姚翔表示：“很多大的安全風(fēng)險問題我們數(shù)十年前已經(jīng)知道，這些問題讓企業(yè)面臨著不必要的風(fēng)險。我們不能因為信任新技術(shù)對電腦安全的保護而忽視了對這些已知漏洞的防御。相反，企業(yè)必須采用基本的安全策略應(yīng)對已知漏洞，從而消除大量的風(fēng)險。”

　　重點和關(guān)鍵發(fā)現(xiàn)

　　44%的已知攻擊是針對2-4年前的老漏洞。攻擊者繼續(xù)利用廣為人知的技術(shù)來成功入侵系統(tǒng)和網(wǎng)絡(luò)。2014年出現(xiàn)的十大漏洞都利用了幾年前、甚至數(shù)十年前編寫的代碼。

　　服務(wù)器配置錯誤是最常見的漏洞。除了隱私和cookie安全問題等漏洞，服務(wù)器配置錯誤在2014年安全問題中十分突出。它讓攻擊者輕易地潛入系統(tǒng)訪問文件，并導(dǎo)致企業(yè)受到攻擊。

　　互聯(lián)設(shè)備帶來更多攻擊路徑。除了物聯(lián)網(wǎng)設(shè)備帶來的安全問題，2014年移動惡意軟件水平也有所提高。隨著計算生態(tài)系統(tǒng)不斷擴展，企業(yè)如果不充分考慮安全問題，攻擊者將發(fā)現(xiàn)更多入侵機會。

　　常見軟件漏洞的主要原因是缺陷、故障和邏輯錯誤。大部分漏洞來源于數(shù)量相對較少的常見軟件編程錯誤。軟件中的新老漏洞會被攻擊者迅速利用。

　　主要建議

• 網(wǎng)絡(luò)防御者應(yīng)采取全面、及時的補丁策略，以確保系統(tǒng)安全防御措施隨時更新，從而降低受到攻擊的幾率。
• 內(nèi)部和外部機構(gòu)對配置進行定期滲透測試和驗證，在攻擊者利用配置錯誤之前發(fā)現(xiàn)并解決問題。
• 盡量減少采用新技術(shù)給網(wǎng)絡(luò)帶來的風(fēng)險。隨著物聯(lián)網(wǎng)等新技術(shù)的興起，企業(yè)急需了解新的攻擊渠道，以防潛在的安全漏洞被利用。
• 協(xié)作與威脅情報共享是整個安全行業(yè)聯(lián)合應(yīng)對威脅的關(guān)鍵。這將幫助企業(yè)洞察黑客策略，采取更主動的防御措施和更強的安全解決方案，營造更安全的整體環(huán)境。
• 應(yīng)采用補充防御策略，并始終保持“居安思危”的心態(tài)。世界上沒有100%安全的解決方案，防御系統(tǒng)應(yīng)采用補充式、分層式安全策略，以實現(xiàn)最佳防御。