移动利用和壳牌命令注射攻击激增

IBM. 发布了其X-Force 2011趋势和风险报告的结果,该趋势和风险报告显示了互联网安全的几个领域的令人惊讶的改进,例如应用程序安全漏洞,利用代码和垃圾邮件。

今天的攻击者正在被迫通过针对更多利基IT漏洞和新兴技术,例如社交网络和移动设备来重新思考他们的策略。

该报告显示,与2010年相比,垃圾邮件电子邮件中的50%下降;软件供应商的安全漏洞更加勤奋修补,只有36%的软件漏洞在2011年剩下的剩余群,而2010年的43%;和更高质量的软件应用程序代码,如Web应用程序漏洞所示,称为跨站点脚本一半的可能存在于客户端’软件在四年前。

鉴于这些改进,似乎攻击者正在不断发展他们的技术。该报告揭示了新兴攻击趋势的增长,包括移动利用,自动密码猜测以及网络钓鱼攻击的激增。对Web服务器的自动外壳命令注入攻击的增加可能是对关闭其他类型的Web应用程序漏洞的成功努力的响应。

Nick Bradley,IBM全球安全运营高级经理,帮助Net Security的评论:“虽然我们的X-Force 2011趋势和风险报告的调查结果表明,在互联网安全的几个领域,令人惊讶的改进,移动和云计算等新技术也继续为企业安全创造挑战。变化的威胁景观真的表明,安全性需要具有一层智能和分析的新的整体方法。”

根据该报告,有积极的趋势,因为它似乎公司在2011年实施了更好的安全做法:

利用代码的可用性下降了30% –披露安全漏洞时,有时释放攻击者可以下载并使用才能闯入计算机。在2011年发布大约30%的漏洞利用而不是在过去四年中平均看到的。这种改进可归因于软件开发人员所做的架构和程序变化,这有助于使攻击者更难以成功利用漏洞。

减少未分割的安全漏洞 –当安全漏洞公开披露,负责任的软件供应商是以及时的方式提供补丁或修复的。一些安全漏洞绝不是修补,但在过去几年中,未分割漏洞的百分比一直在稳步下降。 2011年,这一数字从2010年的43%下降到36%。

由于软件质量的改进,XSS漏洞减少了50% –IBM X-Force团队正在了解由IBM AppScan Ondemand服务等工具使用的组织生产的软件质量的显着改进,以分析,查找和修复其代码中的漏洞。 IBM发现XSS漏洞是客户中存在的一半’软件在四年前。但是,XSS漏洞仍然显示在IBM扫描应用程序的大约40%。这仍然很高,可以很好地理解并能够解决。

垃圾邮件 – IBM’S全球垃圾邮件监控网络已经看过2010年在2010年看到的2011年垃圾邮件卷的一半。这一下降可能归因于几个大型垃圾邮件僵尸网络的降低,这可能阻碍了垃圾邮件发送者’能够发送电子邮件。由于垃圾邮件过滤技术改善,垃圾邮件发送者改善了它们的技术,以过去七年来看,IBM X-Force团队在过去七年中通过了几代发展而来。

即使有了这些改进,新的攻击趋势和一系列显着的广泛报告的外部网络和安全漏洞都会增加。由于恶意攻击者越来越精明,因此IBM X-Force记录在攻击活动的三个关键领域增加:

攻击目标壳命令注入漏洞多于双倍 –多年来,针对Web应用程序的SQL注入攻击是所有类型的攻击者的流行向量。 SQL注入漏洞允许攻击者操纵网站后面的数据库。作为关闭这些漏洞的进展–在公开维护的Web应用程序中的SQL注入漏洞的数量在2011年下降了46% - 某些攻击者现在已开始定位shell命令注入漏洞。这些漏洞允许攻击者直接在Web服务器上执行命令。壳牌指挥注入攻击在2011年的过程中增加了两到三次。Web应用程序开发人员应密切关注这一越来越受欢迎的攻击矢量。

自动密码猜测中的尖峰 –密码和密码策略可怜在2011年的许多高调违规中发挥了作用。互联网上还有很多自动攻击活动,其中攻击扫描具有弱登录密码的系统。 IBM在这类密码猜测活动中观察到了在2011年后一半的安全Shell服务器(SSH)中指示的大量峰值。

增加网络钓鱼攻击,使社交网站和邮件包裹服务冒充 –归因于网络钓鱼的电子邮件量在2010年和2011年上半年相对较小,但网络钓鱼在下半场复仇,达到了避风港的卷’自2008年以来已经看到。其中许多电子邮件冒着流行的社交网站和邮件包服务,并诱使受害者点击可能试图用恶意软件感染PC的网页链接。其中一些活动也可以归因于广告点击欺诈,其中垃圾邮件发送者使用误导电子邮件来驱动零售网站的流量。

分享这个