IBM周三(8/25)發表其2010年X-Force年中趨勢與風險報告,指出今年上半年IT產業總計公開揭露了4396個新安全漏洞,比去年上半年增加了36%,而且6月底前仍有55%的漏洞尚未被修補。
根據該報告,有一半以上的安全漏洞為網路應用程式漏洞,佔了55%,但IBM認為這可能只是冰山的一角,不足以代表所有的網路應用程式漏洞,因為公開的漏洞揭露並未包含客製化的網路應用程式。
此外,有愈來愈多的攻擊是藏匿在JavaScript及PDF中。報告指出,老練的駭客通常會尋找掩蔽以在不被傳統安全工具偵測到的情況下進入企業網路,其中,JavaScript混淆攻擊手法特別受到歡迎,以把惡意程式藏匿在文件檔案或網頁上,調查發現今年上半年採用該手法的數量比去年增加了52%。
至於PDF檔案也是頗受歡迎的攻擊媒介。X-Force去年上半年的報告就顯示以PDF為基礎的攻擊手法逐漸普及,並且在前五大瀏覽器攻擊程式中囊括了3席,今年上半年最醒目的PDF攻擊出現在4月,IBM在該月所偵測到的PDF攻擊行動比今年上半年的平均值多了37%,這些惡意的PDF檔案多半用來散布Zeus及Pushdo殭屍程式。
另一方面,雖然金融機構仍是網釣攻擊的目標,佔所有網釣攻擊的49%,但調查顯示今年的網釣攻擊行動大幅減少,比去年同期少了82%。
報告提醒企業必須觀察特定服務未來的安全威脅,包括新興的雲端運算及虛擬化。IBM認為,安全仍是企業考量是否採用雲端運算的一項阻礙,建議任何想要轉至雲端的企業必須開始檢驗雲端的安全性,應先理解雲端運算的安全需求再選擇服務供應商。
IBM也警告企業應留心虛擬化架構所引發的安全問題。X-Force的漏洞資料顯示,有35%影響伺服器等級虛擬系統的漏洞同時也會影響hypervisor,這代表萬一駭客掌控了虛擬系統,也可能掌控同一台機器上的其他系統。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
