11月27日,SANS研究所将公布2007年20大互联网安全风险报告,这也是该研究所的第七次年度发布。该报告列举了2007年对于个人、公司和政府机构危害最严重的网络安全风险。来自六个国家的政府、行业和学术界的43位网络安全问题专家(详细名单请登陆www.sans.org/top20)给予配合,评选出这20大互联网安全风险。“Top 20”对这20大网络安全风险进行列举,您可以登陆www.sans.org/top20对相关信息进行查询。
SANS研究所今年发布的“Top 20”显示,一方面攻击者盯上了两个新目标,另一方面他们加大了针对老目标的攻击力度。尽管Top 20重点关注新攻击模式,但老攻击模式仍然存在,自动攻击程序还在不断扫描网络中的系统并随时发起攻击。SANS网络风暴中心(互联网预警系统)报告称,人们只能寄希望于在受到攻击五分钟前采取措施来免受攻击,并且只有在连接到互联网之前对电脑进行安全设置,才能经受住攻击。
2007年度“Top 20”的摘要以及最有效的防范措施见本文末。
SANS研究所技术研发总监Alan Paller先生说到,“对于大多数大型和敏感机构而言,最新的网络安全风险造成的麻烦最大。新的网络风险更加难于防范。要防范这些风险,就要持续不断的进行监控,严格遵守制度,并对违规者处以实质性惩罚。但目前只有那些大银行和最为敏感的军事机构愿意采取这些措施。”
Paller先生称,互联网应用软件的不安全性尤其棘手,因为许多网络应用开发人员在编写和配置应用时,甚至都不能保证他们能够编写安全的应用软件。大多数应用软件都提供了进入存储敏感信息的后台数据库的通路。Paller先生说,“只有培养程序员的学校和聘用程序员的公司确保程序开发员掌握了安全编码,以及只有这些公司确保他们有一个安全有效的开发过程,我们才能不在看到近乎一半的网络应用软件存在严重漏洞。”(2007年11月20日,安全编程委员会首次发布网络编程员安全知识和技巧准则。欲知详情,请登陆http://www.sans-ssi.org/essential_skills_java.pdf)。
本年度的TOP 20项目由TippingPoint公司安全研究高级经理Rohit Dhamankar先生领导完成。TippingPoint公司在该领域拥有丰富的知识和经验,为许多最敏感的公司提供入侵防御系统。Dhamankar先生说,“尽管2007年半数的攻击案例都与网络应用有关,但这只是冰山一角。该数据不包括专门定制开发的网络应用受到的攻击。受到攻击的网站为攻击者提供了攻击大量用户的通路,这些攻击或通过网络浏览器,或通过办公文件,也有可能通过媒体播放器。这一恶性循环使得对于网络风险的防范变得越来越困难。”
<<上一页
1
2
3
4
下一页>>
