搜尋此網誌

2009年8月18日 星期二

[研究報告] 一成以上的安全事件導因於不足的驗證

The web hacking incident database (WHID) 於日前公布了一份雙年度的研究報告,此報告主要針對網站安全事件作進一步的統計與分析。不同與其他以技術或網站弱點為主的研究報告,此報告的研究基礎是真實發生的攻擊事件,並著重在所發生的影響,而不僅只於技術上的弱點。

研究報告中指出,所有攻擊事件的目標中,以 Defacement 的比例最高 (28%)。這裡所謂的 Defacement ,除了我們一般常提到的網頁置換外,也包含了植入惡意程式於網頁中的攻擊行為。也就是只要是非法改變網頁內容的行為,不管這樣的內容是不是可視的,都會被歸類於 Defacement 。報告中也特別指出,過去因為大家對於 Defacement 的印象是多為影響單位的形象,而非系統本身,所以也往往採取較消極的防護措施 (如 SIV)。但是這樣的狀況已經改變,網站常常因為 Defacement 而變成了攻擊的管道之一,也因此需要針對此類問題的發生原因好好加以分析並防護。

另外一個發現就是 Web 2.0 的網站 (例如 Twitter),已經取代政府單位,成為受到最多攻擊的目標 (19%)。原因無他,因為這類網站的高使用率,使得它們成為攻擊管道的最佳候選人。此外,上面擁有眾多的個人資料,也是一個充分的誘因。當然,另外一個可能的原因是這類網站對於安全防護較不重視,或是能力較為不足。

而對於攻擊手法的分析上,SQL Injection 雖然已經出現許久,仍舊是最主要的攻擊手法 (19%)。再次證明攻擊方著重在效率,而非使用技術的層次高低,而防禦方卻往往很容易落入技術的迷失。另外一個就是顯見程式安全對於系統開發人員來說,依舊是比較缺乏的一塊,因此對於這類存在已久的問題還是沒有方法加以有效避免。此外,需要特別注意的是有高達 11% 的事件無法確認攻擊手法,顯示對於紀錄/分析/稽核的功能與能力,仍舊有相當的改進空間。而同樣排名第二的另一個攻擊手法則是利用驗證機制的不足 (11%),似乎再次顯示開發人員對於建置一個安全網站的能力不足以應付所面對的威脅。

 

相關連結:

About