|
【PConline 资讯】近日,360互联网安全中心发布《中国网站安全报告(2015)》,对网站漏洞、后门情况,漏洞遭受攻击情况、以及个人信息情况等进行了总体研究,报告显示,网站漏洞仍然比较严重,并且修复率不到一成,北京成为遭受漏洞攻击最为严重地区。 40%网站存在漏洞 报告称,2015年全年(截至11月18日),360互联网安全中心网站安全检测平台共扫描各类网站231.2万个,其中,扫出存在漏洞的网站101.5万个,占比为43.9%,较2014年的61.7万个增长了64.5%。其中,扫出存在高危漏洞的网站30.8万个,占扫描网站总数的13.3%,较2014年的27.9万个增长了10.4%。 大数据显示,2015年全年(截至11月18日)360网站安全检测平台全年共扫描发现网站高危漏洞265.1万次,约为2014年462.1万次的一半,平均每月扫出高危漏洞约24.1万次;平均每天扫出高危漏洞约0.8万次。 虽然数量下降,不过,由于2014年扫描网站164.2万个,只有2015年的71%,因此,2015年,高中危漏洞的扫出比例大幅下降。 360互联网安全中心专家裴智勇博士介绍,从各种漏洞类型来看,跨站脚本攻击漏洞(21.9%)、异常页面导致服务器路径泄露(11.8%)和SQL注入漏洞(16.0%)这三类安全漏洞是占比最高的网站安全漏洞,三者之和接近网站所有漏洞检出总次数的一半。相比2014年,“异常页面导致服务器路径泄露”之漏洞是今年的“黑马”漏洞,超过SQL注入漏洞而跃居第二。 黑客攻击网站 北京受伤最重 黑客对网站发动攻击包括用漏洞入侵网站,对网站发动流量攻击,或者在网站内植入木马,引导网民转向恶意网址。 报告称,2015年全年(截至11月18日),360网站卫士共拦截各类网站漏洞攻击16.5亿次,较2014年7.0亿次,增长了约135.7%。2015年平均每天拦截漏洞攻击512.2万次。3月、4月和10月较2014年出现大幅增长,其他月份稍显平安。 从发起漏洞攻击IP的地域分布来看,90.2%攻击者IP来自境内地区,来自境外的攻击为9.8%。 从境内攻击者的IP地域分布来看,31.5%来自浙江,居于首位;其次分别为江苏(28.3%)、北京(19.0%)、江西(2.4%)、河北(2.3%)、广东(2.1%)、香港(2.0%)。 从境外攻击者的IP地域分布来看,43.5%来自法国,其次是美国(29.8%)、荷兰(3.0%)。 从遭到漏洞攻击IP的地域分布来看,95.7%受害者IP为自境内地区,境外的受害者仅为4.3%。 从境内受害者的IP地域分布来看,17.7%来自北京,居于首位;其次分别为江苏(13.2%)、山东(11.0%)、广东(10.9%)、浙江(10.1%)、河南(9.5%)、四川(9.4%)等。 从境外受害者的IP地域分布来看,54.0%的受害者来自美国,排在第一位。其次是韩国(24.5%)、日本(11.5%)、亚洲其他地区(2.0%)、北美地区(1.6%)。 按照被攻击次数来说,2015年遭到漏洞攻击的十大城市遭受攻击超过12亿次,其中,北京遭到攻击的IP最多,高达2.9亿个,居于全国首位;其次是苏州(1.6亿次)、上海(1.5亿次)、郑州(1.5亿次)、青岛(1.4亿次)、杭州(1.1亿次)、东莞(1.0亿次)、绵阳(5680万次)、深圳(2976万次)和济南(2466万次)。 由于大部分黑客都是昼伏夜出的夜猫子,他们漏洞攻击多集中于下午13-18点之间,在此期间的漏洞攻击次数占全天漏洞攻击总次数的32.6%,在13点达到最高峰。而凌晨3-6点是漏洞攻击比较稀少的时段,凌晨6点最为安全。总体而言,下午要多于上午,凌晨时候,夜猫子黑客最为疲惫,网站最安全。 危害 :数十亿条个人信息面临泄露 2015年,关于网站被拖库、撞库的新闻时时见诸于各类媒体。报告统计显示,在2015年(截至2015年11月18日)中国最大的漏洞播报平台补天平台收录的网站漏洞中,共有1410个漏洞可能造成网站上的个人信息泄露,这些漏洞共涉及网站1282个,可能泄露的个人信息量(本章下文简称泄露信息量)高达55.3亿条。这一数字较2014年的23.6亿条翻了一倍还多。如果按照中国网民总数为6.5亿计算,这一数字也就意味着,仅仅在2015年这一年,平均每个中国网民就至少可能泄漏了8条以上的个人信息。 360互联网安全中心专家对IT/互联网、电信运营商、金融理财、汽车交通、教育培训和医疗卫生等六个重点领域网站存在的漏洞进行分析,统计发现泄露信息漏洞共可导致约11.5亿条个人信息泄露。其中:IT/互联网网站可能泄漏的个人信息最多,为5.23亿条;其次是医疗卫生网站2.40亿条;电信运营商1.97亿条;金融理财网站 1.10亿条;汽车交通网站5418万条;教育培训2462万条。 从可能泄露的个人信息量网站性质来看,企业网站可能泄露的信息量为25.9亿条,,政府、事业单位、个人和社会团体可能泄露的信息量也分别达到了9.5亿、3.7亿、0.4亿和0.2亿。 “事实上,只要是人编写的程序,都有可能出现漏洞,只要及时修复,就很大程度上避免信息泄露。”补天漏洞响应平台专家鲍宇介绍,虽然漏洞频繁,但是网站漏洞修复率过低,是目前网站安全面临的一个重大问题。补天平台在收到白帽子报告的网站安全漏洞后,都会在第一时间通过网站官网上提供的联系方式向相关网站报告漏洞及漏洞细节。但2015年的统计数据显示,网站在收到相关漏洞报告后,平均修复率仍然不超过10%,有的行业甚至低于5%。 政府网站的漏洞修复率在所有备案类型网站中排名垫底,仅为1.8%,这与普通网民对政府网站的信赖度相对较高的情况非常不相称。 因漏洞 个人信息泄露将雪崩出现 报告指出,目前,个人信息的泄漏已经成为电信骚扰和网络盗号、网络诈骗等网络犯罪频发的首要原因。越来越多的黑客和犯罪分子参与到个人信息的盗窃和交易当中。未来三至五年内,个人信息的泄漏可能仍将呈现不可逆的,雪崩式的增长。 在万物互联时代,物联网、车联网、互联网+金融、O2O创业等领域方兴未艾,事实证明, 厂商重视客户端应用界面的快速上线,而忽略了应用背后常规、基础的安全保障功能,以致对安全投入成本跟不上,导致大量应用及网站服务器端漏洞曝出。 专家:建议网站加入漏洞 播报平台 裴智勇博士介绍,对于网站出现大量漏洞的状况,鉴于多数通用型漏洞属于可以检测的已知漏洞,而事件型漏洞则存在一定的偶发性和不可预测性。网站加入补天平台,通常意味着网站会安排专人对补天平台报告的漏洞进行响应和处理,这在一定程度上反应了网站对安全漏洞的重视程度,统计显示,在2015年被报告漏洞的备案网站中,有22.0%的网站已加入补天平台,还有近八成的网站未加入。 仅仅通过一般的、通用的安全检测手段并不足以及时的发现网站潜在的安全问题。第三方平台对网站漏洞的收集和报告,对于正规的备案网站来说尤为重要。 裴智勇博士介绍,2015年,“数据驱动安全”的全新技术理念正在逐步取代传统的被动防御、静态防御、孤立防御的技术理念,成为广泛认可的重要的网络安全发展趋势,并且已经取得了一系列的重要成果。威胁情报将是未来一两年内,最具发展潜力的新兴安全服务技术。人工智能、机器学习以及大数据可视化等一系列新兴的网络安全技术,将成为网络安全企业竞争力的核心体现。 |
