2014年實(shí)可謂是中國信息安全元年,這一年里信息與網(wǎng)絡(luò )安全領(lǐng)域里發(fā)生了很多重大事件。最重要的莫過(guò)于2014年2月27日,中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組宣告成立,習近平擔任組長(cháng)。這個(gè)事件標志安全已經(jīng)上升到國家戰略高度。這也讓每一位中國安全行業(yè)的從業(yè)者,看到安全產(chǎn)業(yè)蓬勃發(fā)展的美好前景。
從另一個(gè)角度上來(lái)說(shuō),對于安全行業(yè)來(lái)說(shuō),2014年又是不平靜的一年。2014年高危漏洞頻發(fā)。心臟滴血(Heartbleed)漏洞、BASH漏洞、POODLE漏洞等重大安全漏洞的曝光,震動(dòng)了整個(gè)互聯(lián)網(wǎng),甚至有人稱(chēng)這些漏洞帶給互聯(lián)網(wǎng)的是一場(chǎng)滅頂之災。
然而,互聯(lián)網(wǎng)安全經(jīng)過(guò)2014年的洗禮,非但沒(méi)有“滅亡”,反而更加健康。再晴朗的天空也總可能會(huì )有那么一絲陰霾,盡管揮之不去,但仍舊無(wú)法遮擋燦爛的陽(yáng)光。
阿里云安全團隊在2014年底收集和整理了去年一年曝光的安全漏洞,從數千個(gè)漏洞中評選出“影響2014年互聯(lián)網(wǎng)的十大安全漏洞”,與大家分享。
漏洞總結
1、2014年CVE漏洞分布
從上圖來(lái)看,2014年曝出的安全漏洞中,敏感信息泄露類(lèi)漏洞數量最多,超過(guò)了2000個(gè),這說(shuō)明黑客對用戶(hù)信息的關(guān)注,侵犯了用戶(hù)信息的隱私性。拒絕服務(wù)類(lèi)(DoS)漏洞數量緊跟其后,超過(guò)了1500個(gè)。通過(guò)拒絕服務(wù)攻擊,可以破壞業(yè)務(wù)的可用性和穩定性。此外,遠程代碼執行漏洞數量也非常多。
2、CVE漏洞總數趨勢
從上圖來(lái)看,2014年曝出的安全漏洞,從數量上創(chuàng )造了一個(gè)歷史之最。很難說(shuō)這是一個(gè)好或是不好的結果。好的一方面是安全越來(lái)越被重視,漏洞不斷挖掘和曝光出來(lái),而漏洞的不斷修復可以很大程度上提升系統的安全性;不好的一方面是安全威脅的形勢越來(lái)越嚴峻,隨著(zhù)漏洞數量的增加,特別對于企業(yè)來(lái)說(shuō),安全維護團隊的壓力越來(lái)越大。一個(gè)新漏洞被曝光,如果不能在第一時(shí)間盡快修復這個(gè)漏洞,很可能就會(huì )失去與黑客攻防大戰的先機,處于被動(dòng)的地位。
面對如此嚴峻的漏洞威脅形勢,云計算用戶(hù)和云服務(wù)提供商的安全團隊必須是一個(gè)防護整體,能否在第一時(shí)間獲得漏洞的預警,能否在第一時(shí)間完成云平臺防護系統有效防御部署,是對這個(gè)防護整體的挑戰。
2014年十大安全漏洞
2014年十大安全漏洞如下,排名不分先后:
1、Heartbleed漏洞
【CVE編號】
CVE-2014-0160
【漏洞發(fā)現時(shí)間】
2014年4月份
【漏洞描述】
在OpenSSL 1.0.1 before 1.0.1g中的TLS和DTLS實(shí)現中,由于不能正確處理心跳擴展包,導致允許遠程攻擊者通過(guò)觸發(fā)緩沖區的包獲得進(jìn)程內存的敏感信息。
【漏洞危害】
導致服務(wù)器私鑰以及泄露會(huì )話(huà)Session、cookie、賬號密碼等敏感信息。
