2003年上半年互联网安全威胁分析

2003年9月赛门铁克发布了最新的《互联网安全威胁报告》，介绍了最近6个月内有关互联网威胁的活动情况。报告中包括基于网络的攻击趋势、已知漏洞的回顾和恶意代码的攻击趋势。根据报告分析，全球的病毒攻击数量继续上升，病毒本身变得越来越复杂而且更有针对性，传播速度也日益迅速。

整体攻击趋势

· 攻击来源

上半年的数据统计显示，全球80%的攻击事件是来自排名前10位的攻击来源地。

· 攻击的严重程度

今年1至6月，平均每个企业每周大概遭到38次恶意攻击，而去年同期是32次。不过分析也发现，企业遭受严重攻击的比例出现较大幅度下降，从去年上半年的23%降至今年同期的11%。报告认为此趋势反映了客户安全策略的总体增强。

· 对非公共服务的威胁增加

排名前10的扫描活动大多以非公共服务为目标，例如，Microsoft SQL和文件共享等。攻击通过利用家庭和企业内部网络的常用网络服务，使得潜在受害者的数量大大增加。这一趋势强调了要将安全策略和控制扩展到非公共系统。

漏洞趋势

今年上半年，总体威胁仍然很严重。攻击者不断查找新漏洞，互联网组织所面临的风险增大。

· 漏洞总数

在2003年的前6个月中，赛门铁克公司发现了1432个新漏洞，比去年同期增加了12%。

· 漏洞的严重程度

在2003年上半年，中、高级威胁度的漏洞是最常见的。与2002年同期相比，中度威胁的新漏洞数增加了21%，高级威胁的漏洞数增加了6%，而低度威胁的漏洞数实际下降了11%。此趋势主要是因为漏洞的远程可利用性增加，在新发现的漏洞中有80%可以被远程利用发动攻击。

· 漏洞更容易被利用

在2003年上半年发现的漏洞比在2002年上半年发现的漏洞更易于被利用发动攻击。这一趋势正是由于媒体对漏洞的曝光率增加、义务披露漏洞的势头越来越大，以及Web漏洞的急剧增加。

· 漏洞选择优先级

在最新发布的报告中，赛门铁克首次分析了攻击者选择漏洞的优先级。分析表明，在 2003 年上半年，攻击者着重针对较新的漏洞发起攻击。在新出现的病毒恶意攻击事件中，有64%的攻击事件针对的是在不到一年时间内识别出的安全漏洞，39%针对的是最近半年中发现的安全漏洞，而过去的大多数病毒都是针对已发现2年以上的安全漏洞发起攻击。分析也发现，从识别出网络安全漏洞到电脑病毒爆发的时间间隔正大幅度缩短。今年下半年流行的“冲击波”病毒印证了这一点，在微软公司宣布发现“视窗”操作系统新漏洞后仅26天，该病毒就大规模发作。

· 新漏洞趋势

　　图1 新攻击所针对的漏洞按漏洞出现时间的分布情况

　　（2003年1月1日～2003年6月30日）

（1）整型错误漏洞。在2003年上半年中，赛门铁克安全分析员发现因整型错误（整型错误是由于无法正确处理数据类型为整型的变量而导致的一种程序缺陷）而导致的漏洞数增加了。近6个月中，赛门铁克公司发现了19个整型错误漏洞，而2002 年上半年只有3个。这种漏洞数量的急剧上升将会对大中型组织造成重大威胁，因为这样的错误很普遍，而且其严重程度很高。

（2）定时分析和旁道漏洞。赛门铁克安全分析员发现在2003年的上半年，定时分析（定时分析是一种旁道攻击，通常针对系统实现中的弱点而不是其设计中的弱点）漏洞的数目突然增加。虽然这些弱点漏洞是不常见的，在2003年上半年赛门铁克仅发现了4个，但是其严重程度之高使它们成为未来值得关注的焦点。

（3）微软Internet Explorer漏洞。由于微软Internet Explorer 占有很高的市场份额，再加上出现了一些漏洞，这使得它越来越容易受到攻击。在2003年上半年，赛门铁克发现了十几个影响各种版本微软Internet Explorer的新漏洞。其中几个漏洞使攻击者可以通过包含嵌入式恶意代码的网页来破坏客户端系统的安全，而其他漏洞使攻击者可以在几乎检测不到的情况下轻松地安装间谍软件。

（4）Microsoft IIS 漏洞。Microsoft IIS是全世界部署最广泛的 Web 服务器之一。在2003年上半年，赛门铁克还发现了几个漏洞，其中有几个漏洞的特征使其非常可能成为未来混合型威胁攻击目标。

恶意代码趋势

恶意代码给企业和个人安全带来的危险日益增加。管理人员和家庭用户必须立即实施用于维护防病毒和补丁程序管理解决方案的安全经验。

· 混合威胁

今年上半年网络安全面临的最大威胁仍是混合威胁（混合威胁是将病毒、蠕虫、特洛伊木马和恶意代码的特征与服务器和互联网漏洞结合起来，以便发起、传播和扩散攻击）。据统计，今年头6个月的混合威胁数量上升了20%，在所有恶意攻击中所占比例达到60%。报告同时指出混合威胁传播速度也明显加快，2003年上半年发现的“监狱”蠕虫病毒短短几小时内其危害就波及到了全球。

· Windows 32恶意代码的复杂程度增加。随着微软Windows扩展其安装的基础，Win32威胁也相应地增加。这些威胁是通过使用Win32应用程序接口(API)来运行的可执行文件，它们至少可以在一种Win32平台上运行。除了它们不断增加的数量外，Win32攻击中恶意代码的复杂程度也在提高。

· Linux系统可能成为未来攻击的目标。1998年，赛门铁克观察到第一例成功的Linux蠕虫Linux.ADM.Worm，它利用了广为人知的漏洞并危及到许多系统的安全。2002年9月出现了Linux.Slapper蠕虫，以各种版本的Linux操作环境中的Apache Web服务器为目标。虽然赛门铁克自Slapper后未曾观察到大规模的Linux蠕虫爆发，但赛门铁克安全分析员仍对新近开发的、基于zoo的几种复杂Linux病毒和蠕虫予以了高度的关注。

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<