IBM于今年2月公布了其2008年度X-Force安全趨勢與風險報告，結果顯示企業(yè)正無意間將自己的客戶置于受到網(wǎng)絡攻擊的危險境地。隨著利用合法的企業(yè)網(wǎng)站向客戶發(fā)動的攻擊以驚人的速度激增，網(wǎng)絡犯罪者正在利用企業(yè)來攻擊其客戶，從而不斷竊取客戶的個人數(shù)據(jù)。

　　新發(fā)布的X-Force報告指出了2008年犯罪者利用網(wǎng)站攻擊大眾的兩大趨勢。

　　首先，網(wǎng)站已成為企業(yè)IT安全的最薄弱環(huán)節(jié)。攻擊者重點攻擊網(wǎng)絡應用程序，以便能夠感染計算機終端。同時，企業(yè)使用的現(xiàn)成應用程序充滿漏洞，而他們定制的應用程序可能存在大量無法修補的未知漏洞。2008年發(fā)現(xiàn)的漏洞多半與網(wǎng)絡應用有關，其中超過74%的漏洞沒有補丁。因此，2008年初大規(guī)模出現(xiàn)的SQL自動化注入漏洞現(xiàn)在仍沒有減少。2008年夏季開始出現(xiàn)SQL注入攻擊，到2008年底攻擊數(shù)量飆升了30倍。

　　IBM互聯(lián)網(wǎng)安全系統(tǒng)X-Force研發(fā)運營經(jīng)理Kris Lamb表示：“這些攻擊自動啟動，其主要目的是欺騙網(wǎng)絡用戶，并將他們引向Web瀏覽器漏洞利用程序集。這種大規(guī)模的攻擊形式很古老、但目前依然存在。令人驚訝的是，SQL注入攻擊自首次發(fā)現(xiàn)至今已經(jīng)十年，由于沒有適當?shù)难a丁至今仍然很猖獗。網(wǎng)絡犯罪者之所以將目標鎖定企業(yè)，是因為任何訪問企業(yè)網(wǎng)站的用戶都可輕易成為攻擊目標�！�

　　IBM X-Force報告顯示的第二大趨勢是，盡管攻擊者繼續(xù)將瀏覽器和ActiveX控件作為破壞終端計算機的主要方式，但他們的重點正在轉向惡意影片（如Flash）和文件（如PDF）的新型漏洞。僅在2008年第四季度，IBM X-Force發(fā)現(xiàn)的包含漏洞的惡意網(wǎng)址的數(shù)量就比2007全年上升50%。垃圾郵件發(fā)送者也轉而利用知名網(wǎng)站擴大攻擊范圍。2008年下半年，在流行博客網(wǎng)站和新聞網(wǎng)站上包含垃圾信息的技術翻了一番。

　　X-Force報告的另一重大發(fā)現(xiàn)是，2008年披露的許多嚴重漏洞還沒有大量遭到利用。IBM X-Force認為，安全行業(yè)針對披露的漏洞可以選取不同的響應級別。響應級別目前是參考通用安全漏洞評分系統(tǒng)（CVSS）這一業(yè)界標準。漏洞的技術層面是CVSS關注的重點，包括漏洞的嚴重程度和被利用的容易程度。盡管這些因素都極其重要，然而安全行業(yè)還是忽視了計算機犯罪的首要動機是獲取經(jīng)濟機會。

　　Lamb說：“CVSS提供了安全行業(yè)衡量安全威脅的必要基礎。但我們也認識到，網(wǎng)絡犯罪者主要受經(jīng)濟利益驅使。他們在進攻前會衡量漏洞的經(jīng)濟機會和攻擊成本，這是我們應該全面了解的。安全行業(yè)如果能夠更好的理解計算機網(wǎng)絡犯罪者的動機，就可更準確地判斷哪些威脅會隨時發(fā)生，需要緊急修復漏洞；哪些漏洞攻擊需要較長時間才會大規(guī)模出現(xiàn)，哪些漏洞攻擊則可能永遠不會出現(xiàn)。對漏洞進行這樣的分析可以幫助我們更有效地利用時間和資源�！�

　　X-Force自1997年以來一直對安全漏洞進行分類、分析和研究，已對近4萬個安全漏洞進行了分類，擁有世界上最大的漏洞數(shù)據(jù)庫。X-Force研究人員通過這一龐大數(shù)據(jù)庫了解漏洞被發(fā)現(xiàn)和被傳播的規(guī)律。

　　IBM的新版X-Force報告還表明：

　　2008年是發(fā)現(xiàn)漏洞最多的一年，比2007年增加了13.5%。

　　在2008年底，全年發(fā)現(xiàn)的漏洞中53%沒有廠商提供的補丁。此外，到2008年底，2006年出現(xiàn)的46%的漏洞以及2007年出現(xiàn)的44%的漏洞依然無可用補丁。

　　2008年，McColo的關閉大大打擊了垃圾郵件。垃圾郵件的數(shù)量和類型以及頻繁發(fā)送垃圾郵件的國家數(shù)量都有所減少。

　　在McColo關閉前的許多年內(nèi)，美國一直是最大垃圾郵件發(fā)送國。在McColo關閉后中國成為最大垃圾郵件發(fā)送國，但是到年底被巴西取而代之。

　　2008年，垃圾郵件主要發(fā)送國包括：俄羅斯，占12%；美國，占9.6%；土耳其，占7.8%。然而，垃圾郵件起源地并不一定與垃圾郵件發(fā)送者居住地有關。

　　2008年，中國首次超過美國成為托管惡意網(wǎng)站最多的國家。

　　網(wǎng)絡釣客繼續(xù)攻擊金融機構。近90%的網(wǎng)絡釣客攻擊目標是金融機構，而攻擊目標大部分位于北美地區(qū)。

　　在2008年的所有惡意軟件中，46%是以網(wǎng)上游戲和網(wǎng)上銀行用戶為攻擊目標的木馬病毒。X-Force報告預測，這些特定用戶群可能仍是2009年的攻擊目標。

　　IBM主張企業(yè)通過分級和預先防范的安全措施保護其知識產(chǎn)權及客戶數(shù)據(jù)。IBM互聯(lián)網(wǎng)安全系統(tǒng)開發(fā)了市場上領先的產(chǎn)品及服務，以幫助客戶應對不斷升級的安全威脅，同時降低實現(xiàn)IT安全的成本和復雜性。

　　IBM是全球領先的風險與安全解決方案提供商。全球范圍內(nèi)的客戶與IBM開展合作，旨在幫助降低安全措施的復雜性，希望能夠從戰(zhàn)略角度管理風險。從專項研究、軟件、硬件、服務到全球業(yè)務合作伙伴價值，IBM在風險和安全解決方案領域所累積的經(jīng)驗和涉及的范圍是其他企業(yè)無可企及的。因此，IBM能夠幫助客戶在整個企業(yè)范圍內(nèi)實施集成的風險管理計劃，確�？蛻舻臉I(yè)務運營安全。