你知道吗，已知的大量攻击针对的都是几年前就已经存在的安全漏洞。因此，企业不仅要时刻注意新出现的安全威胁，而且要采取必要的最基本的安全策略和措施，尽量避免已知漏洞带来的安全威胁。惠普近日发布了《2015年网络风险报告》。惠普安全调查部门每年都会针对企业用户进行安全调查，并发布这样一本报告。

《2015年网络风险报告》反映出一个核心问题：人们熟知的问题和错误配置是2014年最可怕的安全威胁。

打补丁不可少

现在，黑客并不是一找到安全漏洞就直接攻破并获得利益，而是找到漏洞后便“潜伏”下来，以控制为目的，抓住漏洞反复利用，以便长期获利。

“现在的黑客攻击不再以致系统崩溃为主要目的，而是长期攻击漏洞。”惠普公司企业安全产品北亚区总经理姚翔举例说，“这就像是小偷拿到了房间的钥匙，偷窃后不露任何痕迹，以后可以想来就来。这就叫以控制为目的。”

惠普《2015年网络风险报告》显示，44%的已知攻击是针对2～4年前就已经存在的漏洞。攻击者继续利用广为人知的技术成功入侵系统和网络。2014年出现的十大漏洞都利用了几年前甚至几十年前编写的代码。对此，姚翔表示：“很多大的安全风险问题我们几十年前就已经知道。这些问题让企业面临着不必要的风险。我们不能因为信任新技术而忽视了对这些已知漏洞的防御。企业必须采用基本的安全策略应对已知漏洞，从而消除大量的风险。”

安全问题无处不在。正因为如此，很多企业会忽略已经成为“常态”的安全问题。比如，常见的攻击仍然奏效。这是指黑客利用最简单的方式或技术手段进行安全攻击，而且屡屡奏效。《2015年网络风险报告》发现，目前应用最普及的Windows操作系统中的一个漏洞产生于2010年。通常情况下，当企业发现这一漏洞后的1～2周内就会打补丁。但是5年过去了，这个漏洞仍然存在，并成为攻击的目标。对于黑客来说，他们现在实施的攻击行为是一项做了五年的熟练工作，如果哪个企业没能有效处置这个安全漏洞，那么黑客的攻击就可能奏效。

《2015年网络风险报告》发现，在现存的高危漏洞中，大量漏洞是三年前就已知的。其实，防护这样的漏洞是一件非常简单的事，打个补丁而已。但是很多企业用户对这样的安全漏洞视而不见。对黑客来说，他们似乎并不需要利用最新的攻击技术，只要找到已有的漏洞就可以轻松获益了。对于《2015年网络风险报告》反映的上述情况，姚翔也很意外。

既然弥补安全漏洞只是打个补丁这么简单，为什么很多企业却没有做呢？

姚翔分析说可能有以下三方面原因： 第一，由于工作太忙，有些系统管理员会忽视像打补丁这样的简单工作；第二，打补丁或对系统进行升级，可能要中断业务系统，这是许多要保证业务7×24小时持续运行的企业不愿意做的事；第三，有些应用是基于特定的底层架构和操作系统开发的，如果给操作系统打补丁，可能会出现与上层应用软件不兼容的情况，这也是一些企业不愿意经常给系统打补丁的重要原因。

“当系统运维人员将打补丁或升级系统的要求提交给开发人员时，有时会被开发人员拒绝。打补丁或升级系统就要对应用环境进行测试，这会占用开发人员的时间，而开发人员可能每天加班加点都完不成新业务或新功能上线的任务，所以总会把安全的事往后放，先满足业务的需求。”姚翔分析说，“网络安全人员应该采取全面的补丁策略，以保证系统实时获得最新的保护。”

配置错误不可小觑

惠普《2015年网络风险报告》反映出的另一个重要问题是，服务器配置错误是最常见的漏洞。除了隐私和Cookie安全问题等漏洞以外，服务器配置错误是2014年暴露出的安全问题中十分突出的一类问题。它让攻击者可以轻易潜入系统访问文件，并导致企业受到攻击。

今年2月，国内某知名监控设备厂商被曝光，其视频监控产品存在严重安全隐患，部分设备已经被境外IP地址控制。据说，导致这次安全事件的原因是这家厂商销售的摄像头没有修改初始密码。

企业上线一个业务系统通常要对服务器进行配置，这是一项必须完成的任务。配置错误会产生大量安全漏洞。在企业中，Web服务器是最容易受到攻击的，因为它的应用非常普及。

Web服务器的配置涉及一些比较专业的技术问题，姚翔举了一个更通俗的例子：“很多人家里可能都有无线路由器，这些无线路由器在出厂时通常有一个缺省的密码。有多少人会修改这个缺省的密码？黑客很可能通过无线路由器的缺省密码进行攻击。在企业中，大约70%～80%的系统配置是有问题的，但是使用者没有发现。”

Cookie也是安全漏洞多发地。有些人在上网时怕麻烦，不愿意每次都输入密码，而是将用户名和密码都保存在本地的浏览器中。这样做虽然方便上网，但是如果企业没有对网站进行完整的防护，那么黑客很容易通过Cookie找到漏洞并实施攻击。“系统信息的泄漏也是一个比较严重的安全隐患。所谓系统信息泄漏，是指外界发起一个访问，询问服务器的版本号是什么，如果在服务器端没有完全的保护措施，服务器便会毫无保留地提供服务器版本号、数据库版本号等信息。而这些信息很容易被黑客反复利用。”姚翔介绍说，“这些问题提醒我们，无论是在企业内部还是外部，都要对系统配置进行定期的渗透测试和验证，在攻击者利用配置错误之前发现并解决问题。”

动态安全防护

随着物联网市场的快速发展，摄像头、可穿戴设备等变得越来越普及。Gartner预测，2015年将有49亿台物联网设备投入使用，比2014年增加30%，并带来新的安全问题。而在2020年将达到250亿台。惠普的调查显示，远程监控所需的网络连接和访问带来了更多的安全问题。

互联设备的增加带来了更多可以让黑客实施攻击的路径。“除了物联网设备带来的安全问题以外，2014年，移动恶意软件的水平也有所提高。随着计算生态系统的不断扩展，企业如果不充分考虑安全的问题，攻击者将有更多入侵的机会。”姚翔表示。

从传统的互联网到移动互联网，再到家庭的智能网络，网络的延伸也让安全问题渗透到人们的工作、生活中，而且变得更加复杂。姚翔表示：“人们对互联网的依赖越来越严重，而且把大量数据‘放心地交给互联网，但在互联网安全防护方面，还有很多空白要去弥补。不管未来安全技术走向何方，‘人都是其中非常重要的因素。”

从去年开始，惠普加强了与高校的合作，推出了一些针对信息安全的教育计划，目的是培养更多的信息安全专业人才，弥补市场上信息安全人员的缺口。由于信息安全涉及的技术门类和领域非常广泛，真正懂信息安全的人不仅要了解主机、网络，还要懂技术开发，甚至是整个IT架构的设计。“很多人只是看到了信息安全的‘冰山一角，而不能看到水下的整个冰山。”姚翔表示，“为确保信息安全，企业应该从整体上进行设计和部署，建立完善的信息防护体系，即使是一些细枝末节也不能轻易放过。”

另外，信息安全与企业的业务流程相关。企业如果没有建立一个规范、严格的业务流程，新的移动应用不经过安全测试就上线，或在发现安全漏洞时不及时打补丁，就容易给黑客可乘之机。

从安全产品的角度看，面对那些新出现的安全威胁，以前那种功能单一的安全产品已经不再适用。安全技术在不断进步，而黑客也在随时研究新技术，想方设法绕过企业的安全防护层。在这种情况下，企业只有把安全产品进行整合，并赋予它更多的智能，才能进行更有效的防护。

姚翔表示：“随着物联网等新技术的兴起，企业需要了解新的攻击渠道，以防备潜在的安全漏洞被利用。另外，企业应始终保持居安思危的心态。世界上没有100%安全的解决方案，防御系统应采用补充式、分层式的安全策略，以实现更佳的防御。”