热点:漏洞安全、云安全
2011年的互联网信息安全攻击事件,除了常见的针对操作系统的漏洞攻击,针对金融机构的钓鱼网站攻击之外、还包括以日本索尼千万级用户和国内CSDN超过600万用户密码泄露为代表的针对互联网用户的安全事件。这些安全事件的发生,其本质也离不开对各种安全漏洞或者是0day漏洞的依赖,这也为安全漏洞的挖掘分析提供了参考。2012年,以基础设施的漏洞安全、云安全、社交网络的信息泄露、移动智能终端的安全以及APT高持续性攻击为代表的关键词汇,将成为信息安全领域的研究热点。
1、基础设施安全漏洞
此类以微软和苹果为代表,涉及到操作系统、浏览器类等。这一部分基础设施类的应用程序研究重点有三大部分:
1)以微软为代表的操作系统类的产品安全漏洞:2011年微软共发布了接近100个安全补丁,修复的包括操作系统内核、Office系列办公软件、IE浏览器等近200多个安全漏洞;
2)非微软系的操作系统和浏览器安全漏洞:如Mozilla公司的Firefox、谷歌的chrome浏览器以及苹果的Safari等,这些浏览器已经占据超过40%的市场份额,是除微软之外另一个不可忽视的部分。2011年苹果公司也发布了数十个针对苹果MAC OS操作系统和Safari浏览器的安全漏洞,仅在2011年7月份就发布了多个针对Safari浏览器安全漏洞,如CVE-2011-0218/0221/0222/0225 /0233/0234等,通过这些安全漏洞容易诱使用户访问网页并被植入恶意代码;
3)以Oracle数据库及Adobe为代表的典型应用程序安全漏洞:仅在2011年第四季度,甲骨文就发布了57个Oracle关键补丁更新,涉及到多个Oracle数据库版本和中间件,其中有22个是远程登录漏洞,最高级别的补丁为Solaris操作系统更新,其一旦被黑客利用将造成数据库被远程控制的巨大危害。而黑客利用Adobe的flash安全漏洞,也成功的实施了影响巨大的RSA安全攻击事件。考虑到这些应用程序的基础设施类的定位,2012年这仍然是安全研究领域的重中之重。
2、云计算环境下的安全风险
无论是大型云计算服务商的公有云或是企业的私有云建设,云安全始终是整体建设方案中不可缺少的部分,尤其对于公有云服务而言,用户对于自身的数据在云中安全性的担忧正在阻碍云计算的发展。2012年,针对云计算环境下的三类安全风险,仍将继续存在并成为研究重点。
1)虚拟化软件厂商各种底层应用程序的安全漏洞。典型代表如VMware、Citrix和微软的虚拟化应用程序ESX/XEN/Hyper-V,这些应用程序的安全漏洞将影响到主机的安全,另外还包括以vCenter为代表的虚拟机管理程序,因为其覆盖了整个虚拟架构下的多个虚拟机管理,一旦其安全漏洞被利用将可能导致整个虚拟架构不能正常工作。2011年,VMware和微软都公告了多个安全漏洞,如VMware ESX的lsassd服务存在远程拒绝服务安全漏洞(CVE-2011-1786),vCenter Orchestrator存在远程代码执行漏洞(CVE-2010-1870)等;
2)承载在虚拟机之上的多种应用程序的安全漏洞。这些应用程序是云服务交付的核心组成,包括WEB前端的应用程序、各种中间件应用程序及数据库程序等。这些应用程序本身,即使在传统网络安全环境下,仍然会因为编程技术的缺陷而存在多个安全漏洞;在云计算环境下,这些安全漏洞仍然会继续存在,典型如各种WEB会话控制漏洞、会话劫持漏洞及各种注入攻击漏洞。同时为了适应或使用虚拟化环境下的各种API管理接口,也可能导致一些新的安全漏洞。2011年德国某大学爆出亚马逊WEB服务存在多个安全漏洞,攻击者通过XML签名封装攻击获取了很多客户帐号的管理员权限,从而可以随意创建或者删除客户的镜像文件,同时他们也发现亚马逊云服务存在多个XSS跨站脚本的安全漏洞。类似的问题在各大云计算服务商的环境中应该是普遍存在的;
3)用户身份认证授权管理系统的安全漏洞。在所有的云服务包括每个云服务的管理界面,都需要针对用户的身份管理、认证、授权和审计,确保“合法”的用户访问正确的服务器,在这种情况下,薄弱的用户验证机制,或者是单因素的用户密码验证很可能产生安全隐患。同时,针对公有云服务而言,按需的自助服务是其重要的特征,而这意味着云服务商需要提供一个自助服务管理门户,便于用户进行身份认证及访问权限管理。此时,认证管理系统本身的安全漏洞将导致各种未经授权的“合法“访问。一旦发生这种未经授权访问,黑客完全可以借助HTTPS加密等手段,逃避传统安全防护系统的检查,实现对用户后台数据的恶意访问。
网友评论