面对愈加专业化的恶意攻击，人们希望可以获取更加有效的安全防御方法、安全防护产品。殊不知，恶意攻击许多时候是利用了人们的安全防护盲点从而轻松发起。人们在利用各类新型IT技术应对汹涌而来的恶意攻击，而回首之间，那一个个若隐若现的安全盲点却在不断灼烧、腐蚀着坚固的安全防线，恶意攻击者随时能够趁虚而入，如何才能消除这些安全盲点?2015，安全的序幕才刚刚拉开。

　　“陈年”的漏洞攻击依然奏效

　　在惠普所发布的《2015年网络风险报告》里显示，常见的Windows漏洞、 Adobe Reader漏洞、Java漏洞、Office漏洞仍然被大量利用。其中最为典型的就是2010年被发现的Windows CVE-2010-2568 WindowsShell LNK快捷方式文件处理漏洞，微软早已推出了针对这个漏洞的安全补丁，可实际情况却是还有大量Windows系统没有打上相应补丁。漏洞依旧，黑客自然笑纳。

　　明明已经有了安全补丁，漏洞为什么还是不能被封堵?有些企业(银行、证券等)的业务系统无法任意中断，而许多补丁在安装后都需要重新启动系统，这会给企业业务带来巨大压力，为了保障业务的顺畅运转安全补丁就被有意无意中“忽视”了。另外，有些应用是基于某个版本的操作系统开发而成，如果系统安装了安全补丁，意味着需要测试应用是否能够在新版系统上正常运行，这就给开发者增加了不小的工作量。还有些管理人员认为有漏洞的系统处于非关键环节，是否打补丁不会影响整体安全。看起来，有了补丁还不够，如何打好补丁更是个大问题。网络安全人员应采用全面的补丁策略以保证系统实时获得最新防护。

　　错误配置背后的安全危机

　　知道么，系统配置错误可不仅仅是系统无法正常运行而已，错误配置的背后是恶意攻击者轻松愉快的入侵。例如Web server的配置错误就会使得针对网站发起的攻击变得更加容易，服务器配置错误在2014年安全问题清单上占据了主导地位。许多时候系统、设备在使用过程中一直是缺省配置(比如家用路由器的缺省登录密码是“admin”)，而这些配置是众所周知的，也就是说恶意攻击者完全能够利用缺省配置、默认密码十分轻松的进入企业内部网络。有些手机端应用软件会对用户账号、密码进行默认存储，而这也给用户的隐私信息带来了泄漏危机。Cookie的安全问题、系统信息的泄漏、隐私违规、跨框架脚本等等，都会让恶意攻击者有机可乘。实际上，当今企业面临的常见安全问题不是代码错误，而更多的是服务器配置错误。

　　新IT技术环境下的坏习惯

　　云计算、移动化、大数据等新IT技术在加速互联网化的发展，可随着一些源自于PC时代的 “坏习惯”被开发者们带过来，新的安全问题随之产生。看看自己智能手机上的APP应用吧，数据显示，移动应用代码所存在的安全问题比Web应用高出一倍有余。移动应用开发者大多是从传统PC应用开发上直接转型而来，但移动环境下的应用开发有许多需要特殊注意的安全问题，而开发者们对此却毫不知情。

　　另外，移动应用开发者往往会重复传统应用开发中已知的错误。开发者在PC上编写Web应用代码过程中，有时会直接调用系统自带的输入法，如果系统自动输入法被恶意攻击者所控制，那么Web应用就面临数据泄漏的危险。而这一调用系统自带输入法的习惯往往被开发者带到了移动应用的开发中，一个坏习惯给恶意攻击者打开了一道入侵的大门。

　　移动互联、物联网“带来”新攻击

　　现在许多所谓的智能家电在加入“智能”功能的时候，往往并没有考虑到安全问题：一部智能空调很可能就是恶意攻击的入口;当一台智能冰箱被黑客控制后，黑客能够通过其任意访问家庭网络内PC设备里的数据文件，因为人们不会对智能冰箱设置“访问权限”。

　　移动互联、物联网等新技术正在“带来”新型攻击与安全挑战。例如，物联网以及家庭网络的终端往往可以无限制的尝试输入账号密码，即便一直错误也不会有任何限制措施，或者警告、锁定账号等安全机制。而其中许多采用4位、6位纯数字密码机制的设备，更面临被秒破的危险。在新互联网环境下，隐私漏洞、授权漏洞、基于云的网络接口漏洞、软件固件更新漏洞、移动应用接口漏洞需要格外引起人们的重视。

　　面对“大安全”时代的思考

　　从智能手机、智能手表到智能电视、冰箱、洗衣机、空调……互联网、移动互联网、处理器芯片正在延伸、出现在越来越多的领域与物品里，而出于便捷等方面的考虑，传统网络里的协议、规则等也得以延续，这意味着相关的安全隐患也被“带”到了新的领域，安全似乎正在进入一个“大安全”时代。

　　安全行业发展越来越快，人们对于网络的依赖也愈加强烈，网络化的社会很可能将不仅仅存在于于科幻电影里，但真正懂安全的专业人员依然十分匮乏。这里“真正懂安全的人”不仅仅是安全专业人员，懂得安全开发的人员、从安全角度审视IT架构的人员等等也都十分缺少。面对“大安全”时代，安全人才的短板需要尽快予以弥补。

　　如今，许多安全威胁都是由于流程所造成的，安全防护措施由于给业务“让路”，反倒给恶意入侵者带来了“便利”。那么未来的安全将不仅仅是产品化的安全，因为产品始终会被恶意攻击者绕过，但“智能”是对抗恶意攻击最有效的利刃，智能化的安全产品、安全解决方案能够有效发现各类安全隐患与潜藏的恶意威胁。

　　面对新安全发展态势，惠普企业安全产品北亚区总经理姚翔先生提出，跨行业的合作可以帮助确定解决新型安全漏洞的统一标准和最佳方法，并在设计时就把安全考虑在内，从根源上杜绝隐患的存在。而消费者要做好自己的守护者，加强安全意识与安全操作，并创造对更安全产品的市场需求。

　　面对恶意攻击，不要单纯依赖传统的安全防御系统，“牢记你的组织存在于一个更大的世界中，并且受到外界因素的影响”。所以在遭遇入侵时，要了解不是所有信息和网络资产都是平等的，让安全和响应成为常态，并注重获取可信、可靠的安全情报。

　　责任编辑：小燕编辑