IBM安全报告：上半年漏洞成长36%

IBM周三（8/25）发表其2010年X-Force年中趋势与风险报告，指出今年上半年IT产业总计公开揭露了4396个新安全漏洞，比去年上半年增加了36%，而且6月底前仍有55%的漏洞尚未被修补。

　　根据该报告，有一半以上的安全漏洞为网络应用程序漏洞，占了55%，LCD-32Z100AS但IBM认为这可能只是冰山的一角，不足以代表所有的网络应用程序漏洞，因为公开的漏洞揭露并未包含客制化的网络应用程序。

　　此外，有愈来愈多的攻击是藏匿在JavaScript及PDF中。报告指出，老练的黑客通常会寻找掩蔽以在不被传统安全工具侦测到的情况下进入企业网络，其中，JavaScript混淆攻击手法特别受到欢迎，LCD-46G100A 以把恶意程序藏匿在文件文件或网页上，调查发现今年上半年采用该手法的数量比去年增加了52%。

　　至于PDF文件也是颇受欢迎的攻击媒介。X-Force去年上半年的报告就显示以PDF为基础的攻击手法逐渐普及，并且在前五大浏览器攻击程序中囊括了3席，今年上半年最醒目的PDF攻击出现在4月，LCD-46Z660A IBM在该月所侦测到的PDF攻击行动比今年上半年的平均值多了37%，这些恶意的PDF文件多半用来散布Zeus及Pushdo僵尸程序。

　　另一方面，虽然金融机构仍是网钓攻击的目标，占所有网钓攻击的49%，LCD-46LE700A但调查显示今年的网钓攻击行动大幅减少，比去年同期少了82%。

　　报告提醒企业必须观察特定服务未来的安全威胁，包括新兴的云端运算及虚拟化。IBM认为，安全仍是企业考量是否采用云端运算的一项阻碍，建议任何想要转至云端的企业必须开始检验云端的安全性，应先理解云端运算的安全需求再选择服务供应商。

　　IBM也警告企业应留心虚拟化架构所引发的安全问题。LCD-46LX710A X-Force的漏洞资料显示，有35%影响服务器等级虚拟系统的漏洞同时也会影响hypervisor，这代表万一黑客掌控了虚拟系统，也可能掌控同一台机器上的其他系统。