2015年第一季度X-Force威胁情报报告解读

4月29日，在第二届首都网络安全日的网络安全高峰论坛之网络可信体系保障国家网络安全分论坛上，IBM安全事业部大中华区售前技术经理张红卫做了题为《2015年第一季度X-Force威胁情报报告》的主题演讲，带领大家探究最新安全趋势。

IBM X-Force研究和研发

IBM X-Force研究和开发团队研究和监控最新的威胁趋势，包括漏洞、漏洞利用、主动攻击、病毒以及其他恶意软件、垃圾邮件、网络钓鱼和恶意Web内容。除了向客户和公众发布有关新出现的威胁和致命威胁的信息。它还提供安全内容来帮助保护IBM客户不受这些威胁的侵害。

IBM X-Force的使命：

◆监控和评估瞬息万变的威胁局势;

◆研究新攻击技术，针对未来的安全挑战制定保护方案;

◆培训客户和一般公众;

◆集成和分发威胁保护和情报，使IBM解决方案更智能。

IBM X-Force监控和分析不断变化的威胁局势

IBM X-Force覆盖范围：

超过两万给合同设备;每天管理超过150亿个设备;133个受监控国家/地区(MSS);超过3000项安全相关专利;超过2.7亿个断电报告恶意软件。

IBM X-Force深度：

分析超过250亿个网页和图像;每天超过1200万垃圾邮件和网络钓鱼攻击;记录的漏洞超过9.6万;超过86万个恶意IP地址;数百万个独特的恶意软件样本。

2015年第一季度X-Force威胁情报报告

1、2014年安全事件综述

根据X-Force按照攻击类型和时间、影响对安全事件进行跟踪取样，我们可以看到如下趋势：

2012年，几乎每天都会发生敏感数据信息泄露，报告的数据泄露和事件增加了40%。

2013年，持续使用多种方法攻击，泄露报告超过800,000,000份，而且未来没有任何改变的迹象。

2014年，数不清的记录遭入侵。42%的CISO声称外部威胁风险相较于前几年大大增加。

经调查发现，83%的CISO表示，在过去的三年中，外部威胁带来的挑战有所增加。

​​

​​

另外，单纯从数量上而言，2014年的被入侵记录总数较2013年增加了近25%。下图，从某一角度展示了10亿或更多记录泄露与人口规模相比可能会是什么样子。虽然每个被入侵记录不一定表示一个用户，但2014年仍然可能有相当比例的联网用户群体因安全事件承担某种形式的损失。 

#p#

2、2014年安全漏洞披露

2014年，最终共涌现出9,200个新的漏洞分配XFID，但漏洞总数可能超过30,000个。1996-2014年，漏洞披露逐年增长情况如下： 

​​

​​

以上这些数据，表明攻击者的入侵方式在升级，表明系统和安全实践基础存在令人不安的缺陷。

◆缺乏安全基础：最终用户密码重复使用;将默认密码保存到管理系统上;密码重置过程的提示问题不对。

◆基础漏洞：很多网站上流行同样的操作系统、开源库和CMS软件;根据2014年披露，若干此类系统和库存在漏洞。

◆数字世界的隐私性逐渐降低：由于密码较弱，云服务上存储的敏感照片发生泄漏;一家大型好莱坞工作室的私密电子邮件通信遭到公布。

2014年，我们首次遇到“设计程序漏洞”。通过分析下面这张图，我们可以看到，有的漏洞已经存在了十几二十几年之久，甚至Shellshock与GHOST的CVSS等级达到了10。稍加留意我们还会发现，这些漏洞都有自己的徽标，这说明漏洞早已发现，并没有及时曝出。 

3、2014年安全事件抽样分析

2014年，零售和计算机服务行业的入侵现象尤为突出。

​​

​​  

2014年，由于比许多国家/地区更严的法规披露及更高的知名网站托管率，美国仍是首选威胁目标。 

​​

​​ 

攻击者纷纷通过创造性的新方法应用基本攻击类型。最常见的攻击类型如下：

​​

​​

张红卫表示，近几年来，X-Force一直报告SQL注入(SQLi)攻击，认为这是从Web服务器和应用程序提取数据的一种有效方式。从历史上而言，人们曾一度将SQLi作为印发安全事件的主要原因。但2014年，根据X-Force的事件跟踪结果显示，恶意软件和DDoS攻击量在各种安全事件攻击类型中独占鳌头。#p#

4、Android版的Apache Cordova漏洞

Apache Cordova可让移动应用程序开发人员使用HTML5用作一项跨平台开发技术。据AppBrain发现，约有6%的安卓应用采用Cordova。另外，在攻击者很感兴趣的商业、医疗和金融应用程序中，Cordova的使用比例为12%。

2014年7月，X-Force在Android版的Cordova中发现了一系列漏洞。经过对基于Cordova的不同类别的安卓应用的跟踪，最初发现可利用其中91%的应用程序。开发人员对Cordova漏洞披露的响应如下图所示：

​​

​​

注：Apache Cordova是一套设备API，允许移动应用的开发者使用JavaScript来访问本地设备的功能，比如摄像头、加速计。它可以与UI框架(如 jQuery Mobile或Dojo Mobile或Sencha Touch)等相结合使用，这些UI框架可以使用HTML、CSS和JavaScript开发智能手机应用。

最后，张红卫简单介绍了一下大型分布式恶意软件Citadel。并表示，无论在任何时间地点，平均有1/500的计算机收到Mad APT病毒的感染，大型分布式APT恶意软件的感染率如下图所示：