2014年实可谓是中国信息安全元年,这一年里信息与网络安全领域里发生了很多重大事件。最重要的莫过于2014年2月27日,中央网络安全和信息化领导小组宣告成立,习近平担任组长。这个事件标志安全已经上升到国家战略高度。这也让每一位中国安全行业的从业者,看到安全产业蓬勃发展的美好前景。
从另一个角度上来说,对于安全行业来说,2014年又是不平静的一年。2014年高危漏洞频发。心脏滴血(Heartbleed)漏洞、BASH漏洞、POODLE漏洞等重大安全漏洞的曝光,震动了整个互联网,甚至有人称这些漏洞带给互联网的是一场灭顶之灾。
然而,互联网安全经过2014年的洗礼,非但没有“灭亡”,反而更加健康。再晴朗的天空也总可能会有那么一丝阴霾,尽管挥之不去,但仍旧无法遮挡灿烂的阳光。
阿里云安全团队在2014年底收集和整理了去年一年曝光的安全漏洞,从数千个漏洞中评选出“影响2014年互联网的十大安全漏洞”,与大家分享。
漏洞总结
1、2014年CVE漏洞分布
从上图来看,2014年曝出的安全漏洞中,敏感信息泄露类漏洞数量最多,超过了2000个,这说明黑客对用户信息的关注,侵犯了用户信息的隐私性。拒绝服务类(DoS)漏洞数量紧跟其后,超过了1500个。通过拒绝服务攻击,可以破坏业务的可用性和稳定性。此外,远程代码执行漏洞数量也非常多。
2、CVE漏洞总数趋势
从上图来看,2014年曝出的安全漏洞,从数量上创造了一个历史之最。很难说这是一个好或是不好的结果。好的一方面是安全越来越被重视,漏洞不断挖掘和曝光出来,而漏洞的不断修复可以很大程度上提升系统的安全性;不好的一方面是安全威胁的形势越来越严峻,随着漏洞数量的增加,特别对于企业来说,安全维护团队的压力越来越大。一个新漏洞被曝光,如果不能在第一时间尽快修复这个漏洞,很可能就会失去与黑客攻防大战的先机,处于被动的地位。
面对如此严峻的漏洞威胁形势,云计算用户和云服务提供商的安全团队必须是一个防护整体,能否在第一时间获得漏洞的预警,能否在第一时间完成云平台防护系统有效防御部署,是对这个防护整体的挑战。
2014年十大安全漏洞
2014年十大安全漏洞如下,排名不分先后:
1、Heartbleed漏洞
【CVE编号】
CVE-2014-0160
【漏洞发现时间】
2014年4月份
【漏洞描述】
在OpenSSL 1.0.1 before 1.0.1g中的TLS和DTLS实现中,由于不能正确处理心跳扩展包,导致允许远程攻击者通过触发缓冲区的包获得进程内存的敏感信息。
【漏洞危害】
导致服务器私钥以及泄露会话Session、cookie、账号密码等敏感信息。