2012年4月，惠普公司發布了《2011年主要網絡安全風險報告》，報告發現最新披露的商業應用漏洞的數量雖然在減少，但企業網絡面臨的威脅卻一直在增加……

這份網絡安全風險報告由：HP Fortify Web安全研究小組、HP Fortify on Demand、HP DVLabs數字疫苗實驗室、ZDI、開源漏洞數據庫等多個部門和機構的數據組成。對業界有一定的參考價值。 

一般來說，每年披露的漏洞數量反映了當年安全行業的狀況并能幫助組織機構確定防御措施的優先級別。但根據《2011年主要網絡安全風險報告》，單純的漏洞數量已不再能有效反映安全風險的狀況。太多的隱形因素，在影響著企業面臨的網絡安全風險……

安全漏洞減少為何威脅還在增加？

在惠普的報告中發現，2011年漏洞數量比2010年減少了20%，并且從2006年開始，商業應用中披露的漏洞數量持續地減少。

黑客和網絡利益群體認為已知漏洞已經能滿足他們賺取經濟利益或達到目標，而不需要尋找新的漏洞，因為企業對安全的重視程度還不夠高。雖然漏洞數量減少，但漏洞嚴重性卻在增加。因為高危漏洞從2001年的7%增加到2011年的24%，意味著在四個安全漏洞里面，就有一個是高危漏洞。

按照以往的經驗，漏洞的數量往往直接反映著業界安全風險的等級。數量多，則安全風險高，數量少，則安全風險較低?？蛇@2011年以來，被披露的安全漏洞減少了威脅卻還在增加？

惠普公司企業安全產品部門北亞區總經理姚翔指出，第一、對于那些已知漏洞，作為廠商也好，客戶也罷，都沒有做到已知漏洞的保護，或者沒有保護全。

第二，黑客和網絡利益群體認為已知漏洞已經能滿足他們賺取經濟利益或達到他們的目標，他們不需要找新的漏洞，因為大家對整個安全的重視程度還不夠高。這就是業界的問題。

哪些應用存在漏洞？

作為惠普旗下的一個知名漏洞機構，ZDI公布了2011年業界10大漏洞。

2011年，在新披露的商業應用漏洞中有近24%的嚴重性評級為8-10。這些漏洞可造成遠程代碼執行，是最危險的一類攻擊。所有漏洞中約有36%存在于商業網絡應用中。約有86%的網絡應用容易遭遇注入式攻擊，這使黑客能通過網站訪問企業內部數據庫。

[[89073]]

惠普公司企業安全產品部門北亞區總經理姚翔

除此之外，姚翔先生還提醒大家不要忽視那些企業的定制軟件安全，那些軟件的漏洞數量也同樣不容小覷，如網銀一類。一旦被黑客挖掘到漏洞，威脅會相當大。

惠普的安全主張？

談了這么多的威脅，惠普到底怎么樣解決？不能光談癥狀和毛病，最后總得開方子。

姚翔先生道：“第一是HP Fortify，可以做安全代碼分析，第二是滲透測試。滲透測試就是模擬攻擊，網站搭建好了以后，我模擬100種攻擊方式，看哪種是無效的，哪種是有效的，這對用戶來說非常有用。

另外，HP TippingPoint可以做到主動將攻擊攔截在系統之外；ArcSight可以做更深入的分析……”