【IT168 资讯】近日，微软公司发布了其第十版《安全信息报告》，其中凸显了犯罪活动的两极分化趋势，以及用来盗取消费者钱财的“营销式”方法和欺诈手段呈显著增加的势头。该报告聚焦2010年7月至12月，收集了全球6亿个系统上的数据分析。此份微软安全情报报告由Tim的团队负责管理。Tim Rains是微软可信赖计算(Trustworthy Computing)部门的产品总监。Tim和他的产品经理团队负责支持微软安全响应中心(MSRC)、微软恶意软件防护中心(MMPC)以及包括安全开发生命周期(SDL)和安全科学在内的微软安全工程中心(MSEC)。

　　Tim在微软先后担任多个职位，其中包括：微软安全响应高级公关经理、微软恶意软件防护中心高级产品经理、Windows网络诊断项目经理、产品支持服务(PSS)安全团队安全事故响应小组技术负责人、PSS Windows 服务器网络团队技术负责人。　　

▲微软可信赖计算部门产品总监Tim Rains

　　报告凸现了网络犯罪行为的分化。一方面，擅于创建漏洞攻击、并能通报攻击环境情报的高度复杂的犯罪分子寻求具有巨大回报的高价值目标。漏洞是软件存在的各种缺陷，攻击者会利用这些缺陷破坏该软件的完整性、可用性或保密性。某些最严重的漏洞可让攻击者在受到威胁的系统上运行任意代码(称为攻击)。通用漏洞评分系统 (CVSS) 是一个与平台无关的、对 IT 漏洞进行评级的标准评分系统。CVSS 根据漏洞的严重性为漏洞指定从 0 到 10 的分值，分值越高表明漏洞越严重。所披露的低级严重性漏洞数量从 2009 年的 190 个增至 2010 年的 277 个，增长了 45.8%。首要任务是减少最严重漏洞的数量，这是确保安全的最有效方法。分数在 9.9 或以上的高级严重性漏洞占 2010 年披露的所有漏洞数量的 5.5%，如图 3所示。这比 2009 年的 6.7% 有所下降。另一方面，一些使用更容易的攻击方式(包括社交网络技术策略以及利用更熟练的犯罪分子所创建的漏洞攻击)的犯罪分子则试图从广大普通用户那里骗取钱财。这些攻击方式包括：利用流氓软件，通过社交网络进行网络钓鱼，以及广告软件——其盛行程度在2010年都有所增加。

　　▲图 2006年到2010 年披露的Microsoft 产品和非Microsoft 产品的漏洞情况

　　2010 年披露的漏洞数量相比 2009 年减少了 17.1%。2010 年披露的 Microsoft 产品漏洞数量略有上升，但在过去一段时间里总体保持平稳状态。Microsoft 产品的漏洞数量占 2010 年披露的所有漏洞数量的 7.2%。相比 2009 年的 4.5%，该比例有所上升，主要原因是这一阶段披露的整个行业漏洞数量出现整体下滑。

　　▲图   2006年至2010 年按严重性披露的行业范围漏洞情况