據(jù)惠普網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告稱(chēng),代碼遺留下來(lái)的舊漏洞正日益成為企業(yè)的巨大風(fēng)險(xiǎn),原因是攻擊者更多地趨向于利用未打的補(bǔ)丁以及一些被遺忘的問(wèn)題進(jìn)行攻擊。
惠普的報(bào)告還重點(diǎn)提到谷歌和微軟在漏洞一事上的尷尬。谷歌在微軟向客戶(hù)發(fā)布修補(bǔ)程序前就將漏洞捅了出來(lái)。不過(guò),谷歌認(rèn)為,微軟的動(dòng)作有待加快。
例如,2014年10大漏洞中的7個(gè)全都是在2013年以前發(fā)現(xiàn)的。44%的泄漏問(wèn)題已經(jīng)有2?4年的歷史。服務(wù)器配置錯(cuò)誤是導(dǎo)致漏洞的頂級(jí)原因,編程錯(cuò)誤令企業(yè)大敞中門(mén)受到攻擊。
惠普企業(yè)安全產(chǎn)品部總經(jīng)理Art Gilliland在一份報(bào)告中表示:
我們的威脅研究和軟件安全研究團(tuán)隊(duì)的工作揭示,很多產(chǎn)品和程序中的漏洞有好幾年的歷史——少數(shù)情況下甚至有幾十年的歷史。很多大家熟知的攻擊仍然有效,是件令人不安的事,核心技術(shù)的配置錯(cuò)誤持續(xù)困擾各類(lèi)系統(tǒng),這些系統(tǒng)本應(yīng)更加穩(wěn)定和安全,但實(shí)際上卻不是這樣。換句話說(shuō),我們?nèi)匀淮诶蠁?wèn)題和一些熟知的毛病里,而安全世界已經(jīng)大步越過(guò)我們?cè)谙蚯鞍l(fā)展。
惠普信息圖的“一斑”很說(shuō)明問(wèn)題。
仍然待在老漏洞和老毛病里
其他要點(diǎn):
軟件即服務(wù)和中間件越來(lái)越多地經(jīng)由協(xié)議遭到攻擊,包括利用HTTP、簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(SOAP)和JSON等協(xié)議。
甲骨文公司已經(jīng)減低了Java漏洞的個(gè)數(shù)。該報(bào)告指,“甲骨文引入‘單擊播放’(Click to play)的安全措施,因而要執(zhí)行未簽名的Java更加困難。結(jié)果是,我們?cè)趷阂廛浖臻g沒(méi)有遇到任何嚴(yán)重的Java零日漏洞。很多Java漏洞是邏輯上或基于權(quán)限的問(wèn)題,攻擊成功率接近100%。2014年里,雖然沒(méi)有出現(xiàn)Java漏洞,但在其他方面我們還是目擊了成功率極高的漏洞。”
2014年里發(fā)現(xiàn)的漏洞里前10位里微軟IE瀏覽器和和Adobe Flash的漏洞最多。