思科的2014年度安全報告中指出:甲骨文公司的Java技術成為安全問題的主要來源。
根據思科最近的安全報告,在2013年,IT企業面對著各種各樣的網絡攻擊和風險。但是,沒有任何一項技術會遭到如此多的吐槽,除瞭Java。
思科的2014年度安全報告發現,Java占據瞭2013年所有安全問題91%的比例。
“在觀測到的網絡攻擊中,Java貢獻瞭大份額的負載值。”來自思科技術部門的技術主管萊維·貢德特向eWEEK(譯註:美國互聯網媒體)透露。
思科的安全威脅研究部門在安全威脅報告中披露瞭Java的相關數據,該部門在2013年被思科以27億美元收購。
貢德特說道:“我驚訝地發現,Java引發的網絡安全攻擊占據瞭91%的比例!其中有一些攻擊是利用瞭Java的‘零時差攻擊’(零時差攻擊,即安全補丁與瑕疵曝光的同一日內,相關的惡意程序就出現並對漏洞進行攻擊的一種形式)漏洞。當然,也有很大一部分則是利用瞭我們已經知道的Java漏洞。”
思科不是唯一一傢發現Java攻擊數量在2013年上升的企業。包括惠普和卡巴斯基實驗室在內的公司也發現Java攻擊在2013年激增。1月15日甲骨文再次推送Java更新,這次更新覆蓋瞭51個漏洞。
“2013年真是Java漏洞爆發的一年。”貢德特說。
貢德特還提到:“Java漏洞之所以爆發的如此激烈,跟人們不常更新有關。”
由於Java在各操作系統出色的兼容性,它受到許多企業和開發者的青睞。
“現在的挑戰在於,由於Java應用數量巨大,因此發佈更新並不是一件容易的事情。而且,補丁常常會破壞應用軟件的功能。”貢德特補充道。
“對於企業用戶,現存的挑戰並非像需要打補丁那麼簡單。”貢德特說。
然而,隻發佈補丁是不夠的。在2013年,我們就看到瞭許多起Java零時差攻擊事件的發生,這些漏洞甚至對美國勞工部造成瞭攻擊,一時間沒有可用的補丁。
除瞭不用或者禁用Java(這種選擇並不總適合企業用戶),貢德特給出瞭一些建議。最重要的是在用戶遇到攻擊之前,能夠對用戶行為進行相應的監控。
“舉例來說,用戶請求的web頁面有包括混淆的JavaScript嗎?用戶有因此被重定向到其他頁面嗎?”貢德特說道。
他解釋道:“大多數正規的網站不會使用隱藏的或者混淆的JavaScript。更不會在沒有取得用戶授權的情況下,將用戶定向到其他頁面。”
2013年總體趨勢
在思科的報告中,除瞭Java漏洞攻擊這一重點外,還指出瞭行業的其他一些關鍵數據。其中包括2014年網絡攻擊數量相較去年整體上升瞭14%。
更令人吃驚的是,在思科此次選取的30傢大型跨國企業中,他們都在2013年訪問過包含惡意軟件的網站。
貢德特說:“我很驚訝地看到,這一比例竟然高達100%,因此現在的問題不是企業會在何時出現安全漏洞,而是企業需要多長時間來意識並防范這一問題,並且進行漏洞修補。“
此外,在2013年,企業面對的另一個安全問題是人力資源問題。思科的報告闡述到,2014年安全領域專傢的需求量將突破100萬人次。
貢德特最後說道:“看著我們所經歷的安全威脅,2013年是慘淡的一年。不管你使用什麼工具,如果你沒有合適的員工在崗,那很難確保障信息安全。”
Orignal From: 思科:Java成91% 惡意攻擊的主要原因
留言列表
