在思科日前公布的《2014年年度安全報(bào)告》(Cisco‘s 2014 Annual Security Report)中,思科將甲骨文旗下Java語(yǔ)言視為全球安全漏洞背后的最大黑手,Java目前已經(jīng)幾乎成為了所有有預(yù)謀網(wǎng)絡(luò)攻擊的最重要武器。。
思科在報(bào)告中指出,IT領(lǐng)域企業(yè)在2013年經(jīng)歷了大大小小的安全風(fēng)險(xiǎn)和攻擊,但沒(méi)有任何一種技術(shù)比Java更應(yīng)該得到人們的責(zé)備。據(jù)悉,在2013年全球所有形式的網(wǎng)絡(luò)入侵中,基于Java展開(kāi)的黑客攻擊就為其貢獻(xiàn)了高達(dá)91%的比例。
參與撰寫這份報(bào)告的威脅研究員、同時(shí)也是思科技術(shù)部門負(fù)責(zé)人的萊維-貢德特(Levi Gundert)認(rèn)為,Java目前已經(jīng)幾乎成為了所有有預(yù)謀網(wǎng)絡(luò)攻擊的最重要武器。
“我十分吃驚的發(fā)現(xiàn)基于Java展開(kāi)的黑客攻擊占到了2013年全球所有形式網(wǎng)絡(luò)入侵91%的比例。其中有一些攻擊是利用了Java的‘零時(shí)差攻擊’(zero-day attack,又叫零時(shí)差攻擊,即安全補(bǔ)丁與瑕疵曝光的同一日內(nèi),相關(guān)的惡意程序就出現(xiàn)并對(duì)漏洞進(jìn)行攻擊的一種形式)漏洞,另外有很大一部分則是利用了我們已經(jīng)已經(jīng)知道的Java漏洞。”貢德特說(shuō)道。
事實(shí)上,思科并不是唯一一家發(fā)現(xiàn)基于Java黑客攻擊數(shù)量在2013年迎來(lái)上升的企業(yè),包括惠普和行業(yè)知名的卡巴斯基實(shí)驗(yàn)室也都發(fā)現(xiàn)了這一趨勢(shì)。當(dāng)?shù)貢r(shí)間周六,甲骨文再次對(duì)Java推送了更新,本次更新覆蓋了已知的51個(gè)漏洞。
“2013年可以說(shuō)是Java漏洞爆發(fā)的一年。”貢德特補(bǔ)充道。
除此之外,貢德特還認(rèn)為Java漏洞之所以這么容易成為黑客目標(biāo)的另一個(gè)原因在于人們通常不會(huì)按時(shí)對(duì)其進(jìn)行更新。但與此同時(shí),由于Java出色的兼容性能,該語(yǔ)言在企業(yè)和開(kāi)發(fā)者中則一直頗受歡迎。
貢德特表示:“現(xiàn)在的挑戰(zhàn)在于,由于基于Java語(yǔ)言編寫的應(yīng)用程序數(shù)量巨大,發(fā)布更新補(bǔ)丁已經(jīng)不是一件輕松的事情。對(duì)于企業(yè)用戶來(lái)說(shuō),他們所面臨的挑戰(zhàn)則更為艱巨。”
而且,單純發(fā)布更新補(bǔ)丁對(duì)于Java來(lái)說(shuō)恐怕也很難做到萬(wàn)無(wú)一失,因?yàn)樵?013年我們就看到了許多起Java零時(shí)差攻擊事件的發(fā)生,這些漏洞甚至對(duì)美國(guó)勞工部(Department of Labor)的日常工作造成了巨大影響。
考慮到企業(yè)用戶并不能僅僅通過(guò)禁用Java的形式來(lái)防止類似攻擊事件的發(fā)生,貢德特還在報(bào)告中為他們提供一些防范建議。他認(rèn)為,防范此類攻擊最重要的一點(diǎn)便是用戶對(duì)此提高警惕性。
“舉例來(lái)說(shuō),當(dāng)用戶所打開(kāi)的一個(gè)頁(yè)面包含了一些模糊不清的Java腳本,該用戶就需要檢查自己是否已經(jīng)被重新定向了。因?yàn)榇蠖鄶?shù)正規(guī)網(wǎng)站不會(huì)使用模糊不清或者隱藏式的Java腳本語(yǔ)言,更加不會(huì)在未經(jīng)用戶許可前對(duì)用戶進(jìn)行重定向?!必暤绿匮a(bǔ)充道。
除了基于Java漏洞的黑客攻擊數(shù)量呈現(xiàn)出了明顯上升趨勢(shì)以外,思科還在《2014年年度安全報(bào)告》中指出了科技行業(yè)的其他一些關(guān)鍵數(shù)據(jù)。其中就包括2014年網(wǎng)絡(luò)攻擊數(shù)量相較去年整體上升了14%,而制藥、礦業(yè)和電子工業(yè)等知識(shí)產(chǎn)權(quán)密集的行業(yè)已經(jīng)成為了網(wǎng)絡(luò)罪犯的首選目標(biāo)。更令人吃驚的是,在思科此次選取的30家大型跨國(guó)企業(yè)中,他們無(wú)一例外的都在2013年訪問(wèn)過(guò)包含惡意軟件的網(wǎng)站。
“我們非常吃驚的看到這一比例竟然高達(dá)100%。因此現(xiàn)在的問(wèn)題已經(jīng)不在于這些企業(yè)將何時(shí)出現(xiàn)安全漏洞,而在于他們需要花費(fèi)多長(zhǎng)時(shí)間才能意識(shí)到這一問(wèn)題,并對(duì)其進(jìn)行修補(bǔ)?!必暤绿匮a(bǔ)充道。
除了越來(lái)越多的企業(yè)遭遇安全問(wèn)題以外,思科還在報(bào)告中指出了科技行業(yè)所面臨的一個(gè)人力資源問(wèn)題。具體來(lái)說(shuō)就是,IT安全領(lǐng)域?qū)<业膹臉I(yè)人數(shù)將在2014年出現(xiàn)高達(dá)100萬(wàn)人次的缺口。
“考慮到我們所經(jīng)歷的威脅情況,2013年是非常慘淡的一年。無(wú)論你手頭擁有什么樣的安全工具,如果你沒(méi)有合適員工堅(jiān)守在這一崗位上的話,你依舊很難保障自己的IT安全?!必暤绿刈詈笳f(shuō)道。
評(píng)論
查看更多