孤寂如雲 發表於 2014-1-19 23:39:00

思科:Java成2013年網絡攻擊最大元兇



在思科日前公布的《2014年年度安全報告》(Cisco's 2014 Annual Security Report)中,思科將甲骨文旗下Java語言視為全球安全漏洞背後的最大黑手。

思科在報告中指出,IT領域企業在2013年經歷了大大小小的安全風險和攻擊,但沒有任何一種技術比Java更應該得到人們的責備。據悉,在2013年全球所有形式的網絡入侵中,基於Java展開的黑客攻擊就為其貢獻了高達91%的比例。

參與撰寫這份報告的威脅研究員、同時也是思科技術部門負責人的萊維·貢德特(Levi Gundert)認為,Java目前已經幾乎成為了所有有預謀網絡攻擊的最重要武器。

“我十分吃驚的發現基於Java展開的黑客攻擊占到了2013年全球所有形式網絡入侵91%的比例。其中有一些攻擊是利用了Java的‘零時差攻擊’(zero-day attack,又叫零時差攻擊,即安全補丁與瑕疵曝光的同一日內,相關的惡意程序就出現並對漏洞進行攻擊的一種形式)漏洞,另外有很大一部分則是利用了我們已經已經知道的Java漏洞。”貢德特說道。

事實上,思科並不是唯一一家發現基於Java黑客攻擊數量在2013年迎來上升的企業,包括惠普和行業知名的卡巴斯基實驗室也都發現了這一趨勢。當地時間周六,甲骨文再次對Java推送了更新,本次更新覆蓋了已知的51個漏洞。

“2013年可以說是Java漏洞爆發的一年。”貢德特補充道。

除此之外,貢德特還認為Java漏洞之所以這麼容易成為黑客目標的另一個原因在於人們通常不會按時對其進行更新。但與此同時,由於Java出色的兼容性能,該語言在企業和開發者中則一直頗受歡迎。

貢德特表示:“現在的挑戰在於,由於基於Java語言編寫的應用程序數量巨大,發布更新補丁已經不是一件輕松的事情。對於企業用戶來說,他們所面臨的挑戰則更為艱巨。”

而且,單純發布更新補丁對於Java來說恐怕也很難做到萬無一失,因為在2013年我們就看到了許多起Java零時差攻擊事件的發生,這些漏洞甚至對美國勞工部(Department of Labor)的日常工作造成了巨大影響。

考慮到企業用戶並不能僅僅通過禁用Java的形式來防止類似攻擊事件的發生,貢德特還在報告中為他們提供一些防範建議。他認為,防範此類攻擊最重要的一點便是用戶對此提高警惕性。

“舉例來說,當用戶所打開的一個頁面包含了一些模糊不清的Java腳本,該用戶就需要檢查自己是否已經被重新定向了。因為大多數正規網站不會使用模糊不清或者隱藏式的Java腳本語言,更加不會在未經用戶許可前對用戶進行重定向。”貢德特補充道。

除了基於Java漏洞的黑客攻擊數量呈現出了明顯上升趨勢以外,思科還在《2014年年度安全報告》中指出了科技行業的其他一些關鍵數據。其中就包括2014年網絡攻擊數量相較去年整體上升了14%,而制藥、礦業和電子工業等知識產權密集的行業已經成為了網絡罪犯的首選目標。更令人吃驚的是,在思科此次選取的30家大型跨國企業中,他們無一例外的都在2013年訪問過包含惡意軟件的網站。

“我們非常吃驚的看到這一比例竟然高達100%。因此現在的問題已經不在於這些企業將何時出現安全漏洞,而在於他們需要花費多長時間才能意識到這一問題,並對其進行修補。”貢德特補充道。

除了越來越多的企業遭遇安全問題以外,思科還在報告中指出了科技行業所面臨的一個人力資源問題。具體來說就是,IT安全領域專家的從業人數將在2014年出現高達100萬人次的缺口。

“考慮到我們所經歷的威脅情況,2013年是非常慘淡的一年。無論你手頭擁有什麼樣的安全工具,如果你沒有合適員工堅守在這一崗位上的話,你依舊很難保障自己的IT安全。”貢德特最後說道。

騰訊科技
頁: [1]
查看完整版本: 思科:Java成2013年網絡攻擊最大元兇