|
腾讯科技 汤姆 1月19日编译
在 思科 日前公布的《2014年年度安全报告》(Cisco's 2014 Annual Security Report)中,思科将 甲骨文 旗下Java语言视为全球安全漏洞背后的最大黑手。
思科在报告中指出,IT领域企业在2013年经历了大大小小的安全风险和攻击,但没有任何一种技术比Java更应该得到人们的责备。据悉,在2013年全球所有形式的网络入侵中,基于Java展开的黑客攻击就为其贡献了高达91%的比例。
参与撰写这份报告的威胁研究员、同时也是思科技术部门负责人的莱维-贡德特(Levi Gundert)认为,Java目前已经几乎成为了所有有预谋网络攻击的最重要武器。
“我十分吃惊的发现基于Java展开的黑客攻击占到了2013年全球所有形式网络入侵91%的比例。其中有一些攻击是利用了Java的‘零时差攻击’(zero-day attack,又叫零时差攻击,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现并对漏洞进行攻击的一种形式)漏洞,另外有很大一部分则是利用了我们已经已经知道的Java漏洞。”贡德特说道。
事实上,思科并不是唯一一家发现基于Java黑客攻击数量在2013年迎来上升的企业,包括 惠普 和行业知名的卡巴斯基实验室也都发现了这一趋势。当地时间周六,甲骨文再次对Java推送了更新,本次更新覆盖了已知的51个漏洞。
“2013年可以说是Java漏洞爆发的一年。”贡德特补充道。
除此之外,贡德特还认为Java漏洞之所以这么容易成为黑客目标的另一个原因在于人们通常不会按时对其进行更新。但与此同时,由于Java出色的兼容性能,该语言在企业和开发者中则一直颇受欢迎。
贡德特表示:“现在的挑战在于,由于基于Java语言编写的应用程序数量巨大,发布更新补丁已经不是一件轻松的事情。对于企业用户来说,他们所面临的挑战则更为艰巨。”
而且,单纯发布更新补丁对于Java来说恐怕也很难做到万无一失,因为在2013年我们就看到了许多起Java零时差攻击事件的发生,这些漏洞甚至对美国劳工部(Department of Labor)的日常工作造成了巨大影响。
考虑到企业用户并不能仅仅通过禁用Java的形式来防止类似攻击事件的发生,贡德特还在报告中为他们提供一些防范建议。他认为,防范此类攻击最重要的一点便是用户对此提高警惕性。
“举例来说,当用户所打开的一个页面包含了一些模糊不清的Java脚本,该用户就需要检查自己是否已经被重新定向了。因为大多数正规网站不会使用模糊不清或者隐藏式的Java脚本语言,更加不会在未经用户许可前对用户进行重定向。”贡德特补充道。
除了基于Java漏洞的黑客攻击数量呈现出了明显上升趋势以外,思科还在《2014年年度安全报告》中指出了科技行业的其他一些关键数据。其中就包括2014年网络攻击数量相较去年整体上升了14%,而制药、矿业和电子工业等知识产权密集的行业已经成为了网络罪犯的首选目标。更令人吃惊的是,在思科此次选取的30家大型跨国企业中,他们无一例外的都在2013年访问过包含恶意软件的网站。
“我们非常吃惊的看到这一比例竟然高达100%。因此现在的问题已经不在于这些企业将何时出现安全漏洞,而在于他们需要花费多长时间才能意识到这一问题,并对其进行修补。”贡德特补充道。
除了越来越多的企业遭遇安全问题以外,思科还在报告中指出了科技行业所面临的一个人力资源问题。具体来说就是,IT安全领域专家的从业人数将在2014年出现高达100万人次的缺口。
“考虑到我们所经历的威胁情况,2013年是非常惨淡的一年。无论你手头拥有什么样的安全工具,如果你没有合适员工坚守在这一岗位上的话,你依旧很难保障自己的IT安全。”贡德特最后说道。
|
|