思科：Java成2013年網(wǎng)絡(luò)攻擊最大元兇

　　在思科日前公布的《2014年年度安全報(bào)告》（Cisco‘s 2014 Annual Security Report）中，思科將甲骨文旗下Java語言視為全球安全漏洞背后的最大黑手，Java目前已經(jīng)幾乎成為了所有有預(yù)謀網(wǎng)絡(luò)攻擊的最重要武器。。

　　思科在報(bào)告中指出，IT領(lǐng)域企業(yè)在2013年經(jīng)歷了大大小小的安全風(fēng)險(xiǎn)和攻擊，但沒有任何一種技術(shù)比Java更應(yīng)該得到人們的責(zé)備。據(jù)悉，在2013年全球所有形式的網(wǎng)絡(luò)入侵中，基于Java展開的黑客攻擊就為其貢獻(xiàn)了高達(dá)91%的比例。

　　參與撰寫這份報(bào)告的威脅研究員、同時(shí)也是思科技術(shù)部門負(fù)責(zé)人的萊維-貢德特（Levi Gundert）認(rèn)為，Java目前已經(jīng)幾乎成為了所有有預(yù)謀網(wǎng)絡(luò)攻擊的最重要武器。

　　“我十分吃驚的發(fā)現(xiàn)基于Java展開的黑客攻擊占到了2013年全球所有形式網(wǎng)絡(luò)入侵91%的比例。其中有一些攻擊是利用了Java的‘零時(shí)差攻擊’（zero-day attack，又叫零時(shí)差攻擊，即安全補(bǔ)丁與瑕疵曝光的同一日內(nèi)，相關(guān)的惡意程序就出現(xiàn)并對漏洞進(jìn)行攻擊的一種形式）漏洞，另外有很大一部分則是利用了我們已經(jīng)已經(jīng)知道的Java漏洞?！必暤绿卣f道。

　　事實(shí)上，思科并不是唯一一家發(fā)現(xiàn)基于Java黑客攻擊數(shù)量在2013年迎來上升的企業(yè)，包括惠普和行業(yè)知名的卡巴斯基實(shí)驗(yàn)室也都發(fā)現(xiàn)了這一趨勢。當(dāng)?shù)貢r(shí)間周六，甲骨文再次對Java推送了更新，本次更新覆蓋了已知的51個(gè)漏洞。

　　“2013年可以說是Java漏洞爆發(fā)的一年?！必暤绿匮a(bǔ)充道。

　　除此之外，貢德特還認(rèn)為Java漏洞之所以這么容易成為黑客目標(biāo)的另一個(gè)原因在于人們通常不會(huì)按時(shí)對其進(jìn)行更新。但與此同時(shí)，由于Java出色的兼容性能，該語言在企業(yè)和開發(fā)者中則一直頗受歡迎。

　　貢德特表示：“現(xiàn)在的挑戰(zhàn)在于，由于基于Java語言編寫的應(yīng)用程序數(shù)量巨大，發(fā)布更新補(bǔ)丁已經(jīng)不是一件輕松的事情。對于企業(yè)用戶來說，他們所面臨的挑戰(zhàn)則更為艱巨?！?/p>

　　而且，單純發(fā)布更新補(bǔ)丁對于Java來說恐怕也很難做到萬無一失，因?yàn)樵?013年我們就看到了許多起Java零時(shí)差攻擊事件的發(fā)生，這些漏洞甚至對美國勞工部（Department of Labor）的日常工作造成了巨大影響。

　　考慮到企業(yè)用戶并不能僅僅通過禁用Java的形式來防止類似攻擊事件的發(fā)生，貢德特還在報(bào)告中為他們提供一些防范建議。他認(rèn)為，防范此類攻擊最重要的一點(diǎn)便是用戶對此提高警惕性。

　　“舉例來說，當(dāng)用戶所打開的一個(gè)頁面包含了一些模糊不清的Java腳本，該用戶就需要檢查自己是否已經(jīng)被重新定向了。因?yàn)榇蠖鄶?shù)正規(guī)網(wǎng)站不會(huì)使用模糊不清或者隱藏式的Java腳本語言，更加不會(huì)在未經(jīng)用戶許可前對用戶進(jìn)行重定向。”貢德特補(bǔ)充道。

　　除了基于Java漏洞的黑客攻擊數(shù)量呈現(xiàn)出了明顯上升趨勢以外，思科還在《2014年年度安全報(bào)告》中指出了科技行業(yè)的其他一些關(guān)鍵數(shù)據(jù)。其中就包括2014年網(wǎng)絡(luò)攻擊數(shù)量相較去年整體上升了14%，而制藥、礦業(yè)和電子工業(yè)等知識產(chǎn)權(quán)密集的行業(yè)已經(jīng)成為了網(wǎng)絡(luò)罪犯的首選目標(biāo)。更令人吃驚的是，在思科此次選取的30家大型跨國企業(yè)中，他們無一例外的都在2013年訪問過包含惡意軟件的網(wǎng)站。

　　“我們非常吃驚的看到這一比例竟然高達(dá)100%。因此現(xiàn)在的問題已經(jīng)不在于這些企業(yè)將何時(shí)出現(xiàn)安全漏洞，而在于他們需要花費(fèi)多長時(shí)間才能意識到這一問題，并對其進(jìn)行修補(bǔ)?！必暤绿匮a(bǔ)充道。

　　除了越來越多的企業(yè)遭遇安全問題以外，思科還在報(bào)告中指出了科技行業(yè)所面臨的一個(gè)人力資源問題。具體來說就是，IT安全領(lǐng)域?qū)＜业膹臉I(yè)人數(shù)將在2014年出現(xiàn)高達(dá)100萬人次的缺口。

　　“考慮到我們所經(jīng)歷的威脅情況，2013年是非常慘淡的一年。無論你手頭擁有什么樣的安全工具，如果你沒有合適員工堅(jiān)守在這一崗位上的話，你依舊很難保障自己的IT安全?！必暤绿刈詈笳f道。