Java越來越多地被視為安全風險所在，最近一些著名的的攻擊事件，更成為這一趨勢的證明。Java安全風險的核心問題在于：安全漏洞太多，瀏覽器很難同步更新到最新版本，特別是Java本身的更新是獨立于瀏覽器的。

最近，Websense安全實驗室的專家將Java版本檢測功能添加到了ACE(高級分類引擎)產品中，并將其引入Websense ThreatSeeker網絡，以便實時探測在數以千萬計的終端上有效使用的Java版本。以下就是獲得的結果(見圖1)。

基于有效瀏覽器使用的Java運行時環境版本全球分布

由上可見，各種版本的Java都出現在了圖表中，而目前最新版本的Java運行時環境(1.7.17)的整體使用率只有5%。大部分的版本已過時數月乃至數年。那么這又是如何轉化為攻擊空間的呢？

漏洞攻擊工具包是用于散布Java安全威脅的常見工具。Websense安全實驗室通過Websense 威脅搜索網絡對數十億計的日常Web請求進行了分類，厘清了哪些有效瀏覽器請求是可以被利用的，哪些已經被漏洞攻擊工具包所采用。

結果也許并不出人意料：最大的安全漏洞恰恰就是最近被使用過的那個，這在93.77%的瀏覽器上都是如此。攻擊者是這樣做的——研究攻擊目標的安全控制措施，并找到最簡單的方法繞過這些安防措施。運用最新的攻擊工具，對數目相當龐大的易受攻擊的瀏覽器發起預打包式的攻擊，對攻擊者來說，門檻相當之低。多數瀏覽器都大范圍地存在廣為人知的Java安全漏洞，75%以上的在用瀏覽器版本至少過時6個月了，其中將近三分之二的已經過時一年以上，超過50%的落后至少兩年。

如果補丁的更新沒有跟上，又將如何阻止攻擊呢？考慮到漏洞利用工具包及其更新的復雜與多變性，僅有攻擊特征還遠遠不夠。Websense用于防御新型Java漏洞攻擊的保護模式是通過分析和實時監測，在此類攻擊策略的每一步都主動攔截新的實例。更主要的是，ACE涵蓋了所有漏洞攻擊工具包/攻擊階段，具有對源自所有主要攻擊包的可表達安全威脅的細粒度感知能力，不僅包括安全漏洞，還包括混淆技術，重定向技術以及滴漏式木馬文件的再包裝。Websense安全專家還提示了其它一些可以阻斷惡意軟件殺傷鏈的方法，這些方法可以使得惡意攻擊者更難以利用當前IT基礎架構的漏洞入侵，包括：

· 阻止跨網絡、電子郵件和移動平臺的誘騙，網絡釣魚和其他形式的社交工程攻擊所需的實時智能。

· 用于識別已知或可疑的惡意軟件攻擊目標以及已遭入侵網站的實時入站智能。

· 能夠識別命令和控制通信、僵尸網絡、動態DNS請求，以及流向不當目標的指紋數據的實時出站智能。

· 從統計和行為上識別點滴式慢速攻擊。