思科的2014年度安全報告中指出：甲骨文公司的Java技術(shù)成為安全問題的主要來源。 根據(jù)思科最近的安全報告，在2013年，IT企業(yè)面對著各種各樣的網(wǎng)絡(luò)攻擊和風(fēng)險。但是，沒有任何一項(xiàng)技術(shù)會遭到如此多的吐槽，除了Java。

思科的2014年度安全報告中指出：甲骨文公司的Java技術(shù)成為安全問題的主要來源。

根據(jù)思科最近的安全報告，在2013年，IT企業(yè)面對著各種各樣的網(wǎng)絡(luò)攻擊和風(fēng)險。但是，沒有任何一項(xiàng)技術(shù)會遭到如此多的吐槽，除了Java。

思科的2014年度安全報告發(fā)現(xiàn)，Java占據(jù)了2013年所有安全問題91%的比例。

“在觀測到的網(wǎng)絡(luò)攻擊中，Java貢獻(xiàn)了大份額的負(fù)載值。”來自思科技術(shù)部門的技術(shù)主管萊維·貢德特向eWEEK（譯注：美國互聯(lián)網(wǎng)媒體）透露。

思科的安全威脅研究部門在安全威脅報告中披露了Java的相關(guān)數(shù)據(jù)，該部門在2013年被思科以27億美元收購。

貢德特說道：“我驚訝地發(fā)現(xiàn)，Java引發(fā)的網(wǎng)絡(luò)安全攻擊占據(jù)了91%的比例！其中有一些攻擊是利用了Java的‘零時差攻擊’（零時差攻擊，即安全補(bǔ)丁與瑕疵曝光的同一日內(nèi)，相關(guān)的惡意程序就出現(xiàn)并對漏洞進(jìn)行攻擊的一種形式）漏洞。當(dāng)然，也有很大一部分則是利用了我們已經(jīng)知道的Java漏洞。”

思科不是唯一一家發(fā)現(xiàn)Java攻擊數(shù)量在2013年上升的企業(yè)。包括惠普和卡巴斯基實(shí)驗(yàn)室在內(nèi)的公司也發(fā)現(xiàn)Java攻擊在2013年激增。1月15日甲骨文再次推送Java更新，這次更新覆蓋了51個漏洞。

“2013年真是Java漏洞爆發(fā)的一年。”貢德特說。

貢德特還提到：“Java漏洞之所以爆發(fā)的如此激烈，跟人們不常更新有關(guān)。”

由于Java在各操作系統(tǒng)出色的兼容性，它受到許多企業(yè)和開發(fā)者的青睞。

“現(xiàn)在的挑戰(zhàn)在于，由于Java應(yīng)用數(shù)量巨大，因此發(fā)布更新并不是一件容易的事情。而且，補(bǔ)丁常常會破壞應(yīng)用軟件的功能。”貢德特補(bǔ)充道。

“對于企業(yè)用戶，現(xiàn)存的挑戰(zhàn)并非像需要打補(bǔ)丁那么簡單。”貢德特說。

然而，只發(fā)布補(bǔ)丁是不夠的。在2013年，我們就看到了許多起Java零時差攻擊事件的發(fā)生，這些漏洞甚至對美國勞工部造成了攻擊，一時間沒有可用的補(bǔ)丁。

除了不用或者禁用Java（這種選擇并不總適合企業(yè)用戶），貢德特給出了一些建議。最重要的是在用戶遇到攻擊之前，能夠?qū)τ脩粜袨檫M(jìn)行相應(yīng)的監(jiān)控。

“舉例來說，用戶請求的web頁面有包括混淆的JavaScript嗎？用戶有因此被重定向到其他頁面嗎？”貢德特說道。

他解釋道：“大多數(shù)正規(guī)的網(wǎng)站不會使用隱藏的或者混淆的JavaScript。更不會在沒有取得用戶授權(quán)的情況下，將用戶定向到其他頁面。”

2013年總體趨勢

在思科的報告中，除了Java漏洞攻擊這一重點(diǎn)外，還指出了行業(yè)的其他一些關(guān)鍵數(shù)據(jù)。其中包括2014年網(wǎng)絡(luò)攻擊數(shù)量相較去年整體上升了14%。

更令人吃驚的是，在思科此次選取的30家大型跨國企業(yè)中，他們都在2013年訪問過包含惡意軟件的網(wǎng)站。

貢德特說：“我很驚訝地看到，這一比例竟然高達(dá)100%，因此現(xiàn)在的問題不是企業(yè)會在何時出現(xiàn)安全漏洞，而是企業(yè)需要多長時間來意識并防范這一問題，并且進(jìn)行漏洞修補(bǔ)。“

此外，在2013年，企業(yè)面對的另一個安全問題是人力資源問題。思科的報告闡述到，2014年安全領(lǐng)域?qū)＜业男枨罅繉⑼黄?00萬人次。

貢德特最后說道：“看著我們所經(jīng)歷的安全威脅，2013年是慘淡的一年。不管你使用什么工具，如果你沒有合適的員工在崗，那很難確保障信息安全。”