雖然蠕蟲病毒、Zeus僵尸網(wǎng)絡和極光行動是去年的頭條新聞，但是據(jù)Krebs On Security的Brian Krebs和微軟的Holly Stewart最近的報道，針對Java的襲擊數(shù)量一直在穩(wěn)步上升。正如Stewart寫道，針對Java的攻擊和成功攻擊的數(shù)量快速增加，最近甚至超過了針對PDF和其他目標的攻擊。

在這篇文章，我們將談到為什么Java容易成為攻擊者的目標，以及企業(yè)應該如何創(chuàng)建Java安全框架，從而成功抵御基于Java的漏洞攻擊。

Java的現(xiàn)狀

Java運行時環(huán)境（Java Runtime Environment），也稱為JRE或就簡稱為Java，安裝在各種不同類型的設備上，包括大多數(shù)PC機、蘋果電腦和Linux臺式機，以及智能手機和其他嵌入式設備。在這些設備上，PDF閱讀器和Flash播放器同Java的普及水平相似，但Java本身比較特殊，因為它被設計成為可以一次編寫、到處運行的環(huán)境，包括你可能想不到的嵌入式系統(tǒng)。

Java既是一種編程語言，也是一種需要安裝從而支持Java程序運行的軟件，它還具有額外的保護（比如說，沙箱（sandboxes）和額外的內存保護），這是其他編程語言沒有的，然而最近的攻擊卻都繞開了這些保護。甲骨文公司憑借收購Sun微系統(tǒng)公司從而擁有了Java，雖然其頻繁發(fā)布Java更新以便控制漏洞，且Java本身也包括自動升級功能，但是這個功能并不是那么可靠，無法保證運行的是JRE最新版本。另外，蘋果公司也發(fā)布了自己的Java版本，其通常落后于安全修補過程，這就使得Java整體的安全問題更加嚴峻了。

因此，Java JRE對于攻擊者而言，是很有吸引力的目標。Stewart報告說，在過去一年中，三個Java的漏洞累計遭到350萬次攻擊，近200萬臺電腦受到攻擊，這使得Java成為最易受到攻擊的軟件之一。

Krebs報告說，針對Java的攻擊已經(jīng)包含到了漏洞利用程序包中，從而允許攻擊者可以對該編程語言的攻擊進行自動化。另外，使用PC機的企業(yè)不是唯一應該擔心的，最近針對Java的攻擊有些甚至包括了Mac電腦。從事Mac安全的Intego公司最近報道稱，一個惡意的Java applet超鏈接

http://blog.intego.com/2010/10/27/intego-security-memo-trojan-horse-osxkoobface-a-affects-mac-os-x-mac-koobface-variant-spreads-via-facebook-twitter-and-more/被命名為Koobface，其已經(jīng)感染了蘋果的操作系統(tǒng)。由于缺少Java補丁，很多被感染的電腦已經(jīng)被黑客控制，而最近針對Flash或PDF的襲擊，臺式電腦上防惡意軟件的安全措施已經(jīng)不起作用了。不管怎樣，要想在網(wǎng)絡層上檢測Java的襲擊，對IPS/IDS提供商而言已經(jīng)更加困難了，因為任何潛在的惡意Java程序都需要進行運行測試，以檢查惡意代碼，而這需要耗費大量的計算資源。

企業(yè)防御策略

企業(yè)可以通過創(chuàng)建一個Java的安全框架來減少與Java相關的風險。首先，企業(yè)應該預判自己是否需要在臺式機或者服務器上安裝Java，如果不需要的話，請卸載Java或者從一開始就不安裝Java。用戶應該只在有應用程序需要時，或臺式機需要Java程序支持的情況下，才安裝Java。這是基本的建議，因為如果Java不存在，它就不可能被黑客進行漏洞利用。

接下來，檢查以確保只有最新版本的Java安裝在客戶機上。這些檢測可以用企業(yè)管理軟件、腳本版本檢測、或手動訪問Java下載頁面來完成，這將報告已安裝的Java是哪一版本。以我的經(jīng)驗來看，老版本經(jīng)常遺留在系統(tǒng)中以保證向后的兼容性，特別是自己編寫的應用程序。如果安裝了Java，它可以配置成每天自動檢查更新，但是這只對用戶可以自己更新軟件的家庭電腦有用。企業(yè)應該把對Java打補丁的優(yōu)先級同微軟或Adobe保持一致。對Java的一些特定安全選項進行調查也是可取的，用戶通過使用Java控制面板就可以進行，比如禁止用戶給來自不受信任的認證授予訪問權限，或檢查證書以防止?jié)撛诘膼阂釰ava程序的運行。你可能還需要啟動日志記錄，以便發(fā)現(xiàn)惡意Java程序是否已經(jīng)運行。如果你的企業(yè)使用Firefox，還可以利用NoScript插件的白名單功能來批準Java程序，以限制惡意Java程序的風險。

結論

過時的Java版本所構成的威脅不容低估，Java補丁應該與微軟或Adobe更新?lián)碛型瑯拥膬?yōu)先權。甲骨文負責Java的更新，如同微軟對其產品負責一樣，甲骨文應該有同樣的標準。所以，如果有可能，你可以向甲骨文公司報告因惡意軟件襲擊Java而引起的任何問題。

企業(yè)應該在其客戶端系統(tǒng)中增加更新Java的優(yōu)化措施，以防止系統(tǒng)被黑客利用漏洞。他們也應該以此作為警鐘，更仔細地評估什么軟件應該安裝在客戶端電腦上，并確保定期更新，防止黑客憑借應用軟件來控制系統(tǒng)。雖然這可能還有一場硬仗要打，但這也相應的推動了企業(yè)去更好的理解安全，即除了打補丁以外還可以有更多的具有前瞻性的辦法，比如使用應用程序白名單功能，從而在第一時間防止惡意軟件的運行。

【編輯推薦】

1. X-scan：一款網(wǎng)絡漏洞掃描器
2. Linux再爆root帳號提權漏洞
3. 應用程序安全漏洞評估方法剖析
4. 微軟修復關鍵Windows漏洞　發(fā)布臨時IE問題解決方案