根據(jù)安全廠商Secunia本周發(fā)布的端點(diǎn)安全報(bào)告顯示，對于用戶和企業(yè)而言，第三方應(yīng)用安全問題要比微軟程序的問題更嚴(yán)重。

在2012年，Secunia通過其安裝在用戶計(jì)算機(jī)上的個人安全軟件從幾百萬臺電腦收集了匿名數(shù)據(jù)，并發(fā)布了端點(diǎn)安全報(bào)告《2013 Secunia漏洞預(yù)覽》，介紹了這些計(jì)算機(jī)上安裝的50個最常用程序中存在的漏洞問題，其中29個程序來自微軟，而其他則來自第三方供應(yīng)商。

在前50個最常用程序中發(fā)現(xiàn)的漏洞有86%感染第三方程序，而在最受影響的第三方程序中，大多數(shù)程序都是常用程序，包括甲骨文的Java和Adobe的Flash和Reader應(yīng)用。

在這些發(fā)現(xiàn)的漏洞中，80%的漏洞在披露的當(dāng)天就提供了修補(bǔ)程序，這比2011年報(bào)告的數(shù)字增長了8%。然而，Secunia的專家估計(jì)這個數(shù)字不太可能會進(jìn)一步改善，這意味著補(bǔ)丁管理已經(jīng)不能解決這些問題。對于存在未修補(bǔ)漏洞的程序，Secunia首席安全官Thomas Kristensen建議企業(yè)仔細(xì)研究其部署的第三方應(yīng)用，以確定它們是否值得冒險(xiǎn)，如果不值得，是否可以使用更安全的替代品來替換它們。

“只有兩種方式可以保護(hù)這些程序：部署補(bǔ)丁程序或者不要安裝它們，”Kristensen在SearchSecurity的郵件采訪中稱，“對于企業(yè)而言，應(yīng)該評估這些程序是否是關(guān)鍵業(yè)務(wù)型程序，如果不是的話，企業(yè)需要考慮不要在企業(yè)中使用這些程序。”

盡管安全界對零日漏洞很關(guān)注，但Secunia指出，發(fā)現(xiàn)零日漏洞的數(shù)量正在逐年下降。在2012年僅發(fā)現(xiàn)了8個零日漏洞，而2011年為14個。對于Kristensen而言，這揭露了攻擊的經(jīng)濟(jì)現(xiàn)實(shí)以及軟件安全普遍的糟糕狀態(tài)。

“與零日漏洞相比，漏洞更加便宜，且更容易使用，”他表示，“攻擊者并沒有必要花費(fèi)時(shí)間和金錢來開發(fā)零日漏洞，因?yàn)橹車嬖诤芏嘁资芄舻奈创蜓a(bǔ)丁的軟件。”

另一方面，該報(bào)告指出微軟應(yīng)該繼續(xù)提高其應(yīng)用的安全性。雖然其XP操作系統(tǒng)曾是攻擊者的“出氣筒”，但Secunia報(bào)告稱，在過去五年中，感染微軟程序的漏洞比率從43%下降到14%。

用戶必須要求應(yīng)用安全性

Web瀏覽器的安全性是Secunia報(bào)告中的亮點(diǎn)之一。雖然大多數(shù)主流瀏覽器比一般程序存在更多漏洞，但廠商通常會迅速提供補(bǔ)丁程序，這突出了軟件廠商市場激烈的競爭。從經(jīng)驗(yàn)來看，安全不是一個賣點(diǎn)，然而Kristensen感覺用戶比較重視web瀏覽器的安全性。

“安全性一直是主要的競爭因素，如果你提供一個不安全的瀏覽器，用戶會選擇其他瀏覽器，你將失去市場份額，”他表示，“而對于Java和Flash這樣的程序，用戶沒有其他選擇，這也是為什么他們不安全，但他們還能繼續(xù)還生存下去。”

當(dāng)消費(fèi)者并沒有要求產(chǎn)品的安全性時(shí)，其結(jié)果就是SCADA軟件安全性的當(dāng)前狀態(tài)，該報(bào)告將其與10年前的主流軟件安全作比較。SCADA軟件漏洞的數(shù)量在過去五年間有所增加，但更令人擔(dān)憂的是，大家普遍認(rèn)為升級程序 “不穩(wěn)定”。近幾年出現(xiàn)的SCADA和工業(yè)控制系統(tǒng)（ICS）安全問題成為國家安全問題的主題，關(guān)鍵基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)攻擊的事故屢見不鮮。Kristensen表示，SCADA軟件存在一定的安全威脅，他認(rèn)為客戶應(yīng)該向SCADA廠商施壓，讓他們提高其產(chǎn)品的安全性，就像他們對web瀏覽器廠商那樣。

“客戶必須開始對軟件廠商提出安全要求。SCADA軟件并不像瀏覽器產(chǎn)品那么流行，但總是涉及金錢因素，”他表示，SCADA客戶必須要求他們購買的產(chǎn)品是安全的，這應(yīng)該在合同中聲明。有錢能使鬼推磨，客戶能夠影響其購買的產(chǎn)品質(zhì)量。