安全產(chǎn)品本身似乎帶來更大的不安全性。這是iViZ Security公司對(duì)安全產(chǎn)品漏洞趨勢(shì)的最新調(diào)查的結(jié)論。這家漏洞測(cè)試公司發(fā)現(xiàn)，2012年推出的安全產(chǎn)品的漏洞大幅增加，在過去三年的復(fù)合年增長(zhǎng)率達(dá)到近37.3%。

在iViZ調(diào)查的安全產(chǎn)品中，軟件漏洞最多的是防病毒產(chǎn)品，占所有安全產(chǎn)品的漏洞的49%。在漏洞規(guī)模方面，SQL注入是最少見的。在調(diào)查安全產(chǎn)品的不同薄弱點(diǎn)時(shí)，iViZ表示他們將產(chǎn)品代碼中可能導(dǎo)致安全軟件漏洞的錯(cuò)誤或缺陷定義為薄弱點(diǎn)。基于這種定義，該公司發(fā)現(xiàn)安全產(chǎn)品中的兩個(gè)主要弱點(diǎn)是訪問控制和輸入驗(yàn)證。該調(diào)查發(fā)現(xiàn)，與2011年相比，訪問控制漏洞急劇增加。

由于攻擊者越來越多地瞄準(zhǔn)最新推出的安全產(chǎn)品，這也許并不奇怪：各大安全廠商(例如McAfee、思科和賽門鐵克)的產(chǎn)品是2012年發(fā)布的產(chǎn)品中存在漏洞最多的產(chǎn)品。該調(diào)查還指出，其他商業(yè)和開源產(chǎn)品有著類似的漏洞趨勢(shì)。“這不僅是呼吁安全供應(yīng)商采取行動(dòng)，”Denim Group首席分析師Dan Cornell表示，“這對(duì)構(gòu)建廣泛部署軟件的獨(dú)立軟件供應(yīng)商也是一個(gè)警示。”

Cornell補(bǔ)充說，廣泛普及的Java等軟件和Adobe Reader等托管服務(wù)給供應(yīng)商帶來特殊的挑戰(zhàn)，因?yàn)檫@些軟件和服務(wù)提供了一個(gè)平臺(tái)來傳播安全漏洞。根據(jù)iViZ的調(diào)查及其他調(diào)查結(jié)果，Cornell表示，安全市場(chǎng)對(duì)供應(yīng)商制定了越來越多的監(jiān)管機(jī)制，以確保他們生產(chǎn)和部署安全的代碼。

iViZ在其調(diào)查結(jié)果中預(yù)測(cè)，將會(huì)出現(xiàn)越來越多針對(duì)安全產(chǎn)品的攻擊，同時(shí)，發(fā)現(xiàn)的大部分漏洞仍然未解決。這也意味著，隨著高級(jí)持續(xù)攻擊不斷入侵商業(yè)網(wǎng)絡(luò)和各種安全產(chǎn)品，這些漏洞將繼續(xù)被利用。

根據(jù)iViZ的調(diào)查顯示，自2007年以來，安全產(chǎn)品中發(fā)現(xiàn)的漏洞數(shù)量一致在下降，而在2011年觸底反彈。除了防病毒產(chǎn)品漏洞，防火墻泄露事故以及入侵檢測(cè)和防護(hù)產(chǎn)品漏洞是去年安全問題的主要原因。在列出了2012年針對(duì)美國(guó)安全公司(例如賽門鐵克、Panda Security和Barracuda Networks)的一系列高曝光率的攻擊后，該調(diào)查的結(jié)論是“安全公司遭受攻擊可能導(dǎo)致世界各地發(fā)生某種連鎖安全泄露事故”。

通過其自身的滲透測(cè)試，iViZ稱其發(fā)現(xiàn)了多種防病毒產(chǎn)品中的遠(yuǎn)程代碼執(zhí)行和數(shù)據(jù)竊取漏洞。該公司在其調(diào)查中使用了廣泛接受的漏洞標(biāo)準(zhǔn)和數(shù)據(jù)庫，包括常見漏洞枚舉、常見產(chǎn)品枚舉以及國(guó)家漏洞數(shù)據(jù)庫——美國(guó)政府漏洞管理數(shù)據(jù)倉庫(據(jù)報(bào)道，在3月份，NVD本身遭受了攻擊，在兩臺(tái)服務(wù)器受到惡意軟件攻擊后，一個(gè)公眾網(wǎng)站和其他服務(wù)被中斷)。

對(duì)于安全產(chǎn)品中的漏洞，iViZ建議買家要求供應(yīng)商提供安全產(chǎn)品認(rèn)證和獨(dú)立滲透測(cè)試。該公司還建議企業(yè)應(yīng)采取積極的措施，例如部署有效的檢測(cè)和響應(yīng)機(jī)制。盡管出現(xiàn)越來越多的不安全因素，Cornell表示他看到了廣泛普及的托管服務(wù)(例如Adobe)在確保代碼安全方面的一些進(jìn)展。他還指出，Adobe在4月任命Brad Arkin為首席安全官。

“Adobe有一些在世界各地廣泛部署的軟件，我們也清醒地意識(shí)到，這使我們成為攻擊者的目標(biāo)，”Arkin在博客中指出，他還補(bǔ)充說他將“繼續(xù)管理和促進(jìn)與更廣泛安全社區(qū)的雙向溝通，這是核心安全功能的重要組成部分”。

Cornell總結(jié)道，Adobe等公司已經(jīng)取得了一些進(jìn)展，但是他們也面臨艱巨的問題，即確保數(shù)百萬行代碼的安全性，同時(shí)跟上快速變化的市場(chǎng)步伐。最后，這些供應(yīng)商必須關(guān)注于其功能安全性。

TechTarget中國(guó)原創(chuàng)內(nèi)容，原文鏈接：http://www.searchsecurity.com.cn/showcontent_74313.htm?lg=t