思科不是唯一一家發(fā)現(xiàn)Java攻擊數(shù)量在2013年上升的企業(yè)。包括惠普和卡巴斯基實(shí)驗(yàn)室在內(nèi)的公司也發(fā)現(xiàn)Java攻擊在2013年激增。1月15日甲骨文再次推送Java更新，這次更新覆蓋了51個(gè)漏洞。

“2013年真是Java漏洞爆發(fā)的一年。”貢德特說(shuō)。

貢德特還提到：“Java漏洞之所以爆發(fā)的如此激烈，跟人們不常更新有關(guān)。”

由于Java在各操作系統(tǒng)出色的兼容性，它受到許多企業(yè)和開(kāi)發(fā)者的青睞。

“現(xiàn)在的挑戰(zhàn)在于，由于Java應(yīng)用數(shù)量巨大，因此發(fā)布更新并不是一件容易的事情。而且，補(bǔ)丁常常會(huì)破壞應(yīng)用軟件的功能。”貢德特補(bǔ)充道。

“對(duì)于企業(yè)用戶(hù)，現(xiàn)存的挑戰(zhàn)并非像需要打補(bǔ)丁那么簡(jiǎn)單。”貢德特說(shuō)。

然而，只發(fā)布補(bǔ)丁是不夠的。在2013年，我們就看到了許多起Java零時(shí)差攻擊事件的發(fā)生，這些漏洞甚至對(duì)美國(guó)勞工部造成了攻擊，一時(shí)間沒(méi)有可用的補(bǔ)丁。

除了不用或者禁用Java（這種選擇并不總適合企業(yè)用戶(hù)），貢德特給出了一些建議。最重要的是在用戶(hù)遇到攻擊之前，能夠?qū)τ脩?hù)行為進(jìn)行相應(yīng)的監(jiān)控。

“舉例來(lái)說(shuō)，用戶(hù)請(qǐng)求的web頁(yè)面有包括混淆的JavaScript嗎？用戶(hù)有因此被重定向到其他頁(yè)面嗎？”貢德特說(shuō)道。

他解釋道：“大多數(shù)正規(guī)的網(wǎng)站不會(huì)使用隱藏的或者混淆的JavaScript。更不會(huì)在沒(méi)有取得用戶(hù)授權(quán)的情況下，將用戶(hù)定向到其他頁(yè)面。”

2013年總體趨勢(shì)

在思科的報(bào)告中，除了Java漏洞攻擊這一重點(diǎn)外，還指出了行業(yè)的其他一些關(guān)鍵數(shù)據(jù)。其中包括2014年網(wǎng)絡(luò)攻擊數(shù)量相較去年整體上升了14%。

更令人吃驚的是，在思科此次選取的30家大型跨國(guó)企業(yè)中，他們都在2013年訪問(wèn)過(guò)包含惡意軟件的網(wǎng)站。

貢德特說(shuō)：“我很驚訝地看到，這一比例竟然高達(dá)100%，因此現(xiàn)在的問(wèn)題不是企業(yè)會(huì)在何時(shí)出現(xiàn)安全漏洞，而是企業(yè)需要多長(zhǎng)時(shí)間來(lái)意識(shí)并防范這一問(wèn)題，并且進(jìn)行漏洞修補(bǔ)。“

此外，在2013年，企業(yè)面對(duì)的另一個(gè)安全問(wèn)題是人力資源問(wèn)題。思科的報(bào)告闡述到，2014年安全領(lǐng)域?qū)＜业男枨罅繉⑼黄?00萬(wàn)人次。

貢德特最后說(shuō)道：“看著我們所經(jīng)歷的安全威脅，2013年是慘淡的一年。不管你使用什么工具，如果你沒(méi)有合適的員工在崗，那很難確保障信息安全。”

[[110125]]