最近一項(xiàng)調(diào)查針對全球各大頂尖企業(yè)的公共Web服務(wù)器作出評估，并指出目前只有3%的設(shè)備已經(jīng)徹底擺脫OpenSSL漏洞、也就是Heartbleed的威脅。

[[117163]]

此次研究由安全專業(yè)機(jī)構(gòu)Venafi實(shí)驗(yàn)室負(fù)責(zé)執(zhí)行，涵蓋《福布斯》評選出的全球企業(yè)2000強(qiáng)中1639家的約55萬臺服務(wù)器設(shè)備。調(diào)查結(jié)果顯示，已經(jīng)有99%的企業(yè)針對Heartbleed數(shù)據(jù)泄露漏洞安裝過修復(fù)補(bǔ)丁。

然而Venafi強(qiáng)調(diào)稱，其中只有15000臺安裝過補(bǔ)丁的服務(wù)器進(jìn)行了私用密鑰修改并利用新的SSL證書取代了原有安全憑證。根據(jù)我們掌握的情況，鑒于Heartbleed漏洞可被用于竊取受害計(jì)算機(jī)內(nèi)存中的私用密鑰，用戶應(yīng)該以服務(wù)器密鑰及證書已經(jīng)遭到破壞為假設(shè)性前提推進(jìn)保護(hù)措施。

“解決此類安全問題的流程不再像過去那樣簡單而直觀，”Venafi實(shí)驗(yàn)室安全戰(zhàn)略與威脅情報(bào)事務(wù)副總裁Kevin Bocek在接受采訪時(shí)指出。“大家不能單純在安裝了補(bǔ)丁之后就認(rèn)為自己可以高枕無憂。”

他指出，此次曝出的OpenSSL漏洞自兩年前開始就已經(jīng)被惡意人士們實(shí)際利用，但直到今年四月才真正引起安全行業(yè)的警覺。在此期間，企業(yè)用戶的密碼內(nèi)容很可能已經(jīng)被攻擊者們所掌握，此外加密密鑰與證書數(shù)據(jù)也可能已經(jīng)被用于偽裝虛假的企業(yè)服務(wù)器。

Bocek表示，在不面向公眾的服務(wù)器設(shè)備方面事態(tài)可能更加糟糕。而且在大多數(shù)情況下，處于企業(yè)防火墻內(nèi)部的服務(wù)器設(shè)備還沒有安裝過足以對抗Heartbleed漏洞的補(bǔ)丁。

說到已經(jīng)徹底將Heartbleed漏洞踢出業(yè)務(wù)環(huán)境之外的企業(yè)，計(jì)算機(jī)服務(wù)廠商的表現(xiàn)無疑最為突出，緊隨其后的依次為廣播公司、銀行以及半導(dǎo)體行業(yè)。