據(jù)惠普網(wǎng)絡(luò)風(fēng)險報告稱，代碼遺留下來的舊漏洞正日益成為企業(yè)的巨大風(fēng)險，原因是攻擊者更多地趨向于利用未打的補丁以及一些被遺忘的問題進行攻擊。

惠普的報告還重點提到谷歌和微軟在漏洞一事上的尷尬。谷歌在微軟向客戶發(fā)布修補程序前就將漏洞捅了出來。不過，谷歌認為，微軟的動作有待加快。

例如，2014年10大漏洞中的7個全都是在2013年以前發(fā)現(xiàn)的。44%的泄漏問題已經(jīng)有2?4年的歷史。服務(wù)器配置錯誤是導(dǎo)致漏洞的頂級原因，編程錯誤令企業(yè)大敞中門受到攻擊。

惠普企業(yè)安全產(chǎn)品部總經(jīng)理Art Gilliland在一份報告中表示：

我們的威脅研究和軟件安全研究團隊的工作揭示，很多產(chǎn)品和程序中的漏洞有好幾年的歷史——少數(shù)情況下甚至有幾十年的歷史。很多大家熟知的攻擊仍然有效，是件令人不安的事，核心技術(shù)的配置錯誤持續(xù)困擾各類系統(tǒng)，這些系統(tǒng)本應(yīng)更加穩(wěn)定和安全，但實際上卻不是這樣。換句話說，我們?nèi)匀淮诶蠁栴}和一些熟知的毛病里，而安全世界已經(jīng)大步越過我們在向前發(fā)展。

惠普信息圖的“一斑”很說明問題。

仍然待在老漏洞和老毛病里

其他要點：

軟件即服務(wù)和中間件越來越多地經(jīng)由協(xié)議遭到攻擊，包括利用HTTP、簡單對象訪問協(xié)議(SOAP)和JSON等協(xié)議。

甲骨文公司已經(jīng)減低了Java漏洞的個數(shù)。該報告指，“甲骨文引入‘單擊播放’(Click to play)的安全措施，因而要執(zhí)行未簽名的Java更加困難。結(jié)果是，我們在惡意軟件空間沒有遇到任何嚴重的Java零日漏洞。很多Java漏洞是邏輯上或基于權(quán)限的問題，攻擊成功率接近100%。2014年里，雖然沒有出現(xiàn)Java漏洞，但在其他方面我們還是目擊了成功率極高的漏洞。”

2014年里發(fā)現(xiàn)的漏洞里前10位里微軟IE瀏覽器和和Adobe Flash的漏洞最多。