安全工具自身存在软件漏洞

日期: 2013-06-25 作者:George Leopold翻译:邹铮 来源:TechTarget中国 英文

安全产品本身似乎带来更大的不安全性。这是iViZ Security公司对安全产品漏洞趋势的最新调查的结论。这家漏洞测试公司发现,2012年推出的安全产品的漏洞大幅增加,在过去三年的复合年增长率达到近37.3%。   在iViZ调查的安全产品中,软件漏洞最多的是防病毒产品,占所有安全产品的漏洞的49%。

在漏洞规模方面,SQL注入是最少见的。在调查安全产品的不同薄弱点时,iViZ表示他们将产品代码中可能导致安全软件漏洞的错误或缺陷定义为薄弱点。基于这种定义,该公司发现安全产品中的两个主要弱点是访问控制和输入验证。该调查发现,与2011年相比,访问控制漏洞急剧增加。

  由于攻击者越来越多地瞄准最新……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

安全产品本身似乎带来更大的不安全性。这是iViZ Security公司对安全产品漏洞趋势的最新调查的结论。这家漏洞测试公司发现,2012年推出的安全产品的漏洞大幅增加,在过去三年的复合年增长率达到近37.3%。

  在iViZ调查的安全产品中,软件漏洞最多的是防病毒产品,占所有安全产品的漏洞的49%。在漏洞规模方面,SQL注入是最少见的。在调查安全产品的不同薄弱点时,iViZ表示他们将产品代码中可能导致安全软件漏洞的错误或缺陷定义为薄弱点。基于这种定义,该公司发现安全产品中的两个主要弱点是访问控制和输入验证。该调查发现,与2011年相比,访问控制漏洞急剧增加。

  由于攻击者越来越多地瞄准最新推出的安全产品,这也许并不奇怪:各大安全厂商(例如McAfee、思科和赛门铁克)的产品是2012年发布的产品中存在漏洞最多的产品。该调查还指出,其他商业和开源产品有着类似的漏洞趋势。“这不仅是呼吁安全供应商采取行动,”Denim Group首席分析师Dan Cornell表示,“这对构建广泛部署软件的独立软件供应商也是一个警示。”

  Cornell补充说,广泛普及的Java等软件和Adobe Reader等托管服务给供应商带来特殊的挑战,因为这些软件和服务提供了一个平台来传播安全漏洞。根据iViZ的调查及其他调查结果,Cornell表示,安全市场对供应商制定了越来越多的监管机制,以确保他们生产和部署安全的代码。

  iViZ在其调查结果中预测,将会出现越来越多针对安全产品的攻击,同时,发现的大部分漏洞仍然未解决。这也意味着,随着高级持续攻击不断入侵商业网络和各种安全产品,这些漏洞将继续被利用。

  根据iViZ的调查显示,自2007年以来,安全产品中发现的漏洞数量一致在下降,而在2011年触底反弹。除了防病毒产品漏洞,防火墙泄露事故以及入侵检测和防护产品漏洞是去年安全问题的主要原因。在列出了2012年针对美国安全公司(例如赛门铁克、Panda Security和Barracuda Networks)的一系列高曝光率的攻击后,该调查的结论是“安全公司遭受攻击可能导致世界各地发生某种连锁安全泄露事故”。

  通过其自身的渗透测试,iViZ称其发现了多种防病毒产品中的远程代码执行和数据窃取漏洞。该公司在其调查中使用了广泛接受的漏洞标准和数据库,包括常见漏洞枚举、常见产品枚举以及国家漏洞数据库——美国政府漏洞管理数据仓库(据报道,在3月份,NVD本身遭受了攻击,在两台服务器受到恶意软件攻击后,一个公众网站和其他服务被中断)。

  对于安全产品中的漏洞,iViZ建议买家要求供应商提供安全产品认证和独立渗透测试。该公司还建议企业应采取积极的措施,例如部署有效的检测和响应机制。尽管出现越来越多的不安全因素,Cornell表示他看到了广泛普及的托管服务(例如Adobe)在确保代码安全方面的一些进展。他还指出,Adobe在4月任命Brad Arkin为首席安全官。

  “Adobe有一些在世界各地广泛部署的软件,我们也清醒地意识到,这使我们成为攻击者的目标,”Arkin在博客中指出,他还补充说他将“继续管理和促进与更广泛安全社区的双向沟通,这是核心安全功能的重要组成部分”。

  Cornell总结道,Adobe等公司已经取得了一些进展,但是他们也面临艰巨的问题,即确保数百万行代码的安全性,同时跟上快速变化的市场步伐。最后,这些供应商必须关注于其功能安全性。

翻译

邹铮
邹铮

相关推荐

  • 企业是否应信任第三方代码?

    软件日益成为企业从事各种业务的核心,而合作伙伴提供软件中的漏洞可能会成为企业的漏洞。企业是否该信任第三方代码呢?

  • “软件移植”如何修复受损代码?

    何谓软件移植?它们如何修复受损代码?它会在企业软件生命周期中占据一席之地吗?此外,它们是否会导致更多的软件漏洞和安全漏洞?

  • 软件漏洞到底该不该被披露?

    现在有关漏洞披露的辩论非常激烈:一方面企业有权利知道自己正处于危险之中,但另一方面,供应商需要时间来修复漏洞。那么,哪一方面更重要呢?

  • 如何最大化自动补丁管理工具的作用?

    对于很多企业而言,补丁管理是数字资产管理中经常被忽视的方面,这相当于埋了颗定时炸弹。而自动补丁管理可确保已安装的软件包含应用或操作系统供应商提供的最新特性和功能。