对企业CTO、CIO、CSO们而言,Java一直是一个很难攻克的难题。在当今的企业环境中,以禁用Java等方式来缓解Java风险很难实现。一般来说,Java都是嵌入在能够保持企业竞争力的企业关键业务应用中。然而遗憾的是,犯罪分子们总是利用Java零日漏洞来入侵用户电脑。这也正是Websense安全实验室的安全专家们在过去几个月内一直坚持研究并记录Java安全风险严重性的原因所在。
Websense安全专家们初步研究了Websense ThreatSeeker智能云收集到的一系列记录数据,这些数据显示了当前Java版本的使用情况。Websense安全专家研究之后发现,Java威胁是普遍存在的,93%的网络计算机在访问Web信息时都易受到已知Java漏洞的攻击。此外,为提高研究的准确性,Websense安全实验室还对企业中Java版本的更新频率进行了调查研究。同时,在Java最新版本发布之后,他们再一次通过实时Web请求了解到了Java版本的使用情况。
Websense安全专家们的研究结果表明,Java补丁更新过程十分缓慢。该补丁发布一周之后,最新版本Java的平均使用率仍不足3%。2周之后,用户使用率有所上升,略高于4%。一个月之后,也仅有近7%的用户安装了最新版本的Java。
然而,事实远不止如此,Websense安全专家们还发现,75%以上的用户电脑中的Java版本至少已过时6个月了,其中近三分之二的已经过时一年以上,超过50%的在用浏览器中的Java版本落后至少两年。
通过对犯罪分子使用的犯罪工具的研究,Websense安全专家了解到,犯罪分子入侵企业网络使用最多也是最成功的方法就是Java漏洞利用。犯罪分子成功入侵用户电脑后,就会感染用户电脑,窃取企业或用户敏感数据。
如果仅有不足10%的企业通过补丁管理和版本控制来管理已知的重要Java漏洞,其余93%的企业要依靠什么安防措施来保护企业系统免遭攻击入侵和数据窃取的威胁呢?Websense安全专家表示,企业应当设法通过充分利用Java版本更新来降低Java风险。
虽然依靠Java的主要网站的数量正在大幅下降,但Java漏洞带来的风险却在不断上升。一些企业企图以补丁管理作为解决方案来降低Java风险,其他的企业却只想通过简单地关闭Java来实现这一目的。然而,由于种种原因,这两种方法都不能实现。
许多企业都有依靠Java的关键业务应用,其中许多应用都依赖于特定的Java版本,不同用户所需的Java版本不同,如果针对某一特定群体关闭了Java,很可能会造成业务应用不可用。这也正是管理Java风险时最先遇到的挑战。
补丁管理:桌面,移动和自动?
补丁管理是一个复杂的过程,Java的跨平台性、Java的更新独立于易受攻击的应用等因素都会影响补丁的管理,特别是对拥有远程用户的企业而言,他们很难对移动员工进行补丁修复。
许多企业都运行在管理严格的桌面环境中,安装新补丁之前,补丁的应用兼容性、系统稳定性和其它重要因素都会得到仔细测试。单一更新与修复会慢慢蚕食关键业务应用,因此Java补丁修复过程必须与快速演变的零日漏洞保持同步。当前部署在企业中的安防措施可能会为企业提供兼容性和其它验证,也可能不会。
也有人认为,自动更新Java可以帮助用户与Google使用的Chrome浏览器中的更新模型保持同步。但遗憾的是,该模型也未能解决Java零日漏洞频发的问题。新的漏洞和补丁发布之间仍有一定的差距。就在今年年初,新的Java漏洞在Java补丁发布的48小时内就已迅速传播,而且很快为黑客们所用。
混合最佳实践可以降低Java风险
Websense安全专家表示,虽然打补丁、卸载Java、实施浏览器替代方法的混合战术可以起到一定的防御效果,但防御效果不佳,实时防御才是保障企业安全最行之有效的方法。
值得注意的是,鉴于上述的种种挑战,这里所说的“卸载”只是一个相对概念。对多数企业而言,他们可以尽量删除与Java相关的应用来降低Java风险。例如:在企业中设置“Java禁用”。由于企业网站中需要依靠Java来实现的功能越来越少,因此除了少数关键业务应用之外,禁用Java不会中断企业网络。
而对于那些需要Java进行技术支持的网站和应用来说,为他们提供特定的Java工作站,将其与网络中的其它部分分离也不失为一个好方法。许多IT企业都有旧的笔记本电脑,企业IT人员正好可以将这些旧电脑重设为Java工作站。此外,企业还可以采用双浏览器的方法,一个主浏览器,一个用来访问指定应用的辅助浏览器。将辅助浏览器配置为支持Java的浏览器,并且只允许这些浏览器访问指定网站,主浏览器中就可以完全删除Java,这样可以帮助企业降低Java风险。
安全解决方案需要加强零日意识
基于Java的零日漏洞仍在不断更新,因此,即使是补丁管理、独立Java机、多浏览器配置和其它控制方法也不能完全消除Java风险。此外,多数厂商并不能提供可以完全防御Java威胁的解决方案,因此新的安全解决方案必须加强对Java威胁的零日意识。
企业可以对应用厂商施加压力,确保他们提供的软件能够兼容最新版本的Java。企业内部开发人员也需要加强安全最佳实践的学习,并将其应用在研发过程中。这包括通过避免非文件功能或工作区的使用来支持更新的程序。旧系统的应用是将企业IT部门与较旧的Java版本联系在一起的因素之一,企业在发展过程中往往会因逐渐减弱的安全性而付出代价。
Websense安全专家们表示,许多企业仍未意识到这一点,他们认为即使存在零日漏洞,他们暴露在网络威胁中的时间也不会很长。企业应真正了解零日漏洞与我们的研究之间的关系,这样才能更好地面对当前IT基础架构中存在的Java挑战。