DoSECU 安全报道 9月24日消息:SANS的最新市场调研报告发现,安全研究人员数量的急剧增长显示出厂商发现的漏洞如此之多,以至于他们几乎无法在合理的时间期限内对所有的漏洞进行补丁修订。
这种似是而非的观点是网络高级安全风险报告的调研成果之一,SANS研究院目前计划一年两次公布由其合作伙伴TippingPoint和Qualys的用户所提供的安全风险数据,对这份存在多年的年度报告进行更新和补充。
越来越多的研究人员去搜寻漏洞应该是一件好事,但2009年3月到8月的报告显示这也导致了行业内部的问题,就是他们增加产品特性和完善产品功能作为优先完成的任务。
攻击者目前主要是通过应用软件漏洞,服务器端和操作系统明显的缺陷来破坏系统。同时,合法的研究人员已经开始找到同种类型的漏洞,实事求是的披露那些通常没有分配足够资源去解决的漏洞,从而引发某些厂商对恶意攻击的关注。
这份报告的编者强调说"供职于政府和软件厂商的那些技术娴熟的研究人员也存在不足。这要这种不足存在,系统捍卫者在保护他们的系统不受零日攻击的斗争中就会处于不利地位"。
受到攻击的应用软件几乎在世界上的任何一台计算机中都可以找到。SANS研究院认定的主要元凶是微软Office办公自动化软件,Adobe的Acrobat Reader,Flash程序,Sun的Java,以及诸如此类的程序中经常作为插件运行的各种浏览器。苹果电脑公司的Quicktime由于其操作系统使用的普遍程度也日益成为又一个冉冉升起的漏洞明星。
这些数据是令人震惊的。包括零日攻击在内的更多漏洞在软件中出现的频率愈来愈普遍,这也导致了打补丁时间的延长。部分原因是厂商需要花费时间去研发补丁,还有部分原因是企业错误理解了应用软件漏洞的风险性从而花费了太长的时间去打补丁。
报告中称"平均而言,大型企业要给操作系统漏洞打补丁时,至少要花费两倍以上的时间为客户端漏洞打补丁。换句话说,风险级别最高的得到的关注反而比风险级别低的要少"。
根据Qualys公司兼SANS研究院数据提供方的Wolfgang Kandek的说法,第三个问题是如何以有效的方式为消费类计算机进行安全升级。
"现在的问题是,它脱胎于六种(或更多)不同的升级软件版本"在一台计算机上复制应用软件补丁程序已经成为一个重大的挑战,Kandek表示。他建议实施全新的整合机制来实现更加无缝的打补丁工作。 Kandek对谷歌的Chrome浏览器赞赏有加,这款浏览器在无需用户干预的情况下九能自行补丁,这也是未来打补丁发展的模式。
Kandek表示"Qualys自己的年度漏洞报告中已经广泛探讨了应用软件打补丁和补丁周期的问题。因此来自SANS研究院的调研结果都是Qualys公司已经了解的事实"。
更多的功课需要软件厂商来完成,他们需要聘用更多自己和研究人员将他们的发现成果与应用软件漏洞补丁的复杂流程关联在一起。微软在这个领域已经开展了大量工作并推出了软件研发生命周期工具,微软寄望于这款工具能改变应用软件从第一行代码开始的编写方法。其他厂商也在进行这方面的工作,比如说Adobe。