惠普報告顯示網絡安全的糟糕狀態 - 彭博社

至少有一個組織可以從閲讀今年的 HP安全研究網絡風險報告 中感到欣慰，那就是國家安全局。今天的研究突顯了公司在其業務中部署的軟件中存在的巨大且日益增長的漏洞，這使得間諜機構的工作變得更加容易。對我們其他人來説，這令人沮喪。

惠普，現在是網絡安全服務的主要參與者，自2009年以來發布年度評估。該公司運營着最大的漏洞獎勵計劃之一，向披露商業軟件中漏洞的研究人員支付報酬，以便進行修復。

根據惠普的數據，截至2013年11月報告的新漏洞總數為4,704個，比一年前下降了6%。最嚴重漏洞的報告下降了9%。雖然這看起來可能是件好事，但惠普企業安全產品的首席技術官雅各布·韋斯特表示，這可能並不是。樂觀的觀點是，安全投資正在取得回報，但韋斯特並不認同。

“我們正在構建和使用越來越多的系統——它們變化迅速，”韋斯特説。“我們有像移動這樣的新技術被引入。隨着攻擊面迅速擴大，發現的問題減少是不太可能的。”更可能的情況是，最嚴重的——即最有價值的——漏洞沒有被報告，而是被出售給網絡犯罪分子，或者進入灰色市場，在那裏它們被購買並僅選擇性地披露給可能利用它們的付費訂閲者。

正如West所指出的，移動技術引入了一個不安全的領域。HP的研究調查了180個移動應用程序，包括蘋果的iOS軟件和谷歌的Android操作系統，發現幾乎一半——46%——要麼根本沒有使用加密，要麼使用不當，導致敏感數據可能暴露。

另一個日益增長的攻擊面是被稱為監控控制和數據採集（Scada）系統的工業控制系統，這些系統在從製造到發電的行業中使用。過去，這些系統往往在私有、封閉的網絡上運行；現在，它們越來越多地與企業網絡和公共互聯網連接，使其成為一個誘人的目標，West説。

微軟的Internet Explorer是最受攻擊的產品，佔據了提交給零日計劃（Zero Day Initiative）——HP的漏洞披露程序——的漏洞的50%以上。

該研究強調了一些公司應該關注的“低垂的果實”領域。HP發現，80%的應用程序不安全是因為它們部署不當——錯誤的文件設置、過時的軟件版本或服務器配置錯誤——而不是源代碼中的缺陷，公司應該審計軟件以查找此類問題。

另一個弱點是軟件泄露過多信息。HP測試的應用程序中有超過一半表現出泄露有關應用程序、其實現或其用户的信息的弱點。一個具體的例子來自我們都熟悉的——登錄應用程序。當你輸入用户名和密碼時，也許你輸入了其中一個錯誤，結果屏幕告訴你這一點。從你的角度來看，知道你輸入的是錯誤的用户名還是錯誤的密碼是有幫助的。但這對試圖入侵的攻擊者也是有幫助的，因為這告訴他們哪個部分是正確的。從安全的角度來看，如果錯誤屏幕不具體説明哪個部分不正確，那就更好了。

“這是一個很好的例子，説明一個應用程序沒有提供足夠的信息，”韋斯特説。“對於開發人員和操作這些軟件系統的人來説，過去一兩年可能看起來無害的信息，現在對攻擊者來説變得更加重要，這可能會使用户體驗更好。”