Java越来越多地被视为安全风险所在,最近一些著名的的攻击事件,更成为这一趋势的证明。Java安全风险的核心问题在于:安全漏洞太多,浏览器很难同步更新到最新版本,特别是Java本身的更新是独立于浏览器的。最近,Websense(NASDAQ: WBSN)安全实验室的专家将Java版本检测功能添加到了ACE(高级分类引擎)产品中,并将其引入Websense ThreatSeeker网络,以便实时探测在数以千万计的终端上有效使用的Java版本。以下就是获得的结果(见图1)。
基于有效浏览器使用的Java运行时环境版本全球分布
由上可见,各种版本的Java都出现在了图表中,而目前最新版本的Java运行时环境(1.7.17)的整体使用率只有5%。大部分的版本已过时数月乃至数年。那么这又是如何转化为攻击空间的呢?
漏洞攻击工具包是用于散布Java安全威胁的常见工具。Websense安全实验室通过Websense威胁搜索网络对数十亿计的日常Web请求进行了分类,厘清了哪些有效浏览器请求是可以被利用的,哪些已经被漏洞攻击工具包所采用。
结果也许并不出人意料:最大的安全漏洞恰恰就是最近被使用过的那个,这在93.77%的浏览器上都是如此。攻击者是这样做的——研究攻击目标的安全控制措施,并找到最简单的方法绕过这些安防措施。运用最新的攻击工具,对数目相当庞大的易受攻击的浏览器发起预打包式的攻击,对攻击者来说,门槛相当之低。多数浏览器都大范围地存在广为人知的Java安全漏洞,75%以上的在用浏览器版本至少过时6个月了,其中将近三分之二的已经过时一年以上,超过50%的落后至少两年。
如果补丁的更新没有跟上,又将如何阻止攻击呢?考虑到漏洞利用工具包及其更新的复杂与多变性,仅有攻击特征还远远不够。Websense用于防御新型Java漏洞攻击的保护模式是通过分析和实时监测,在此类攻击策略的每一步都主动拦截新的实例。更主要的是,ACE涵盖了所有漏洞攻击工具包/攻击阶段,具有对源自所有主要攻击包的可表达安全威胁的细粒度感知能力,不仅包括安全漏洞,还包括混淆技术,重定向技术以及滴漏式木马文件的再包装。Websense安全专家还提示了其它一些可以阻断恶意软件杀伤链的方法,这些方法可以使得恶意攻击者更难以利用当前IT基础架构的漏洞入侵,包括:
· 阻止跨网络、电子邮件和移动平台的诱骗,网络钓鱼和其他形式的社交工程攻击所需的实时智能。
· 用于识别已知或可疑的恶意软件攻击目标以及已遭入侵网站的实时入站智能。
· 能够识别命令和控制通信、僵尸网络、动态DNS请求,以及流向不当目标的指纹数据的实时出站智能。
· 从统计和行为上识别点滴式慢速攻击。
Websense专家特别指出,所有以上安全防范建议都值得高度重视,唯有如此,才能有效抵御Java安全攻击。