安全产品本身似乎带来更大的不安全性。这是iViZ Security公司对安全产品漏洞趋势的最新调查的结论。这家漏洞测试公司发现,2012年推出的安全产品的漏洞大幅增加,在过去三年的复合年增长率达到近37.3%。
在iViZ调查的安全产品中,软件漏洞最多的是防病毒产品,占所有安全产品的漏洞的49%。在漏洞规模方面,SQL注入是最少见的。在调查安全产品的不同薄弱点时,iViZ表示他们将产品代码中可能导致安全软件漏洞的错误或缺陷定义为薄弱点。基于这种定义,该公司发现安全产品中的两个主要弱点是访问控制和输入验证。该调查发现,与2011年相比,访问控制漏洞急剧增加。
由于攻击者越来越多地瞄准最新推出的安全产品,这也许并不奇怪:各大安全厂商(例如McAfee、思科和赛门铁克)的产品是2012年发布的产品中存在漏洞最多的产品。该调查还指出,其他商业和开源产品有着类似的漏洞趋势。“这不仅是呼吁安全供应商采取行动,”Denim Group首席分析师Dan Cornell表示,“这对构建广泛部署软件的独立软件供应商也是一个警示。”
Cornell补充说,广泛普及的Java等软件和Adobe Reader等托管服务给供应商带来特殊的挑战,因为这些软件和服务提供了一个平台来传播安全漏洞。根据iViZ的调查及其他调查结果,Cornell表示,安全市场对供应商制定了越来越多的监管机制,以确保他们生产和部署安全的代码。
iViZ在其调查结果中预测,将会出现越来越多针对安全产品的攻击,同时,发现的大部分漏洞仍然未解决。这也意味着,随着高级持续攻击不断入侵商业网络和各种安全产品,这些漏洞将继续被利用。
根据iViZ的调查显示,自2007年以来,安全产品中发现的漏洞数量一致在下降,而在2011年触底反弹。除了防病毒产品漏洞,防火墙泄露事故以及入侵检测和防护产品漏洞是去年安全问题的主要原因。在列出了2012年针对美国安全公司(例如赛门铁克、Panda Security和Barracuda Networks)的一系列高曝光率的攻击后,该调查的结论是“安全公司遭受攻击可能导致世界各地发生某种连锁安全泄露事故”。
通过其自身的渗透测试,iViZ称其发现了多种防病毒产品中的远程代码执行和数据窃取漏洞。该公司在其调查中使用了广泛接受的漏洞标准和数据库,包括常见漏洞枚举、常见产品枚举以及国家漏洞数据库——美国政府漏洞管理数据仓库(据报道,在3月份,NVD本身遭受了攻击,在两台服务器受到恶意软件攻击后,一个公众网站和其他服务被中断)。
对于安全产品中的漏洞,iViZ建议买家要求供应商提供安全产品认证和独立渗透测试。该公司还建议企业应采取积极的措施,例如部署有效的检测和响应机制。尽管出现越来越多的不安全因素,Cornell表示他看到了广泛普及的托管服务(例如Adobe)在确保代码安全方面的一些进展。他还指出,Adobe在4月任命Brad Arkin为首席安全官。
“Adobe有一些在世界各地广泛部署的软件,我们也清醒地意识到,这使我们成为攻击者的目标,”Arkin在博客中指出,他还补充说他将“继续管理和促进与更广泛安全社区的双向沟通,这是核心安全功能的重要组成部分”。
Cornell总结道,Adobe等公司已经取得了一些进展,但是他们也面临艰巨的问题,即确保数百万行代码的安全性,同时跟上快速变化的市场步伐。最后,这些供应商必须关注于其功能安全性。
TechTarget中国原创内容,原文链接:http://www.searchsecurity.com.cn/showcontent_74313.htm?lg=t