近期，來(lái)自卡巴斯基實(shí)驗(yàn)室和Outpost24的安全專(zhuān)家針對(duì)歐洲一些組織進(jìn)行了安全評(píng)估，研究了未修補(bǔ)漏洞的普遍性，目的是更好地了解全球IT安全狀況。這次聯(lián)合調(diào)查顯示，即使針對(duì)企業(yè)網(wǎng)絡(luò)發(fā)動(dòng)并不復(fù)雜的攻擊，成功率也相當(dāng)高，而且不需要使用成本較高的零日漏洞利用程序。盡管零日攻擊的數(shù)量在不斷上升，但網(wǎng)絡(luò)罪犯仍然大量使用已知的漏洞發(fā)動(dòng)攻擊。這并不奇怪，因?yàn)橐话闫髽I(yè)要修復(fù)安全漏洞，需要60-70天的時(shí)間，而這一段時(shí)間足以讓網(wǎng)絡(luò)罪犯入侵企業(yè)網(wǎng)絡(luò)。安全專(zhuān)家團(tuán)隊(duì)進(jìn)行的安全評(píng)估還顯示，網(wǎng)絡(luò)罪犯根本無(wú)需入侵整個(gè)企業(yè)系統(tǒng)，只需“破解”管理系統(tǒng)的人即可。

通常，企業(yè)的安全基準(zhǔn)要求在3個(gè)月內(nèi)解決所有高危漏洞。但是77%的漏洞不僅3個(gè)月期限后依然存在，甚至在發(fā)現(xiàn)一年后仍然存在于企業(yè)IT環(huán)境中。卡巴斯基實(shí)驗(yàn)室和Outpost24聯(lián)合小組收集到早在2010年就發(fā)現(xiàn)的漏洞數(shù)據(jù)，還發(fā)現(xiàn)在過(guò)去3年中一直處于危險(xiǎn)狀態(tài)下的系統(tǒng)。這類(lèi)未修補(bǔ)的漏洞非常危險(xiǎn)，因?yàn)檫@些漏洞很容易被利用，并且會(huì)造成嚴(yán)重后果。有趣的是，調(diào)查人員甚至發(fā)現(xiàn)一些十年來(lái)從未修補(bǔ)漏洞的企業(yè)系統(tǒng)，而且企業(yè)還花錢(qián)采用相應(yīng)服務(wù)監(jiān)控其安全。

同Outpost21團(tuán)隊(duì)收集數(shù)據(jù)后，卡巴斯基實(shí)驗(yàn)室資深安全研究員David Jacoby決定進(jìn)行一項(xiàng)社交工程攻擊試驗(yàn)，測(cè)試在政府機(jī)構(gòu)、酒店和私營(yíng)企業(yè)的計(jì)算機(jī)上插入U(xiǎn)盤(pán)是否容易做到。測(cè)試員David身著西裝，拿著一個(gè)拷貝有自身簡(jiǎn)歷PDF文件的優(yōu)盤(pán)來(lái)到11家組織的前臺(tái)，詢問(wèn)工作人員是否可以幫助他打印一個(gè)文檔，并聲稱該文檔用于其他目的。這次安全評(píng)估的樣本包括3家不同的連鎖酒店、6家政府機(jī)構(gòu)和2家大型私企。政府機(jī)構(gòu)的計(jì)算機(jī)通常會(huì)存儲(chǔ)關(guān)于公民的敏感信息，而大型私企通常會(huì)同其他企業(yè)網(wǎng)絡(luò)相連，而經(jīng)常出入五星級(jí)酒店的人員則包括外交人員、政治家和C級(jí)高管。

只有一家酒店同意讓David將優(yōu)盤(pán)插入他們的計(jì)算機(jī)上，另外兩家酒店則拒絕這樣做。所有私營(yíng)企業(yè)同樣拒絕了David的請(qǐng)求。David拜訪的6家政府機(jī)構(gòu)中，有4個(gè)幫助David將優(yōu)盤(pán)插入計(jì)算機(jī)中。其中兩家機(jī)構(gòu)的計(jì)算機(jī)USB端口被屏蔽，所以工作人員讓他通過(guò)郵件發(fā)送文件。這些做法都很容易通過(guò)PDF軟件中的漏洞感染計(jì)算機(jī)系統(tǒng)。

“令人感到驚奇的是，酒店和私營(yíng)企業(yè)的安全意識(shí)要高于政府機(jī)構(gòu)?；谶@些一手結(jié)果，我們看出確實(shí)存在一個(gè)問(wèn)題。我們進(jìn)行的安全評(píng)估適用于任何國(guó)家，因?yàn)榘踩┒幢粰z測(cè)出后到安全漏洞被修補(bǔ)之間存在巨大的時(shí)間差，這一問(wèn)題普遍存在。U盤(pán)試驗(yàn)結(jié)果對(duì)于那些尋求定制安全解決方案，用于抵御未來(lái)威脅的人來(lái)說(shuō)是一記警鐘。同時(shí)，強(qiáng)調(diào)了培訓(xùn)員工安全警惕意識(shí)的重要性！”卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)高級(jí)安全分析師David評(píng)論說(shuō)。

Outpost24的首席安全管Martin Jartelius則表示 ：“目前很多企業(yè)浪費(fèi)寶貴的資源預(yù)防未來(lái)威脅，同時(shí)又無(wú)法解決當(dāng)今威脅以及更早的威脅造成的問(wèn)題。我們應(yīng)當(dāng)從使用單獨(dú)的安全工具轉(zhuǎn)向在企業(yè)中引入集成的解決方案，使其成為企業(yè)流程的一部分，這一點(diǎn)非常重要。”