安全產(chǎn)品本身似乎帶來更大的不安全性。這是iViZ Security公司對安全產(chǎn)品漏洞趨勢的最新調(diào)查的結(jié)論。這家漏洞測試公司發(fā)現(xiàn)，2012年推出的安全產(chǎn)品的漏洞大幅增加，在過去三年的復(fù)合年增長率達(dá)到近37.3%。

在iViZ調(diào)查的安全產(chǎn)品中，軟件漏洞最多的是防病毒產(chǎn)品，占所有安全產(chǎn)品的漏洞的49%。在漏洞規(guī)模方面，SQL注入是最少見的。在調(diào)查安全產(chǎn)品的不同薄弱點時，iViZ表示他們將產(chǎn)品代碼中可能導(dǎo)致安全軟件漏洞的錯誤或缺陷定義為薄弱點?；谶@種定義，該公司發(fā)現(xiàn)安全產(chǎn)品中的兩個主要弱點是訪問控制和輸入驗證。該調(diào)查發(fā)現(xiàn)，與2011年相比，訪問控制漏洞急劇增加。

由于攻擊者越來越多地瞄準(zhǔn)最新推出的安全產(chǎn)品，這也許并不奇怪：各大安全廠商(例如McAfee、思科和賽門鐵克)的產(chǎn)品是2012年發(fā)布的產(chǎn)品中存在漏洞最多的產(chǎn)品。該調(diào)查還指出，其他商業(yè)和開源產(chǎn)品有著類似的漏洞趨勢。“這不僅是呼吁安全供應(yīng)商采取行動，”Denim Group首席分析師Dan Cornell表示，“這對構(gòu)建廣泛部署軟件的獨立軟件供應(yīng)商也是一個警示。”

Cornell補充說，廣泛普及的Java等軟件和Adobe Reader等托管服務(wù)給供應(yīng)商帶來特殊的挑戰(zhàn)，因為這些軟件和服務(wù)提供了一個平臺來傳播安全漏洞。根據(jù)iViZ的調(diào)查及其他調(diào)查結(jié)果，Cornell表示，安全市場對供應(yīng)商制定了越來越多的監(jiān)管機制，以確保他們生產(chǎn)和部署安全的代碼。

iViZ在其調(diào)查結(jié)果中預(yù)測，將會出現(xiàn)越來越多針對安全產(chǎn)品的攻擊，同時，發(fā)現(xiàn)的大部分漏洞仍然未解決。這也意味著，隨著高級持續(xù)攻擊不斷入侵商業(yè)網(wǎng)絡(luò)和各種安全產(chǎn)品，這些漏洞將繼續(xù)被利用。

根據(jù)iViZ的調(diào)查顯示，自2007年以來，安全產(chǎn)品中發(fā)現(xiàn)的漏洞數(shù)量一致在下降，而在2011年觸底反彈。除了防病毒產(chǎn)品漏洞，防火墻泄露事故以及入侵檢測和防護產(chǎn)品漏洞是去年安全問題的主要原因。在列出了2012年針對美國安全公司(例如賽門鐵克、Panda Security和Barracuda Networks)的一系列高曝光率的攻擊后，該調(diào)查的結(jié)論是“安全公司遭受攻擊可能導(dǎo)致世界各地發(fā)生某種連鎖安全泄露事故”。

通過其自身的滲透測試，iViZ稱其發(fā)現(xiàn)了多種防病毒產(chǎn)品中的遠(yuǎn)程代碼執(zhí)行和數(shù)據(jù)竊取漏洞。該公司在其調(diào)查中使用了廣泛接受的漏洞標(biāo)準(zhǔn)和數(shù)據(jù)庫，包括常見漏洞枚舉、常見產(chǎn)品枚舉以及國家漏洞數(shù)據(jù)庫——美國政府漏洞管理數(shù)據(jù)倉庫(據(jù)報道，在3月份，NVD本身遭受了攻擊，在兩臺服務(wù)器受到惡意軟件攻擊后，一個公眾網(wǎng)站和其他服務(wù)被中斷)。

對于安全產(chǎn)品中的漏洞，iViZ建議買家要求供應(yīng)商提供安全產(chǎn)品認(rèn)證和獨立滲透測試。該公司還建議企業(yè)應(yīng)采取積極的措施，例如部署有效的檢測和響應(yīng)機制。盡管出現(xiàn)越來越多的不安全因素，Cornell表示他看到了廣泛普及的托管服務(wù)(例如Adobe)在確保代碼安全方面的一些進展。他還指出，Adobe在4月任命Brad Arkin為首席安全官。

“Adobe有一些在世界各地廣泛部署的軟件，我們也清醒地意識到，這使我們成為攻擊者的目標(biāo)，”Arkin在博客中指出，他還補充說他將“繼續(xù)管理和促進與更廣泛安全社區(qū)的雙向溝通，這是核心安全功能的重要組成部分”。

Cornell總結(jié)道，Adobe等公司已經(jīng)取得了一些進展，但是他們也面臨艱巨的問題，即確保數(shù)百萬行代碼的安全性，同時跟上快速變化的市場步伐。最后，這些供應(yīng)商必須關(guān)注于其功能安全性。

TechTarget中國原創(chuàng)內(nèi)容，原文鏈接：http://www.searchsecurity.com.cn/showcontent_74313.htm?lg=t