安全產品本身似乎帶來更大的不安全性。這是iviz security公司對安全產品漏洞趨勢的最新調查的結論。這家漏洞測試公司發現,2023年推出的安全產品的漏洞大幅增加,在過去三年的復合年增長率達到近37.3%。
在iviz調查的安全產品中,軟體漏洞最多的是防病毒產品,佔所有安全產品的漏洞的49%。在漏洞規模方面,sql注入是最少見的。在調查安全產品的不同薄弱點時,iviz表示他們將產品**中可能導致安全軟體漏洞的錯誤或缺陷定義為薄弱點。基於這種定義,該公司發現安全產品中的兩個主要弱點是訪問控制和輸入驗證。該調查發現,與2023年相比,訪問控制漏洞急劇增加。
由於攻擊者越來越多地瞄準最新推出的安全產品,這也許並不奇怪:各大安全廠商(例如mcafee、思科和賽門鐵克)的產品是2023年發布的產品中存在漏洞最多的產品。該調查還指出,其他商業和開源產品有著類似的漏洞趨勢。「這不僅是呼籲安全**商採取行動,」denim group首席分析師dan cornell表示,「這對構建廣泛部署軟體的獨立軟體**商也是乙個警示。」
cornell補充說,廣泛普及的j**a等軟體和adobe reader等託管服務給**商帶來特殊的挑戰,因為這些軟體和服務提供了乙個平台來傳播安全漏洞。根據iviz的調查及其他調查結果,cornell表示,安全市場對**商制定了越來越多的監管機制,以確保他們生產和部署安全的**。
iviz在其調查結果中**,將會出現越來越多針對安全產品的攻擊,同時,發現的大部分漏洞仍然未解決。這也意味著,隨著高階持續攻擊不斷入侵商業網路和各種安全產品,這些漏洞將繼續被利用。
根據iviz的調查顯示,自2023年以來,安全產品中發現的漏洞數量一致在下降,而在2023年觸底**。除了防病毒產品漏洞,防火牆洩露事故以及入侵檢測和防護產品漏洞是去年安全問題的主要原因。在列出了2023年針對美國安全公司(例如賽門鐵克、panda security和barracuda networks)的一系列高**率的攻擊後,該調查的結論是「安全公司遭受攻擊可能導致世界各地發生某種連鎖安全洩露事故」。
通過其自身的滲透測試,iviz稱其發現了多種防病毒產品中的遠端**執行和資料竊取漏洞。該公司在其調查中使用了廣泛接受的漏洞標準和資料庫,包括常見漏洞列舉、常見產品列舉以及國家漏洞資料庫——美國**漏洞管理資料倉儲(據報道,在3月份,nvd本身遭受了攻擊,在兩台伺服器受到惡意軟體攻擊後,乙個公眾**和其他服務被中斷)。
對於安全產品中的漏洞,iviz建議買家要求**商提供安全產品認證和獨立滲透測試。該公司還建議企業應採取積極的措施,例如部署有效的檢測和響應機制。儘管出現越來越多的不安全因素,cornell表示他看到了廣泛普及的託管服務(例如adobe)在確保**安全方面的一些進展。他還指出,adobe在4月任命brad arkin為首席安全官。
「adobe有一些在世界各地廣泛部署的軟體,我們也清醒地意識到,這使我們成為攻擊者的目標,」arkin在部落格中指出,他還補充說他將「繼續管理和促進與更廣泛安全社群的雙向溝通,這是核心安全功能的重要組成部分」。
cornell總結道,adobe等公司已經取得了一些進展,但是他們也面臨艱鉅的問題,即確保數百萬行**的安全性,同時跟上快速變化的市場步伐。最後,這些**商必須關注於其功能安全性。
資訊保安產品體系的介紹
如圖所示 比較形象的說明了網路安全產品的作用 vpn通道 防火牆 firewall 也稱防護牆,是由check point創立者gil shwed於1993年發明並引入國際網際網路 us5606668 a 1993 12 15 它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統...
終端安全產品的進化 終端安全檢測和響應
終端威脅的進化 現今針對於終端的惡意威脅複雜性和多樣性都有顯著的變化和提公升,短短的幾年時間,惡意威脅就由原來的盲目 直接 粗暴的惡意攻擊手段轉變為有目標 精確 持久隱藏的高階威脅所取代。同時現在高階威脅也並非像原來的單一的威脅事件,它們會依照安排好的多個階段進行有條不紊的開展,預估好每一步驟,通過...
上雲安全必須了解的安全產品 阿里云云盾
上雲安全必須了解的安全產品 阿里云云盾 為了切實有效地攔截黑客掃瞄和入侵行為,最大程度減少 被黑 被掛黑鏈等安全事故發生,阿里雲通過自主研發,推出了自己的分布式大規模防護產品 雲盾,能有效攔截黑客掃瞄和入侵行為,極大增強雲主機的安全性,為使用者的 安全運營保駕護航。有了這些安全防護措施,可以大大降低...