新闻链接：http://www.seehand.com/news/344.html
新闻时间：2015.01.23
新闻正文：根据Cisco思科公司的年度安全报告，在2014年，Java漏洞攻击数量有所减少，但是伴随着安全防护军备竞赛的持续升温，垃圾邮件攻击气势汹汹的卷土重来。

Cisco思科公司近日发布了2015年度安全报告，展示了信息安全方面最新的潮流趋势。其中令人惊讶的发现是Cisco思科公司在2014年度报道称针对Java漏洞开发的网络攻击活动正在流行。

在Cisco思科公司2014年度的安全报告中，Cisco思科公司报道称Java是91%的网络攻击活动的主要原因。而在2015年度的安全报告中，通过追踪2014年的数据，Cisco思科公司研究发现仅追踪到19个新的紧急级别的Java漏洞，与2013年的54个相比数量有所下降。

Cisco思科公司的安全业务组的首席架构师Martin Roesch表示，目前还存在着之前发现的利用Java漏洞开发的恶意程序，但是Java虚拟机（JVM）不断被更新。我怀疑许多Java攻击是针对JVM的，而且JVM的质量随着具有更好的安全性变得更好。

Roesch表示，安全供应商不断的提醒用户更新升级Java虚拟机（JVM）可能有助于减少利用Java漏洞的网络攻击。

Roesch说，我不会对任何人说不要运行Java语言设计的程序，但是我会说在必要的时候再使用它。因为Java确实具有受攻击的巨大可能性，而且就如同所有的软件一样，Java也有可能被黑客开发利用的漏洞，用户应当基于自身的安全状况和风险情况进行评估来选择是否使用Java语言设计的程序。

虽然Java看起来似乎比去年有所提高，但是Cisco思科公司的报告称Adobe Flash和PDF阅读器，以及微软的IE浏览器具有最多的应用程序漏洞以及基于此开发的恶意攻击程序。其中Adobe Flash和PDF阅读器占所有监测到的攻击数量的19%，IE浏览器占到31%的比例。

Roesch说，我们还注意到IE浏览器是用户更新升级次数最少的浏览器，只有10%的用户正在使用最新版本的浏览器。

Cisco思科公司的安全报告中还包含有思科安全能力基准研究调查了1738名专业人士得出的结论。Roesch表示，这项研究最惊人的发现之一是缺乏漏洞修复能力。只有38%的受访者表示经常的修复和配置管理制度。他指出，低水平的漏洞修复能力不仅存在于IE浏览器升级包，也存在于高知名度的安全升级包，包括OpenSSL和Heartbleed漏洞。

Roesch表示，Heartbleed漏洞是巨大的，然而我们看到的56%的OpenSSL版本仍然存在漏洞。最让我吃惊的是人们知道存在这些漏洞，但是却并没有采取任何措施或者规则升级修复这些漏洞。

Cisco思科公司的安全报告中的另外一个重大发现是，垃圾邮件攻击的数量在2014年比前年增加了250%。2014年垃圾邮件攻击增加的主要推动力之一是对所谓的垃圾邮件技术snowshoe雪鞋的使用。通过采用snowshoe雪鞋垃圾邮件技术，信息可以通过许多不同的IP地址发送出去，而且每个IP地址都只发送少量的信息，这样就可以避免垃圾邮件信息被系统检测发现和过滤掉。

Roesch表示，网络攻击者在不断创新，他们发明了snowshoe雪鞋的技术方法，而且到目前为止这种方法是十分有效的。我们将继续看到关于安全防护的军备竞赛绝不会减缓。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课