在思科日前公布的《2014年年度安全報告》中，思科將甲骨文旗下Java語言視為全球安全漏洞背后的最大黑手。

思科在報告中指出，IT領(lǐng)域企業(yè)在2013年經(jīng)歷了大大小小的安全風險和攻擊，但沒有任何一種技術(shù)比Java更應(yīng)該得到人們的責備。據(jù)悉，在2013年全球所有形式的網(wǎng)絡(luò)入侵中，基于Java展開的黑客攻擊就為其貢獻了高達91%的比例。

參與撰寫這份報告的威脅研究員、同時也是思科技術(shù)部門負責人的萊維-貢德特(Levi Gundert)認為，Java目前已經(jīng)幾乎成為了所有有預謀網(wǎng)絡(luò)攻擊的最重要武器。

“我十分吃驚的發(fā)現(xiàn)基于Java展開的黑客攻擊占到了2013年全球所有形式網(wǎng)絡(luò)入侵91%的比例。其中有一些攻擊是利用了Java的‘零時差攻擊’ (zero-day attack，又叫零時差攻擊，即安全補丁與瑕疵曝光的同一日內(nèi)，相關(guān)的惡意程序就出現(xiàn)并對漏洞進行攻擊的一種形式)漏洞，另外有很大一部分則是利用了我 們已經(jīng)已經(jīng)知道的Java漏洞。”貢德特說道。

事實上，思科并不是唯一一家發(fā)現(xiàn)基于Java黑客攻擊數(shù)量在2013年迎來上升的企業(yè)，包括惠普和行業(yè)知名的卡巴斯基實驗室也都發(fā)現(xiàn)了這一趨勢。當?shù)貢r間周六，甲骨文再次對Java推送了更新，本次更新覆蓋了已知的51個漏洞。

“2013年可以說是Java漏洞爆發(fā)的一年。”貢德特補充道。

除此之外，貢德特還認為Java漏洞之所以這么容易成為黑客目標的另一個原因在于人們通常不會按時對其進行更新。但與此同時，由于Java出色的兼容性能，該語言在企業(yè)和開發(fā)者中則一直頗受歡迎。

貢德特表示：“現(xiàn)在的挑戰(zhàn)在于，由于基于Java語言編寫的應(yīng)用程序數(shù)量巨大，發(fā)布更新補丁已經(jīng)不是一件輕松的事情。對于企業(yè)用戶來說，他們所面臨的挑戰(zhàn)則更為艱巨。”

而且，單純發(fā)布更新補丁對于Java來說恐怕也很難做到萬無一失，因為在2013年我們就看到了許多起Java零時差攻擊事件的發(fā)生，這些漏洞甚至對美國勞工部(Department of Labor)的日常工作造成了巨大影響。

考慮到企業(yè)用戶并不能僅僅通過禁用Java的形式來防止類似攻擊事件的發(fā)生，貢德特還在報告中為他們提供一些防范建議。他認為，防范此類攻擊最重要的一點便是用戶對此提高警惕性。

“舉例來說，當用戶所打開的一個頁面包含了一些模糊不清的Java腳本，該用戶就需要檢查自己是否已經(jīng)被重新定向了。因為大多數(shù)正規(guī)網(wǎng)站不會使用模糊不清或者隱藏式的Java腳本語言，更加不會在未經(jīng)用戶許可前對用戶進行重定向。”貢德特補充道。

除 了基于Java漏洞的黑客攻擊數(shù)量呈現(xiàn)出了明顯上升趨勢以外，思科還在《2014年年度安全報告》中指出了科技行業(yè)的其他一些關(guān)鍵數(shù)據(jù)。其中就包括 2014年網(wǎng)絡(luò)攻擊數(shù)量相較去年整體上升了14%，而制藥、礦業(yè)和電子工業(yè)等知識產(chǎn)權(quán)密集的行業(yè)已經(jīng)成為了網(wǎng)絡(luò)罪犯的首選目標。更令人吃驚的是，在思科此 次選取的30家大型跨國企業(yè)中，他們無一例外的都在2013年訪問過包含惡意軟件的網(wǎng)站。

“我們非常吃驚的看到這一比例竟然高達100%。因此現(xiàn)在的問題已經(jīng)不在于這些企業(yè)將何時出現(xiàn)安全漏洞，而在于他們需要花費多長時間才能意識到這一問題，并對其進行修補。”貢德特補充道。

除了越來越多的企業(yè)遭遇安全問題以外，思科還在報告中指出了科技行業(yè)所面臨的一個人力資源問題。具體來說就是，IT安全領(lǐng)域?qū)＜业膹臉I(yè)人數(shù)將在2014年出現(xiàn)高達100萬人次的缺口。

“考慮到我們所經(jīng)歷的威脅情況，2013年是非常慘淡的一年。無論你手頭擁有什么樣的安全工具，如果你沒有合適員工堅守在這一崗位上的話，你依舊很難保障自己的IT安全。”貢德特最后說道。