Secunia称：应更关注第三方应用安全性

根据安全厂商Secunia本周发布的端点安全报告显示，对于用户和企业而言，第三方应用安全问题要比微软程序的问题更严重。

在2012年，Secunia通过其安装在用户计算机上的个人安全软件从几百万台电脑收集了匿名数据，并发布了端点安全报告《2013 Secunia漏洞预览》，介绍了这些计算机上安装的50个最常用程序中存在的漏洞问题，其中29个程序来自微软，而其他则来自第三方供应商。

在前50个最常用程序中发现的漏洞有86%感染第三方程序，而在最受影响的第三方程序中，大多数程序都是常用程序，包括甲骨文的Java和Adobe的Flash和Reader应用。

在这些发现的漏洞中，80%的漏洞在披露的当天就提供了修补程序，这比2011年报告的数字增长了8%。然而，Secunia的专家估计这个数字不太可能会进一步改善，这意味着补丁管理已经不能解决这些问题。对于存在未修补漏洞的程序，Secunia首席安全官Thomas Kristensen建议企业仔细研究其部署的第三方应用，以确定它们是否值得冒险，如果不值得，是否可以使用更安全的替代品来替换它们。

“只有两种方式可以保护这些程序：部署补丁程序或者不要安装它们，”Kristensen在SearchSecurity的邮件采访中称，“对于企业而言，应该评估这些程序是否是关键业务型程序，如果不是的话，企业需要考虑不要在企业中使用这些程序。”

尽管安全界对零日漏洞很关注，但Secunia指出，发现零日漏洞的数量正在逐年下降。在2012年仅发现了8个零日漏洞，而2011年为14个。对于Kristensen而言，这揭露了攻击的经济现实以及软件安全普遍的糟糕状态。

“与零日漏洞相比，漏洞更加便宜，且更容易使用，”他表示，“攻击者并没有必要花费时间和金钱来开发零日漏洞，因为周围存在很多易受攻击的未打补丁的软件。”

另一方面，该报告指出微软应该继续提高其应用的安全性。虽然其XP操作系统曾是攻击者的“出气筒”，但Secunia报告称，在过去五年中，感染微软程序的漏洞比率从43%下降到14%。

用户必须要求应用安全性

Web浏览器的安全性是Secunia报告中的亮点之一。虽然大多数主流浏览器比一般程序存在更多漏洞，但厂商通常会迅速提供补丁程序，这突出了软件厂商市场激烈的竞争。从经验来看，安全不是一个卖点，然而Kristensen感觉用户比较重视web浏览器的安全性。

“安全性一直是主要的竞争因素，如果你提供一个不安全的浏览器，用户会选择其他浏览器，你将失去市场份额，”他表示，“而对于Java和Flash这样的程序，用户没有其他选择，这也是为什么他们不安全，但他们还能继续还生存下去。”

当消费者并没有要求产品的安全性时，其结果就是SCADA软件安全性的当前状态，该报告将其与10年前的主流软件安全作比较。SCADA软件漏洞的数量在过去五年间有所增加，但更令人担忧的是，大家普遍认为升级程序 “不稳定”。近几年出现的SCADA和工业控制系统(ICS)安全问题成为国家安全问题的主题，关键基础设施遭受网络攻击的事故屡见不鲜。 Kristensen表示，SCADA软件存在一定的安全威胁，他认为客户应该向SCADA厂商施压，让他们提高其产品的安全性，就像他们对web浏览器厂商那样。

“客户必须开始对软件厂商提出安全要求。SCADA软件并不像浏览器产品那么流行，但总是涉及金钱因素，”他表示，SCADA客户必须要求他们购买的产品是安全的，这应该在合同中声明。有钱能使鬼推磨，客户能够影响其购买的产品质量。