惠普报告显示网络安全的糟糕状态 - 彭博社

至少有一个组织可以从阅读今年的 HP安全研究网络风险报告 中感到欣慰，那就是国家安全局。今天的研究突显了公司在其业务中部署的软件中存在的巨大且日益增长的漏洞，这使得间谍机构的工作变得更加容易。对我们其他人来说，这令人沮丧。

惠普，现在是网络安全服务的主要参与者，自2009年以来发布年度评估。该公司运营着最大的漏洞奖励计划之一，向披露商业软件中漏洞的研究人员支付报酬，以便进行修复。

根据惠普的数据，截至2013年11月报告的新漏洞总数为4,704个，比一年前下降了6%。最严重漏洞的报告下降了9%。虽然这看起来可能是件好事，但惠普企业安全产品的首席技术官雅各布·韦斯特表示，这可能并不是。乐观的观点是，安全投资正在取得回报，但韦斯特并不认同。

“我们正在构建和使用越来越多的系统——它们变化迅速，”韦斯特说。“我们有像移动这样的新技术被引入。随着攻击面迅速扩大，发现的问题减少是不太可能的。”更可能的情况是，最严重的——即最有价值的——漏洞没有被报告，而是被出售给网络犯罪分子，或者进入灰色市场，在那里它们被购买并仅选择性地披露给可能利用它们的付费订阅者。

正如West所指出的，移动技术引入了一个不安全的领域。HP的研究调查了180个移动应用程序，包括苹果的iOS软件和谷歌的Android操作系统，发现几乎一半——46%——要么根本没有使用加密，要么使用不当，导致敏感数据可能暴露。

另一个日益增长的攻击面是被称为监控控制和数据采集（Scada）系统的工业控制系统，这些系统在从制造到发电的行业中使用。过去，这些系统往往在私有、封闭的网络上运行；现在，它们越来越多地与企业网络和公共互联网连接，使其成为一个诱人的目标，West说。

微软的Internet Explorer是最受攻击的产品，占据了提交给零日计划（Zero Day Initiative）——HP的漏洞披露程序——的漏洞的50%以上。

该研究强调了一些公司应该关注的“低垂的果实”领域。HP发现，80%的应用程序不安全是因为它们部署不当——错误的文件设置、过时的软件版本或服务器配置错误——而不是源代码中的缺陷，公司应该审计软件以查找此类问题。

另一个弱点是软件泄露过多信息。HP测试的应用程序中有超过一半表现出泄露有关应用程序、其实现或其用户的信息的弱点。一个具体的例子来自我们都熟悉的——登录应用程序。当你输入用户名和密码时，也许你输入了其中一个错误，结果屏幕告诉你这一点。从你的角度来看，知道你输入的是错误的用户名还是错误的密码是有帮助的。但这对试图入侵的攻击者也是有帮助的，因为这告诉他们哪个部分是正确的。从安全的角度来看，如果错误屏幕不具体说明哪个部分不正确，那就更好了。

“这是一个很好的例子，说明一个应用程序没有提供足够的信息，”韦斯特说。“对于开发人员和操作这些软件系统的人来说，过去一两年可能看起来无害的信息，现在对攻击者来说变得更加重要，这可能会使用户体验更好。”