記者/陳孟珠
你知道嗎?各個研究公司或企業經常發佈的網路安全漏洞,大部分修補速度緩慢。根據一份針對網際網路資訊安全漏洞的研究顯示,半數有漏洞的系統,過了30天還是沒有進行修補。
日前在Black Hat Briefings資訊安全研討會上所發布的資料顯示,有些漏洞並沒有因為時間的演進而完全絕跡,甚至還會捲土重來。弱點評估公司Qualys的資訊長Gerhard Eschelbeck表示,例如Code Red和SQL Slammer病蟲所利用的漏洞,就正在網際網路上再度發生。
Eschelbeck表示,造成舊漏洞成為安全死角主要的原因,在於企業繼續安裝包含過時軟體的系統,而這個研究也突顯了企業必須更加主動修補系統。研究也發現,安全漏洞的嚴重性和其修補速度呈現正比關係。漏洞越嚴重,企業修補的動作越快,比較不嚴重的漏洞,企業花的時間也比較長,有時甚至長達60天之久,然而一旦時間拖到60天,80%大概都已經有資訊安全研究人員和駭客釋出利用這些漏洞的程式。資訊安全研究人員並指出這是伺服器不安全的主要問題。
甲骨文(Oracle)的首席資訊安全長官Mary Ann Davidson表示,透過政府單位的要求,或許可能帶來更好的品質。Davidson呼籲政府的採購人員,選擇有認證的軟體,「如果政府嚴正要求安全的軟體,那麼業界就會改變,並做出證明。」Davidson並指出,私有部門也應該採取一樣的動作。