僅3%的企業在發現Heartbleed后全面修復了Web服務器
責編:admin |2014-07-30 15:09:46最近一項調查針對全球各大頂尖企業的公共Web服務器作出評估,并指出目前只有3%的設備已經徹底擺脫OpenSSL漏洞、也就是Heartbleed的威脅。
此次研究由安全專業機構Venafi實驗室負責執行,涵蓋《福布斯》評選出的全球企業2000強中1639家的約55萬臺服務器設備。調查結果顯示,已經有99%的企業針對Heartbleed數據泄露漏洞安裝過修復補丁。
然而Venafi強調稱,其中只有15000臺安裝過補丁的服務器進行了私用密鑰修改并利用新的SSL證書取代了原有安全憑證。根據我們掌握的情況,鑒于Heartbleed漏洞可被用于竊取受害計算機內存中的私用密鑰,用戶應該以服務器密鑰及證書已經遭到破壞為假設性前提推進保護措施。
“解決此類安全問題的流程不再像過去那樣簡單而直觀,”Venafi實驗室安全戰略與威脅情報事務副總裁Kevin Bocek在接受采訪時指出。“大家不能單純在安裝了補丁之后就認為自己可以高枕無憂。”
他指出,此次曝出的OpenSSL漏洞自兩年前開始就已經被惡意人士們實際利用,但直到今年四月才真正引起安全行業的警覺。在此期間,企業用戶的密碼內容很可能已經被攻擊者們所掌握,此外加密密鑰與證書數據也可能已經被用于偽裝虛假的企業服務器。
Bocek表示,在不面向公眾的服務器設備方面事態可能更加糟糕。而且在大多數情況下,處于企業防火墻內部的服務器設備還沒有安裝過足以對抗Heartbleed漏洞的補丁。
說到已經徹底將Heartbleed漏洞踢出業務環境之外的企業,計算機服務廠商的表現無疑最為突出,緊隨其后的依次為廣播公司、銀行以及半導體行業。