建立Java安全架構 避免Java漏洞被利用

 

導讀：據最近的報道，針對Java的襲擊數量一直在穩步上升。在這篇文章，我們將談到為什麼Java容易成為攻擊者的目標，以及企業應該如何建立Java安全架構，從而成功抵禦基於Java的漏洞攻擊。

雖然蠕蟲、Zeus殭屍網路和極光行動是去年的頭條新聞，但是據Krebs On Security的Brian Krebs和微軟的Holly Stewart最近的報道，針對Java的襲擊數量一直在穩步上升。正如Stewart寫道，針對Java的攻擊和成功攻擊的數量快速增加，最近甚至超過了針對PDF和其他目標的攻擊。

在這篇文章，我們將談到為什麼Java容易成為攻擊者的目標，以及企業應該如何建立Java安全架構，從而成功抵禦基於Java的漏洞攻擊。

Java的現狀

Java運行時環境（Java Runtime Environment），也稱為JRE或就簡稱為Java，安裝在各種不同類型的裝置上，包括大多數PC機、蘋果電腦和Linux台式機，以及智能手機和其他嵌入式裝置。在這些裝置上，PDF閱讀器和Flash播放器同Java的普及水平相似，但Java本身比較特殊，因為它被設計成為可以一次編寫、到處啟動並執行環境，包括你可能想不到的嵌入式系統。

Java既是一種程式設計語言，也是一種需要安裝從而支援Java程式啟動並執行軟體，它還具有額外的保護，這是其他程式設計語言沒有的，然而最近的攻擊卻都繞開了這些保護。甲骨文公司憑藉收購Sun微系統公司從而擁有了Java，雖然其頻繁發布Java更新以便控制漏洞，且Java本身也包括自動升級功能，但是這個功能並不是那麼可靠，無法保證啟動並執行是JRE最新版本。另外，蘋果公司也發布了自己的Java版本，其通常落後於安全修補過程，這就使得Java整體的安全問題更加嚴峻了。

因此，Java JRE對於攻擊者而言，是很有吸引力的目標。Stewart報告說，在過去一年中，三個Java的漏洞累計遭到350萬次攻擊，近200萬台電腦受到攻擊，這使得Java成為最易受到攻擊的軟體之一。

Krebs報告說，針對Java的攻擊已經包含到了漏洞利用程式包中，從而允許攻擊者可以對該程式設計語言的攻擊進行自動化。另外，使用PC機的企業不是唯一應該擔心的，最近針對Java的攻擊有些甚至包括了Mac電腦。從事Mac安全的Intego公司最近報道稱，一個惡意的Java applet超連結

http://blog.intego.com/2010/10/27/intego-security-memo-trojan-horse-osxkoobface-a-affects-mac-os-x-mac-koobface-variant-spreads-via-facebook-twitter-and-more/被命名為Koobface，其已經感染了蘋果的作業系統。由於缺少Java補丁，很多被感染的電腦已經被駭客控制，而最近針對Flash或PDF的襲擊，台式電腦上防惡意軟體的安全措施已經不起作用了。不管怎樣，要想在網路層上檢測Java的襲擊，對IPS/IDS供應商而言已經更加困難了，因為任何潛在的惡意Java程式都需要進行運行測試，以檢查惡意代碼，而這需要耗費大量的計算資源。

企業防禦策略

企業可以通過建立一個Java的安全架構來減少與Java相關的風險。首先，企業應該預判自己是否需要在台式機或者伺服器上安裝Java，如果不需要的話，請卸載Java或者從一開始就不安裝Java。使用者應該只在有應用程式需要時，或台式機需要Java程式支援的情況下，才安裝Java。這是基本的建議，因為如果Java不存在，它就不可能被駭客進行漏洞利用。

接下來，檢查以確保只有最新版本的Java安裝在客戶機上。這些檢測可以用企業管理軟體、指令碼版本檢測、或手動訪問Java下載頁面來完成，這將報告已安裝的Java是哪一版本。以我的經驗來看，老版本經常遺留在系統中以保證向後的相容性，特別是自己編寫的應用程式。如果安裝了Java，它可以配置成每天自動檢查更新，但是這隻對使用者可以自己更新軟體的家庭電腦有用。企業應該把對Java打補丁的優先順序同微軟或Adobe保持一致。對Java的一些特定安全選項進行調查也是可取的，使用者通過使用Java控制台就可以進行，比如禁止使用者給來自不受信任的認證授予存取權限，或檢查認證以防止潛在的惡意
Java程式的運行。你可能還需要開機記錄記錄，以便發現惡意Java程式是否已經運行。如果你的企業使用Firefox，還可以利用NoScript外掛程式的白名單功能來批准Java程式，以限制惡意Java程式的風險。

結論

過時的Java版本所構成的威脅不容低估，Java補丁應該與微軟或Adobe更新擁有同樣的優先權。甲骨文負責Java的更新，如同微軟對其產品負責一樣，甲骨文應該有同樣的標準。所以，如果有可能，你可以向甲骨文公司報告因惡意軟體襲擊Java而引起的任何問題。

企業應該在其用戶端系統中增加更新Java的最佳化措施，以防止系統被駭客利用漏洞。他們也應該以此作為警鐘，更仔細地評估什麼軟體應該安裝在用戶端電腦上，並確保定期更新，防止駭客憑藉應用軟體來控制系統。雖然這可能還有一場硬仗要打，但這也相應的推動了企業去更好的理解安全，即除了打補丁以外還可以有更多的具有前瞻性的辦法，比如使用應用程式白名單功能，從而在第一時間防止惡意軟體的運行。