最近一项调查针对全球各大顶尖企业的公共Web服务器作出评估,并指出目前只有3%的设备已经彻底摆脱OpenSSL漏洞、也就是Heartbleed的威胁。
此次研究由安全专业机构Venafi实验室负责执行,涵盖《福布斯》评选出的全球企业2000强中1639家的约55万台服务器设备。调查结果显示,已经有99%的企业针对Heartbleed数据泄露漏洞安装过修复补丁。
然而Venafi强调称,其中只有15000台安装过补丁的服务器进行了私用密钥修改并利用新的SSL证书取代了原有安全凭证。根据我们掌握的情况,鉴于Heartbleed漏洞可被用于窃取受害计算机内存中的私用密钥,用户应该以服务器密钥及证书已经遭到破坏为假设性前提推进保护措施。
“解决此类安全问题的流程不再像过去那样简单而直观,”Venafi实验室安全战略与威胁情报事务副总裁Kevin Bocek在接受采访时指出。“大家不能单纯在安装了补丁之后就认为自己可以高枕无忧。”
他指出,此次曝出的OpenSSL漏洞自两年前开始就已经被恶意人士们实际利用,但直到今年四月才真正引起安全行业的警觉。在此期间,企业用户的密码内容很可能已经被攻击者们所掌握,此外加密密钥与证书数据也可能已经被用于伪装虚假的企业服务器。
Bocek表示,在不面向公众的服务器设备方面事态可能更加糟糕。而且在大多数情况下,处于企业防火墙内部的服务器设备还没有安装过足以对抗Heartbleed漏洞的补丁。
说到已经彻底将Heartbleed漏洞踢出业务环境之外的企业,计算机服务厂商的表现无疑最为突出,紧随其后的依次为广播公司、银行以及半导体行业。
