該報(bào)告確定了十個(gè)主要的Web漏洞，Microsoft、Mozilla、Adobe等均受到了影響，同時(shí)還確定了最常見的"漏洞類型"，包括跨站點(diǎn)腳本漏洞、buffer溢出、孤兒帳戶、不合格的session管理以及欠佳的應(yīng)用程序配置管理。

在Sarbanes-Oxley, HIPAA以及Payment Card Industry (PCI)等安全標(biāo)準(zhǔn)下，大部分的這些漏洞中都應(yīng)該被攔截在授權(quán)的管理層。但是，每個(gè)法規(guī)遵從標(biāo)準(zhǔn)都以一種或另一種的形式被人們批判。例如，在去年Hannaford Bros公司遭到一次安全攻擊后在人們的批評聲中發(fā)布的PCI。另一個(gè)案例是1月份受到攻擊的Heartland Payment Systems公司。這兩個(gè)組織都遵守了PCI標(biāo)準(zhǔn)，但卻反而受到了攻擊。

Cenzic首席市場官M(fèi)andeep Khera在一封電子郵件中表示，找到基于互聯(lián)網(wǎng)的應(yīng)用程序的弱點(diǎn)對黑客來說簡直就像是發(fā)現(xiàn)了"金礦"。同時(shí)他還表示，之所以會(huì)遇到現(xiàn)在的局面，最大的問題是國家網(wǎng)絡(luò)安全部門缺乏集中的監(jiān)督。

"人們認(rèn)為法規(guī)遵從機(jī)構(gòu)的管理不夠嚴(yán)格，加上缺乏使用法規(guī)遵從工具進(jìn)行保護(hù)的意識(shí)，如今，Web應(yīng)用程序漏洞對于許多組織來說變成了一個(gè)盲點(diǎn)。"Khera表示。

總部位于洛杉磯的安全廠商Lieberman Software的總裁Phil Lieberman同樣覺得現(xiàn)有的安全環(huán)境需要更加統(tǒng)一的立法，讓個(gè)體和組織在系統(tǒng)受到攻擊的時(shí)候能夠進(jìn)行實(shí)時(shí)的反擊。

"實(shí)際上，我們需要建立自我防御、法律觀念以及概念意識(shí)，此外我們還需要相關(guān)法律能夠約束那些企圖進(jìn)行破壞互聯(lián)網(wǎng)商業(yè)和通信的不法分子。"他表示，"這應(yīng)該就是能夠約束所有互聯(lián)網(wǎng)平民用戶的法律。就像現(xiàn)在，平民沒有權(quán)力采取任何行動(dòng)制止攻擊，ISP也是一樣。我們都知道要購買和使用更好的防火墻、防病毒軟件、防惡意軟件工具、入侵檢測設(shè)備，但我們這樣做了后卻還是一樣要接受懲罰。"

Cenzic的調(diào)查結(jié)果發(fā)現(xiàn)，75%以上的安全攻擊出現(xiàn)在Web上，80%以上的Web站點(diǎn)安全系數(shù)十分低，Khera補(bǔ)充道："我們作為國人，必須質(zhì)問我們的網(wǎng)絡(luò)安全優(yōu)先權(quán)在哪里。"

畢竟，安全行業(yè)的每一個(gè)人對征服這天空正在下墜的世界有著巨大的興趣；這就是為什么那么多人投資并從事于安全事業(yè)了。

然而，Stamos沒有贊揚(yáng)安全行業(yè)而是否定了它存在的意義，或者說至少給了整個(gè)安全行業(yè)一記耳光。

"安全行業(yè)并不能保護(hù)你，"他補(bǔ)充說，安全行業(yè)"需要從自身尋找原因和問題所在"。

他說，經(jīng)過了幾十年的計(jì)算機(jī)安全工作，問題變得比原來更加糟糕。發(fā)現(xiàn)bug后將其廣而告之給用戶其實(shí)不見得能使人們使用互聯(lián)網(wǎng)更安全。同時(shí)，那些致力于研究開源代碼的免費(fèi)靜態(tài)代碼分析器的安全研究人員，也沒有借此對人們起到幫助作用。并且每個(gè)解決方案都變得十分昂貴，市場上的產(chǎn)品已經(jīng)達(dá)到了50萬美元的價(jià)格。

他懷疑計(jì)算機(jī)安全代碼師是否值得被稱為工程師。他說："沒有哪個(gè)工程技術(shù)專業(yè)允許出現(xiàn)那么多的失誤。"他暗喻這些安全研究人員為"安全藝術(shù)家"。

他還敦促程序員停止編寫那些不安全的語言，比如C和C++，除非他們將其用于編寫操作系統(tǒng)的用途。"大部分人的聰明程度都不能編寫安全的C語言。"他說。

他對那些正確使用計(jì)算機(jī)語言編寫出安全程序的企業(yè)提出了贊揚(yáng)：Adobe (NSDQ: ADBE), Google (NSDQ: GOOG), Microsoft (NSDQ: MSFT), Oracle (NSDQ: ORCL), IBM (NYSE: IBM)和Mozilla。但是他說，人們編寫的多數(shù)軟件都是為了企業(yè)內(nèi)部使用，并沒有足夠嚴(yán)格的安全過程。

"軟件的好轉(zhuǎn)只反映了整個(gè)生態(tài)系統(tǒng)的一小部分，并沒有說明整個(gè)行業(yè)的好轉(zhuǎn)。"他說。

就像只有40%的計(jì)算機(jī)運(yùn)行Windows XP系統(tǒng)一樣，不是任何程序都有現(xiàn)成的補(bǔ)丁可用。他說，計(jì)算機(jī)行業(yè)應(yīng)該向Google的Google Desktop學(xué)習(xí)：強(qiáng)迫用戶進(jìn)行更新。

根據(jù)最近華盛頓發(fā)布的消息，持這樣的觀點(diǎn)的不只Stamos一人。華盛頓郵報(bào)報(bào)告稱，美參議院立法者正在通過立法建立政府和重要基礎(chǔ)設(shè)施運(yùn)營商私營部門的強(qiáng)制性的計(jì)算機(jī)安全標(biāo)準(zhǔn)。如果這一政策得到使用，人們將不必再遵守美國聯(lián)邦對安全的規(guī)定。

在談到最近在core Internet systems、協(xié)議（如DNS, BGP, SSL）以及新型攻擊技術(shù)（如JavaScript heap spraying、Flash攻擊和clickjacking）中發(fā)現(xiàn)的安全漏洞后，Stamos預(yù)測到了一個(gè)黑暗的未來。

他預(yù)測，隨著大規(guī)模的數(shù)據(jù)破壞事件的發(fā)生，今年年初重壓下的Heartland Payment Systems（HPY）公司將會(huì)崩潰。SHA-1加密將會(huì)很快被打破，而且當(dāng)?shù)氐恼J(rèn)識(shí)將導(dǎo)致悲劇纏身。

他還表示，在社交網(wǎng)絡(luò)上雙重認(rèn)證對信息的保護(hù)能力十分有限，因?yàn)榫W(wǎng)絡(luò)犯罪分子將可發(fā)現(xiàn)大量的個(gè)人隱私信息，比如你媽媽的婚前姓名，你的出生地等等。

他建議人們應(yīng)該做好"后個(gè)人隱私"和"后安全社會(huì)"的準(zhǔn)備。

"這是人們成為妄想狂的最好時(shí)機(jī)，"他得出結(jié)論，"這個(gè)社會(huì)沒有能力捕獲你。"

yajing