安全產品本身似乎帶來更大的不安全性。這是iViZ Security公司對安全產品漏洞趨勢的最新調查的結論。這家漏洞測試公司發現，2012年推出的安全產品的漏洞大幅增加，在過去三年的復合年增長率達到近37.3%。

在iViZ調查的安全產品中，軟件漏洞最多的是防病毒產品，占所有安全產品的漏洞的49%。在漏洞規模方面，SQL注入是最少見的。在調查安全產品的不同薄弱點時，iViZ表示他們將產品代碼中可能導致安全軟件漏洞的錯誤或缺陷定義為薄弱點。基于這種定義，該公司發現安全產品中的兩個主要弱點是訪問控制和輸入驗證。該調查發現，與2011年相比，訪問控制漏洞急劇增加。

由于攻擊者越來越多地瞄準最新推出的安全產品，這也許并不奇怪：各大安全廠商(例如McAfee、思科和賽門鐵克)的產品是2012年發布的產品中存在漏洞最多的產品。該調查還指出，其他商業和開源產品有著類似的漏洞趨勢。“這不僅是呼吁安全供應商采取行動，”Denim Group首席分析師Dan Cornell表示，“這對構建廣泛部署軟件的獨立軟件供應商也是一個警示。”

Cornell補充說，廣泛普及的Java等軟件和Adobe Reader等托管服務給供應商帶來特殊的挑戰，因為這些軟件和服務提供了一個平臺來傳播安全漏洞。根據iViZ的調查及其他調查結果，Cornell表示，安全市場對供應商制定了越來越多的監管機制，以確保他們生產和部署安全的代碼。

iViZ在其調查結果中預測，將會出現越來越多針對安全產品的攻擊，同時，發現的大部分漏洞仍然未解決。這也意味著，隨著高級持續攻擊不斷入侵商業網絡和各種安全產品，這些漏洞將繼續被利用。

根據iViZ的調查顯示，自2007年以來，安全產品中發現的漏洞數量一致在下降，而在2011年觸底反彈。除了防病毒產品漏洞，防火墻泄露事故以及入侵檢測和防護產品漏洞是去年安全問題的主要原因。在列出了2012年針對美國安全公司(例如賽門鐵克、Panda Security和Barracuda Networks)的一系列高曝光率的攻擊后，該調查的結論是“安全公司遭受攻擊可能導致世界各地發生某種連鎖安全泄露事故”。

通過其自身的滲透測試，iViZ稱其發現了多種防病毒產品中的遠程代碼執行和數據竊取漏洞。該公司在其調查中使用了廣泛接受的漏洞標準和數據庫，包括常見漏洞枚舉、常見產品枚舉以及國家漏洞數據庫——美國政府漏洞管理數據倉庫(據報道，在3月份，NVD本身遭受了攻擊，在兩臺服務器受到惡意軟件攻擊后，一個公眾網站和其他服務被中斷)。

對于安全產品中的漏洞，iViZ建議買家要求供應商提供安全產品認證和獨立滲透測試。該公司還建議企業應采取積極的措施，例如部署有效的檢測和響應機制。盡管出現越來越多的不安全因素，Cornell表示他看到了廣泛普及的托管服務(例如Adobe)在確保代碼安全方面的一些進展。他還指出，Adobe在4月任命Brad Arkin為首席安全官。

“Adobe有一些在世界各地廣泛部署的軟件，我們也清醒地意識到，這使我們成為攻擊者的目標，”Arkin在博客中指出，他還補充說他將“繼續管理和促進與更廣泛安全社區的雙向溝通，這是核心安全功能的重要組成部分”。

Cornell總結道，Adobe等公司已經取得了一些進展，但是他們也面臨艱巨的問題，即確保數百萬行代碼的安全性，同時跟上快速變化的市場步伐。最后，這些供應商必須關注于其功能安全性。

TechTarget中國原創內容，原文鏈接：http://www.searchsecurity.com.cn/showcontent_74313.htm?lg=t