SANS的主管阿蘭.帕勒表示,該機構發布這一排行榜是為了給企業和組織提供參考,促使系統管理員再次確認這些安全隱患在自己管理的系統中已經妥善解決。他說:「當你告訴系統管理員去測試上千個漏洞時,企業就幾乎陷入停滯了,所以我們每年都要挑出危害最大的20個安全隱患發布。」
SANS的排行榜是結合了全球多名安全研究專家和公司的意見和建議而得出的,其中包括美國國家基礎設施保護中心(National Infrastructure Protection Center)和英國國家基礎設施協同中心(National Infrastructure Security Coordination Centre)等重要部門。今年已經是SANS第五次公布年度安全隱患排行榜。除了公布安全隱患名單,SANS還同時發布了上百頁的文檔,對這一類安全隱患進行了詳細的描述,並提供了具體的解決方案。
排在Windows安全隱患第一位的是Web伺服器和服務(Web servers and services),而排在Unix安全隱患第一位的則是BIND域名系統(BIND domain name systems)。此外還有很多安全隱患首次入圍,這樣的安全隱患在Windows列表中包括排名第7位的文件共享(file sharing applications)和第10位的即時信息(instant messaging)。負責排行榜的主管羅斯.帕特爾表示:「專家們都為文件共享和點對點文件傳輸這一安全隱患感到憂慮,因為它們易於操作並且應用非常廣泛。」
在Windows列表中排名第6的Web瀏覽器(Web browsers)同樣是一個熱門話題,帕特爾表示:「專家們對於Web瀏覽器的討論最為熱烈。今年年初,由於IE瀏覽器中發現了多個嚴重漏洞,甚至有專家建議用戶停止使用這一瀏覽器。」
美國系統網路安全協會公布的安全隱患排行榜:
Windows十大安全隱患:
1 Web伺服器和服務(Web Servers & Services )
2 工作站服務(Workstation Service)
3 Windows遠程訪問服務(Windows Remote Access Services)
4 微軟SQL伺服器(Microsoft SQL Server)
5 Windows 認證(Windows Authentication)
6 Web瀏覽器(Web Browsers)
7 文件共享(File-Sharing Applications)
8 LSAS Exposures
9 電子郵件客戶端(Mail Client)
10 即時信息(Instant Messaging)
Unix十大安全隱患:
1 BIND域名系統(BIND Domain Name System)
2 Web伺服器(Web Server)
3 認證(Authentication)
4 版本控制系統(Version Control Systems )
5 電子郵件傳輸服務(Mail Transport Service)
6 簡單網路管理協議(Simple Network Management Protocol)
7 開放安全連接通訊層(Open Secure Sockets Layer)
8 企業服務NIS/NFS 配置不當(Misconfiguration of Enterprise Services NIS/NFS)
9 資料庫(Databases)
10 內核(Kernel)
(TOM科技)
