如今存在好多安全漏洞。

    安全软件厂商Promisec公司的首席执行官Amir Kolter说：“早些年，我们调查了规模不一的30个客户；有的客户只有几百个工作站，有的在世界各地有成千上万个工作站。有的甚至拥有20万个端点。”

    据Kolter声称，结果让人沮丧。他说：“所有客户都存在内部威胁。威胁总数超出我们的预期。”此外，存在某种特定漏洞的公司其数量常常要比表明存在这种漏洞的计算机的比例高得多。Kolter表示，因而，尽管接受调查的所有端点当中只有4%安装了对等软件，但接受调查的公司当中22%存在一个或多个端点有这种漏洞的情况。

    虽然存在问题的计算机其比例似乎很低，但别忘了这点：一家组织当中只要有一台计算机存在安全漏洞，就会危及整个网络。

    Promisec的部分发现结果并无新意：没有打上最新补丁的各版本Windows、需要更新特征文件的反病毒软件，等等。不过，Promisec发现的有些端点威胁不大常见，也不大明显。

    Promisec发现十大方面存在问题。不是每家公司都存在所有这些问题，但它们都至少存在其中一个问题。在某些情况下，端点威胁是完全可以消除的，比如没有打上最新安全补丁的计算机。在另一些情况下，比如未得到保护的USB设备，解决办法就是通常使用软件执行的安全政策来控制该漏洞。

    一、USB设备

    Promisec的调查发现，最大的威胁是未加登记或未加保护的USB设备。接受调查的端点当中约有13%存在这个威胁。

    这不只是理论上让人担心的问题。扬基集团在早些年的一项调查发现，接受调查的公司当中37%认为，USB设备被用于泄露公司信息。

    感染的来源未必是内部员工。来访者（不管有没有受到邀请）访问公司的计算机后，就能轻易插入拇指驱动器。更精心策划的是，前几年有家计算机安全公司往20只USB驱动器上安装了窃取密码的恶意软件，然后把它们故意扔在目标公司外面的停车场及其他有可能被捡到的地方。结果，50%的驱动器被该公司的员工捡到了，他们插入计算机后想看看里面有什么东西；短短数小时之内，这家安全公司就源源不断地获得了密码及其他关键数据（这家安全公司是Secure Network Technologies，它当时在客户地方测试安全）。

    Windows下的USB设备保护机制相当有限。你基本上只能启用或禁用系统上的USB。由于USB是Windows的默认外设连接，所以这带来了极大的限制。不过，Sophos、Devicelock或Promisec等第三方软件对USB设备提供了基于安全政策的管理，从而摆脱了这种限制。

    二、对等文件共享

    虽然公司政策常常禁止使用未经授权的对等（P2P）文件共享程序，但接受调查的计算机当中还是有4%安装了这类应用程序。这个问题变得日益严重。不但更多的对等网络出现在了公司网络上，计算机犯罪分子也开始大规模使用对等网络来危及并控制计算机。

    据安全软件公司Prolexic声称，P2P如今被用于针对公司网站发动分布式拒绝服务攻击。该公司表示，它发现有一种名叫dc++的基于P2P的分布式拒绝服务攻击动用了30万台受到危及的计算机。

    未经授权的P2P软件可能是导致信息泄漏的一条重要途径，以至于有人建立了一个名为See What You Share的网站，仅仅为了显示通过文件共享、可以从政府部门窃取哪些信息，包括绝密文件。

    当然，P2P文件共享也是非法分发盗版材料的主要方式之一――如果美国唱片业协会（RIAA）的律师发出律师函，你不但面临巨额罚金，还会陷入尴尬境地。

    三、反病毒问题

    Promisec的调查发现，大约1.2%的计算机其反病毒软件存在问题，通常表现为特征文件过时。

    由于各大反病毒软件厂商每周发布的更新程序在1200个到2400个之间，让保护机制处于最新版本显得很重要。特别是由于恶意软件编写者使用的一种感染手法就是，趁安全厂商还没有来得及响应，在尽可能短的时间内感染尽可能多的计算机。比方说，在2001年7月19日，“红色代码”蠕虫在短短14个小时内感染了359000台计算机。

    让人意想不到的是，“红色代码”攻击的目标居然是Windows系统当中两年多前就已经有补丁的一个漏洞。

    四、过时的微软服务包

    运行未安装最新更新程序的Windows是另一个严重问题。大约1.5%的受调查计算机没有为该操作系统更新最新版本的服务包。

    及时更新软件是一条安全基本常识，每家公司都在设法做到这点，但大多数公司是借助于自动更新。

    然而，为公司的每个台式机打上补丁已经是一项艰巨任务，更不用说还要顾及连接到网络上的笔记本电脑、个人数字助理和手机了。总会有漏网之鱼；同样道理，只要有一个端点存在已知安全漏洞，就足以危及整个网络。

    Windows服务包是个特殊问题，因为有些软件免不了会存在一些问题。以服务包2为例，微软承认50款主要的应用程序最初无法与该服务包兼容，主要原因是该服务包在默认情况下打开防火墙。等所有厂商步调一致、微软发布了服务包，通常已经是几周、甚至几个月以后的事。如果你的用户需要使用的软件在新的服务包发布后无法兼容，一个常见的解决办法就是“暂时”放弃安装该服务包，直到微软公司解决了相关问题，再安装。这意味着到时你要回过头去，检查一下那些系统更新了微软发布的最新程序――如果你记得的话。

    五、未安装安全代理

    许多公司要求在所有端点上安装代理。这种代理可以监控网络流量、确保补丁版本最新、跟踪及报告失窃的计算机。不过，需要这种代理未必意味着实际安装了代理。理应安装这种代理软件的端点当中约有1.2%并没有安装。

    据Kolter声称，以下五个问题在调查样本中出现的概率不到1%。

    六、未经授权的远程控制软件

    远程控制软件对诊断软硬件方面的故障大有帮助。但这类软件对不法分子来说同样大有帮助，因为它为进入计算机提供了一条便道。

    在某些情况下，PCAnywhere等远程控制软件由需要能够从其他地方访问台式机的用户来安装。在另一些情况下，却是有人未经授权擅自安装上去的，这些安装或改动的软件旨在用户浑然不知或未经同意的情况下，允许第三方使用系统。

    尽管存在明显的危险，但调查发现，还是有近1%（0.82%）的受调查计算机安装了不该安装的远程控制软件。

    七、媒体文件

    未经授权的媒体文件之所以很危险，一是由于所含内容本身，二是可能隐藏在里面的恶意内容。视频和音乐文件成了有人偷偷把恶意软件植入一家组织的越来越普遍的方法，包括间谍软件、特洛伊木马、病毒以及你能想到的几乎其他各种恶意软件。

    一种流行的方法就是，把利用媒体播放器中安全漏洞的代码嵌入到媒体文件中。比方说，被感染的媒体文件可以打开用户计算机上的某个恶意网页，利用该网页自动感染该系统，然后再由该系统感染整个网络。因为这种攻击基本上不需要用户的交互，所以用户常常甚至不知道发生了什么情况。

    连唱片行业也玩起了这一招。2004年，一家为唱片公司服务的公司开始往多个文件共享网站植入媒体文件，该媒体文件所含的特洛伊木马下载了广告软件后，可在用户的计算机上打开多个弹出式窗口。

    即使文件里面没有隐藏的恶意内容，文件本身也可能成为问题，最明显的例子就是侵犯版权、含有色情内容。

    八、没有必要的调制解调器

    不管需不需要，许多计算机、特别是比较旧的机型都含有内置调制解调器。在其他情况下，服务器里面的调制解调器直接连接到外面，用于监控及维护。不管怎样，没有必要的调制解调器提供了进入网络的另一条通道，这条没有必要的通道会随之带来众多潜在问题。

    虽然战争拨号（war dialing）这种攻击不像过去那样流行，但有些不法分子仍在使用，连接到你网络上的未加保护的调制解调器与过去一样危险。

    许多这些多余的调制解调器并不受到公司防火墙的保护；实际上，IT部门可能甚至没有认识到它们的存在。在许多情况下，用户只要把调制解调器插入到电话系统，就可以直接连接到互联网，随之带来的还有种种危险。用于监控及维护的调制解调器通常由供应商来负责，所以你得依赖这家公司来确保安全软件处于最新版本。

    虽然有些调制解调器可能有必要，特别是用于远程维护，但关键是全面清查连接到网络上的所有调制解调器，并确保连接的调制解调器既必不可少、又得到合理保护。

    九、未经授权或未加保护的同步软件

    笔记本电脑、个人数字助理、甚至手机使用同步软件来更新从日历到联系人列表的各项内容。这很方便，结合诸如Wi-Fi或蓝牙之类的技术时更是如此。然而，允许任何设备可以同步，会带来严重的安全漏洞，特别是因为许多这种程序在后台运行、用户可能不知道上传或下载了什么。至少，这让人可以访问共享文件夹和Exchange服务器。

    十、无线连接

    据In-Stat公司和梅塔集团声称，如今的笔记本电脑当中约有95%随机配备了内置的无线访问功能。尽管应当汲取零售商TJX丢失大批客户信息后股价应声下跌、要求支付1200万美元的教训，但有些企业还是没有保护配备无线连接功能的所有端点。