*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

上个月在RSA安全大会上收集的一项调查显示，尽管大多数公司都采取了合适的安全措施，但其中一些公司甚至故意忽视安全缺陷，其原因包括缺乏时间和缺乏专业技术等各种原因。

该调查汇集了来自RSA会议公司的155位安全专业人员的答案，结果显示只有47％的组织在得知消息后立即修补漏洞。

最令人担忧的是，部分公司在漏洞出现之后等待相当长的一段时间才打好补丁，导致他们的IT基础设施遭受攻击。更准确地说，16％等待一个月，而8％的人表示他们每年只进行一次或两次补丁。

四分之一的公司没有时间维护安全

调查显示，并非所有公司都使用补丁。大约26％的受访者表示，他们的公司忽视了一个严重的安全漏洞，因为他们没有时间去修复它。

更有甚者，16％的组织表示他们也忽略了一个严重的安全缺陷，因为他们没有技术来修补它。

71％的人表示他们能够黑掉自己的公司

一些受访者似乎意识到他们的系统容易受到攻击的事实，71％承认他们能够攻击他们自己的公司，而只有9％的受访者表示这是“极不可能的”。

当被问及他们如何做到这一点时，34％的人表示他们会使用社交工程（网络钓鱼和其他方法），23％表示他们将针对不安全的Web应用程序，21％表示他们会试图破坏云服务帐户，21 ％表示他们将针对员工的移动设备（智能手机或笔记本电脑）。

这些数字的比例与受访者对公司最不安全点的看法几乎完全相同，25％的受访者抱怨他们的云基础架构，23％的物联网设备出现漏洞，20％的人对移动设备的安全性表示担忧，还有15％的受访者则归咎于公司Web应用程序。

渗透测试！？！谁还需要？！

当被问及他们公司是否聘请了渗透测试人员时，只有17％表示是的，35％的人表示即使他们聘请渗透测试服务，他们也确信测试人员不会揭露任何新的风险或漏洞。

受访者承认没有时间应用安全补丁或专有技术来做到这一点，对于这种借口，除了无知，不知道该怎么来形容。这项调查是匿名的，估计每个人都想知道现在哪些公司没有时间维护安全。

完整的调查报告，可在瑞典网络安全公司Outpost24的网站中找到。

*参考来源：BleepingComputer，由Andy编译，转载请注明来自FreeBuf.COM