高春燕

“零日攻擊”之所以危險至極，一是黑客從發(fā)現(xiàn)“零日漏洞”到發(fā)起攻擊的時間間隔極短，安全設(shè)備很難識別出攻擊行為，二是程序開發(fā)商發(fā)現(xiàn)并修補(bǔ)漏洞的速度，滯后于攻擊者對漏洞的利用速度。安全廠商一直在尋找有效遏制“零日攻擊”的方式。

操作系統(tǒng)與應(yīng)用程序的漏洞從來都不會消失。知名研究機(jī)構(gòu)Ogren Group在其近日發(fā)布的《虛擬補(bǔ)?。河行У某杀竟?jié)省策略》專題報告中指出：“漏洞一旦公布，一天之內(nèi)就會出現(xiàn)專門的攻擊程序，大多數(shù)自動化攻擊都出現(xiàn)在消息公布的前15天內(nèi)，而80%的漏洞攻擊都出現(xiàn)在60天內(nèi)?！倍诳驮诎l(fā)現(xiàn)漏洞之后，第一時間進(jìn)行“零日攻擊”，更是讓企業(yè)防不勝防。

許多公司都為系統(tǒng)打補(bǔ)丁付出了高額的人力成本，但等待安裝重要安全補(bǔ)丁期間，企業(yè)IT系統(tǒng)則處在非常危險的狀態(tài)。傳統(tǒng)的打補(bǔ)丁方式難以快速修補(bǔ)漏洞，更不用說對“零日攻擊”進(jìn)行防御和攔截了。

補(bǔ)丁管理成本高

據(jù)統(tǒng)計，現(xiàn)在用戶使用的操作系統(tǒng)和應(yīng)用程序中，每1000行代碼中就可能有4~5個編碼漏洞。而系統(tǒng)和應(yīng)用程序開發(fā)商不可能對所有代碼進(jìn)行嚴(yán)格檢查，調(diào)查、測試和將補(bǔ)丁程序部署到操作系統(tǒng)的過程可能需要30天，對于應(yīng)用程序來說，需要的時間則更長。而且，用戶可能會遭遇上一個嚴(yán)重漏洞還沒修補(bǔ)完，新的補(bǔ)丁程序已經(jīng)在提示用戶下載更新的情況，并因此疲憊不堪。

“以微軟近期緊急通知的‘MS12-020遠(yuǎn)程桌面的漏洞可能會允許遠(yuǎn)端執(zhí)行程序碼為例，這包括了遠(yuǎn)程桌面通信協(xié)議中兩項未公開報告的信息安全風(fēng)險，如果攻擊者將蓄意制作的RDP封包序列傳送至受影響的系統(tǒng)，將允許攻擊者遠(yuǎn)程執(zhí)行程序代碼。”趨勢科技（中國區(qū)）資深產(chǎn)品經(jīng)理張明臺告訴本報記者，“采用傳統(tǒng)的補(bǔ)丁管理方式，用戶需要在相當(dāng)長的時間里，疲憊地應(yīng)付這類信息安全更新等級為‘重大的補(bǔ)丁，并且很可能面臨大規(guī)模的‘零日攻擊。

但不可忽視的事實是，幾乎每個月都有數(shù)百個軟件漏洞被發(fā)現(xiàn)，即時修補(bǔ)不但耗費大量的人力成本，還可能因為兼容性問題導(dǎo)致死機(jī)。在這種情況下，服務(wù)器隨時都得做好“回滾”的準(zhǔn)備。此外，對那些尚在使用的舊版操作系統(tǒng)而言，用戶在部署安全設(shè)備時需要額外付費，因此很多服務(wù)器和終端幾乎是在互聯(lián)網(wǎng)上“裸奔”。

虛擬補(bǔ)丁為企業(yè)安全減壓

虛擬補(bǔ)丁近年來逐漸被安全廠商用于應(yīng)對“零日攻擊”，早在2010年，IBM就在其入侵防御解決方案IPS 4.1中使用了虛擬補(bǔ)丁技術(shù)。另外，2011年，ApacheWeb服務(wù)器被發(fā)現(xiàn)存在Apache HTTP Server畸形Range選項處理遠(yuǎn)程拒絕服務(wù)漏洞，并且有黑客利用該漏洞進(jìn)行“零日攻擊”。當(dāng)時，綠盟科技云服務(wù)平臺就推出了WAF虛擬補(bǔ)丁，已經(jīng)購買WAF產(chǎn)品和相關(guān)服務(wù)的客戶自動收到針對該漏洞的虛擬補(bǔ)丁。

Ogren Group在其研究報告中指出，虛擬補(bǔ)丁使用基于主機(jī)的過濾器來監(jiān)測和清理網(wǎng)絡(luò)流量，在惡意軟件危及易受攻擊的目標(biāo)之前，在不終端應(yīng)用程序的情況下，修正或阻止會攻擊漏洞的網(wǎng)絡(luò)數(shù)據(jù)流量包。企業(yè)將虛擬補(bǔ)丁整合到漏洞管理流程中，可以顯著節(jié)約成本。此外，如果一個應(yīng)用程序的早期版本已經(jīng)不再獲得供應(yīng)商的支持，采用虛擬補(bǔ)丁則是此時支持該早期版本的唯一方法。

針對“零日攻擊”，趨勢科技也推出了虛擬補(bǔ)丁解決方案。在還沒對漏洞進(jìn)行永久補(bǔ)丁修復(fù)之前，趨勢科技虛擬補(bǔ)丁不是修改可執(zhí)行程序，而是針對網(wǎng)絡(luò)數(shù)據(jù)流的深層分析，檢測入站流量并保護(hù)應(yīng)用程序免受攻擊。盡管尚未對漏洞進(jìn)行永久性修復(fù)，虛擬補(bǔ)丁能簡化企業(yè)的補(bǔ)丁修復(fù)流程，大大降低整個補(bǔ)丁修復(fù)過程的工作量

“趨勢科技將虛擬補(bǔ)丁作為其服務(wù)器深度安全防護(hù)系統(tǒng)的一個模塊及防毒墻網(wǎng)絡(luò)版的一個入侵防御防火墻插件，企業(yè)IT管理人員可以通過一致的管理和報告界面，將虛擬補(bǔ)丁部署到企業(yè)內(nèi)部的服務(wù)器和桌面?！睆埫髋_向記者介紹，當(dāng)終端的維護(hù)數(shù)量達(dá)到上百臺的規(guī)模時，企業(yè)環(huán)境中的防火墻網(wǎng)絡(luò)版用戶可以通過入侵檢測防火墻插件，使用統(tǒng)一的安全策略，阻止訪問社交網(wǎng)站和掛馬網(wǎng)站中針對最新漏洞的攻擊代碼和流量，使得用戶可以在漏洞發(fā)布的數(shù)小時內(nèi)立即部署防護(hù)策略，比傳統(tǒng)的修補(bǔ)程式要提早幾個星期的時間。

如今，虛擬化技術(shù)以已經(jīng)滲透到了數(shù)據(jù)中心的每個角落。針對虛擬化數(shù)據(jù)中心應(yīng)用程序，作為一臺虛擬設(shè)備部署的趨勢科技虛擬補(bǔ)丁可以自動保護(hù)服務(wù)器上所有虛擬機(jī)的應(yīng)用程序漏洞，或者在每臺虛擬機(jī)上單獨執(zhí)行和管理。

隨著數(shù)據(jù)整合時代的到來，相信，虛擬補(bǔ)丁能夠以更低的成本、更快的速度和更簡便的流程，有效封堵黑客與惡意代碼的“零日攻擊”，成為云計算和虛擬化進(jìn)程中不可或缺的安全工具。