使用虛擬補丁簡化補丁管理流程
雖然多數大型軟件供應商都在努力改善其補丁的發布和分發過程,但補丁管理仍然要耗費IT管理人員大量的精力。
隨著新的漏洞不斷出現,許多公司在為系統打補丁上疲于應付,等待安裝重要安全補丁的維護時段可能是一段艱難的時期。最重要的是,如果IT人員的配備不足,時間又不充裕,那么系統在審查、測試和安裝官方補丁更新期間很容易陷入風險。
而虛擬補丁技術正是一種可以使IT人員擺脫這種補丁管理困境的解決方案。虛擬補丁技術旨在通過控制受影響的應用程序的輸入或輸出,來改變或消除漏洞。虛擬補丁的方法有許多,我們稍后將討論這一問題。
與傳統的補丁管理流程不同,利用虛擬補丁技術,我們可以在不影響應用程序和其相關庫以及為其提供運行環境的操作系統的情況下,為應用程序安裝補丁。此外,如果一個應用程序的早期版本已不再獲得供應商支持,則此時虛擬補丁是支持該早期版本的唯一方法。
安裝虛擬補丁的方法之一是修改應用程序的運行時代碼。當你對實際攻擊如何進行一無所知時——通常是因為應用程序的供應商不愿公布程序遭受攻擊的具體細節,這種方法確實有用。在這種情況下,如果攻擊涉及到竊取信用卡資料,你可以創建一個輸出補丁,丟棄向未知IP地址傳送信用卡資料的任何連接。這種類型的虛擬補丁既可以阻止攻擊得逞,又可以執行定義可信行為的規則,從而為你的應用程序增加了一個額外的安全層。
然而,修改應用程序的運行時代碼可能會帶來新的風險(如編程錯誤),從而導致更多的安全漏洞或應用程序不穩定。因此,這種方法要求程序員具有高超的編程技巧,以成功地降低這些風險。安裝虛擬補丁的一種更為常見的方法是,在應用程序之前設置某種類型的代理,以控制應用程序的輸入和輸出,從而阻止或消除攻擊行為。這種方法與根據新的防火墻或代理規則匹配應用程序的輸入一樣簡單,可以檢測對漏洞的嘗試利用,并終止可疑的會話。
對于人手不足的IT部門來說,安裝虛擬補丁的最簡單方法是使用入侵防御系統(Intrusion Prevention System,IPS)和漏洞管理產品,以防止已知漏洞被利用。通過將IPS過濾器映射到漏洞數據庫并進行適當的修改,可以將你的IPS與漏洞管理系統同步,并更新IPS過濾器的配置,以防止已知漏洞被攻擊者利用。
安全風險管理解決方案提供商Critical Watch和網絡入侵防御系統提供商TippingPoint已經聯合開發了一個綜合的漏洞管理和IPS集成包,該集成包可以同步你的IPS和漏洞管理系統。通過阻止潛在的惡意網絡流量到達易受攻擊的應用程序,該集成包提供了一個基于網絡的虛擬補丁,該虛擬補丁既不需要停機安裝,也不需要進行廣泛的應用程序測試。雖然此集成包可以為你節省大量時間,但如果這樣的產品超出了你的預算,你也可以手動同步你現有的IPS和漏洞管理系統,其方法如前所述。
然而,如何才能確定一個虛擬補丁是否在運行呢?理論上,測試虛擬補丁如何處理模擬攻擊需要獲得漏洞檢測代碼。如果無法做到這一點,則你需要較為詳細地了解攻擊是如何進行的。這就需要研究應用程序供應商和世界著名防病毒實驗室AV的報告,以深入理解攻擊是如何進行的。如果檢測到潛在的攻擊,例如探測到一個易受攻擊的應用程序,過濾器或代理應該觸發一個警報。當虛擬補丁安裝完成后,應該測試你的應用程序是否仍可運行,并記錄你所做的更改以及哪些補丁已經修復、哪些補丁尚未修復。
虛擬補丁不是一種“一勞永逸(Set It and Forget It)”的解決方案。對網絡拓撲結構的任何修改甚至是細小的配置更改,都可能導致虛擬補丁失效,并使應用程序的漏洞再次暴露。制定解決根本問題的補丁管理計劃非常重要,其中包括在任何可能和可行的時間部署供應商的補丁。理想情況下,虛擬補丁可以為人手不足的IT部門節約大量的時間,以執行適當的補丁管理流程,包括補丁的評估和部署。
毫無疑問,虛擬補丁是一種極有價值的技術,可用于減少供應商補丁之間的時間間隔或者由于公司缺乏定期測試和部署補丁所需人手造成的風險。雖然虛擬補丁絕不應該替代標準的補丁管理流程,但如果你能夠跟上應用程序供應商的補丁和公開披露的漏洞的最新進展,虛擬補丁可以為你提供應急之道,并關閉試圖利用系統等待官方補丁時的漏洞的攻擊者的機會之窗。
【編輯推薦】
