近日，互聯(lián)網(wǎng)爆發(fā)了被稱為“心臟出血”式的嚴(yán)重安全事件。SSL協(xié)議是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，也是互聯(lián)網(wǎng)上最大的“門鎖”。而此次曝出的Open SSL漏洞讓這個(gè)“門鎖”形同虛設(shè)，可以讓攻擊者獲得服務(wù)器內(nèi)存中的數(shù)據(jù)內(nèi)容，甚至導(dǎo)致網(wǎng)絡(luò)賬戶與密碼、網(wǎng)銀資金、電子郵件等重要信息的泄漏!全球服務(wù)器安全、虛擬化安全及云安全領(lǐng)導(dǎo)廠商趨勢(shì)科技提醒互聯(lián)網(wǎng)服務(wù)提供商應(yīng)盡快升級(jí)服務(wù)器，并通過(guò)趨勢(shì)科技入侵防御系統(tǒng)(IDF)保護(hù)服務(wù)器信息不被竊取。同時(shí)，趨勢(shì)科技已在第一時(shí)間發(fā)布了虛擬補(bǔ)丁，幫助用戶避免重要數(shù)據(jù)泄露。

Open SSL 是一個(gè)應(yīng)用廣泛的開(kāi)源跨平臺(tái)工具包(代碼庫(kù))，用以實(shí)現(xiàn)SSL /TSL 協(xié)議 。此次的漏洞讓SSL這個(gè)“門鎖”成為虛設(shè)，入侵者即使沒(méi)有“鑰匙”也可以暢通無(wú)阻的反復(fù)讀取服務(wù)器內(nèi)存中的64K信息，可直接獲取用戶的賬戶密碼、電子郵件等重要信息。最新完成的掃描數(shù)據(jù)顯示，全國(guó)160萬(wàn)個(gè)443端口中，有3.3萬(wàn)個(gè)受到本次OpenSSL漏洞影響。更嚴(yán)重的是，OpenSSL常用于電商、網(wǎng)銀等安全性極高的網(wǎng)站。漏洞一旦被惡意利用，將給用戶的網(wǎng)絡(luò)金融資產(chǎn)帶來(lái)極為嚴(yán)重的威脅。

趨勢(shì)科技中國(guó)區(qū)業(yè)務(wù)發(fā)展總監(jiān)童寧表示：“這個(gè)漏洞針對(duì)使用了Open SSL的Web服務(wù)器的內(nèi)存泄漏漏洞，攻擊者可以通過(guò)構(gòu)造惡意代碼直接從目標(biāo)服務(wù)器讀取內(nèi)存信息，每次可讀取64k的數(shù)據(jù) ，并可反復(fù)讀取，這使得網(wǎng)絡(luò)黑客可以從多次讀取中拼湊出有重大價(jià)值的數(shù)據(jù)。據(jù)趨勢(shì)科技監(jiān)測(cè)，此次漏洞影響的SSL版本為1.0.1，我們建議還在使用該版本Open SSL的用戶務(wù)必要盡快升級(jí)，以避免被不法分子找到可乘之機(jī)。”

同時(shí)，用戶還需要特別注意的是，網(wǎng)絡(luò)漏洞的封堵與惡意利用往往是一場(chǎng)時(shí)間的戰(zhàn)爭(zhēng)，只有行動(dòng)夠快才能夠戰(zhàn)勝對(duì)手。此次Open SSL漏洞的防范同樣如此，由于還有諸多用戶由于客觀原因還無(wú)法將Open SSL迅速升級(jí)到最新版本，因此在升級(jí)之前采取應(yīng)急措施保證服務(wù)器信息不被竊取就成為了最為關(guān)鍵的問(wèn)題。現(xiàn)在，趨勢(shì)科技已經(jīng)迅速提供了虛擬補(bǔ)丁(Virtual Patch)解決方案，在漏洞發(fā)布的數(shù)小時(shí)內(nèi)即將漏洞信息加入到了DPI規(guī)則之中，提供了應(yīng)急的防護(hù)。部署了趨勢(shì)科技 Deep Security 、OfficeScan等產(chǎn)品的用戶可疑通過(guò)虛擬補(bǔ)丁贏得大量的處理時(shí)間，防止服務(wù)器數(shù)據(jù)因攻擊而泄露。

對(duì)于黑客可能利用漏洞進(jìn)行的攻擊，趨勢(shì)科技TDA可以幫助企業(yè)用戶獲取領(lǐng)先一步的洞察力與防御力，并強(qiáng)化現(xiàn)有的信息安全防護(hù)措施并與其整合，形成一套完整且針對(duì)客戶環(huán)境量身定制的個(gè)性化防御方案。能夠在攻擊還沒(méi)有造成破壞之前，利用增強(qiáng)的威脅引擎和多級(jí)關(guān)聯(lián)規(guī)則具有一流的檢測(cè)功能，全面、及時(shí)的監(jiān)測(cè)出安全威脅。

在IT消費(fèi)化、云計(jì)算、移動(dòng)互聯(lián)的時(shí)代，威脅的復(fù)雜性正日益擴(kuò)展，這將會(huì)對(duì)個(gè)人、企業(yè)及政府機(jī)構(gòu)產(chǎn)生同樣的影響。趨勢(shì)科技獨(dú)具的智能防護(hù)系統(tǒng)綜合了大數(shù)據(jù)分析和安全技術(shù)的全球威脅情報(bào)系統(tǒng)，每天可以阻止2億個(gè)威脅、識(shí)別9萬(wàn)個(gè)惡意威脅并收集11.5億個(gè)威脅樣本，這套信息安全領(lǐng)域獨(dú)一無(wú)二的大數(shù)據(jù)分析技術(shù)，可以幫助用戶享有智能、簡(jiǎn)單且靈活的安全管理和部署，實(shí)現(xiàn)數(shù)字信息交換世界的零風(fēng)險(xiǎn)。