虽然多数大型软件供应商都在努力改善其补丁的发布和分发过程,但补丁管理仍然要耗费IT管理人员大量的精力。 随着新的漏洞不断出现,许多公司在为系统打补丁上疲于应付,等待安装重要安全补丁的维护时段可能是一段艰难的时期。最重要的是,如果IT人员的配备不足,时间又不充裕,那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。 而虚拟补丁技术正是一种可以使IT人员摆脱这种补丁管理困境的解决方案。
虚拟补丁技术旨在通过控制受影响的应用程序的输入或输出,来改变或消除漏洞。虚拟补丁的方法有许多,我们稍后将讨论这一问题。 与传统的补丁管理流程不同,利用虚拟补丁技术,我们可以在不影响应用程序和其相关库……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
虽然多数大型软件供应商都在努力改善其补丁的发布和分发过程,但补丁管理仍然要耗费IT管理人员大量的精力。
随着新的漏洞不断出现,许多公司在为系统打补丁上疲于应付,等待安装重要安全补丁的维护时段可能是一段艰难的时期。最重要的是,如果IT人员的配备不足,时间又不充裕,那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。
而虚拟补丁技术正是一种可以使IT人员摆脱这种补丁管理困境的解决方案。虚拟补丁技术旨在通过控制受影响的应用程序的输入或输出,来改变或消除漏洞。虚拟补丁的方法有许多,我们稍后将讨论这一问题。
与传统的补丁管理流程不同,利用虚拟补丁技术,我们可以在不影响应用程序和其相关库以及为其提供运行环境的操作系统的情况下,为应用程序安装补丁。此外,如果一个应用程序的早期版本已不再获得供应商支持,则此时虚拟补丁是支持该早期版本的唯一方法。
安装虚拟补丁的方法之一是修改应用程序的运行时代码。当你对实际攻击如何进行一无所知时——通常是因为应用程序的供应商不愿公布程序遭受攻击的具体细节,这种方法确实有用。在这种情况下,如果攻击涉及到窃取信用卡资料,你可以创建一个输出补丁,丢弃向未知IP地址传送信用卡资料的任何连接。这种类型的虚拟补丁既可以阻止攻击得逞,又可以执行定义可信行为的规则,从而为你的应用程序增加了一个额外的安全层。
然而,修改应用程序的运行时代码可能会带来新的风险(如编程错误),从而导致更多的安全漏洞或应用程序不稳定。因此,这种方法要求程序员具有高超的编程技巧,以成功地降低这些风险。安装虚拟补丁的一种更为常见的方法是,在应用程序之前设置某种类型的代理,以控制应用程序的输入和输出,从而阻止或消除攻击行为。这种方法与根据新的防火墙或代理规则匹配应用程序的输入一样简单,可以检测对漏洞的尝试利用,并终止可疑的会话。
对于人手不足的IT部门来说,安装虚拟补丁的最简单方法是使用入侵防御系统(Intrusion Prevention System,IPS)和漏洞管理产品,以防止已知漏洞被利用。通过将IPS过滤器映射到漏洞数据库并进行适当的修改,可以将你的IPS与漏洞管理系统同步,并更新IPS过滤器的配置,以防止已知漏洞被攻击者利用。
安全风险管理解决方案提供商Critical Watch和网络入侵防御系统提供商TippingPoint已经联合开发了一个综合的漏洞管理和IPS集成包,该集成包可以同步你的IPS和漏洞管理系统。通过阻止潜在的恶意网络流量到达易受攻击的应用程序,该集成包提供了一个基于网络的虚拟补丁,该虚拟补丁既不需要停机安装,也不需要进行广泛的应用程序测试。虽然此集成包可以为你节省大量时间,但如果这样的产品超出了你的预算,你也可以手动同步你现有的IPS和漏洞管理系统,其方法如前所述。
然而,如何才能确定一个虚拟补丁是否在运行呢?理论上,测试虚拟补丁如何处理模拟攻击需要获得漏洞检测代码。如果无法做到这一点,则你需要较为详细地了解攻击是如何进行的。这就需要研究应用程序供应商和世界著名防病毒实验室AV的报告,以深入理解攻击是如何进行的。如果检测到潜在的攻击,例如探测到一个易受攻击的应用程序,过滤器或代理应该触发一个警报。当虚拟补丁安装完成后,应该测试你的应用程序是否仍可运行,并记录你所做的更改以及哪些补丁已经修复、哪些补丁尚未修复。
虚拟补丁不是一种“一劳永逸(Set It and Forget It)”的解决方案。对网络拓扑结构的任何修改甚至是细小的配置更改,都可能导致虚拟补丁失效,并使应用程序的漏洞再次暴露。制定解决根本问题的补丁管理计划非常重要,其中包括在任何可能和可行的时间部署供应商的补丁。理想情况下,虚拟补丁可以为人手不足的IT部门节约大量的时间,以执行适当的补丁管理流程,包括补丁的评估和部署。
毫无疑问,虚拟补丁是一种极有价值的技术,可用于减少供应商补丁之间的时间间隔或者由于公司缺乏定期测试和部署补丁所需人手造成的风险。虽然虚拟补丁绝不应该替代标准的补丁管理流程,但如果你能够跟上应用程序供应商的补丁和公开披露的漏洞的最新进展,虚拟补丁可以为你提供应急之道,并关闭试图利用系统等待官方补丁时的漏洞的攻击者的机会之窗。
作者
翻译
相关推荐
-
Stuxnet多年之后:Windows Shell漏洞仍然肆虐
Stuxnet利用的Windows Shell漏洞是需要企业仔细评估的漏洞之一。自被公开以来,Windows Shell漏洞已经包含在很多漏洞利用工具包中,并被很多攻击者利用,尽管微软在2010年发布了补丁,但这个问题仍然没有得到解决。
-
微软6月补丁日发布更多面向Windows XP的补丁
微软在2017年6月份周二的补丁发布日提供了全新的Windows XP修复程序,以确保系统免受泄漏的NSA网络武器(如勒索软件WannaCry)的威胁。
-
从WannaCry事件吸取教训:补丁管理需自动化
更新升级软件是企业IT管理员的一项份内职责。为了提高打补丁的效率,符合合规要求,企业常需要购买补丁管理工具。补丁管理工具可实现更新的自动化,有助于保护企业基础架构和终端设备免受可能的安全威胁,并支持在线修复软件bug及增强功能……
-
微软改良“周二补丁日”,新的‘安全更新指南’毁誉参半
微软在2017年4月份周二补丁日发布中,正式放弃了原有的为安全专业人士所熟悉的安全公告格式,而支持新的“安全更新指南”,不过,该变化的进行也并非一帆风顺。