【51CTO.com 独家特稿】大部分普通电脑用户最关心哪家公司的漏洞补丁?答案一定是微软了。由于微软的补丁量很大,为此他们指定了一个周二补丁日,也就是所谓的 “Patch Tuesday”来统一发放补丁。之所以选择星期二,是为了避开繁忙的星期一。当然,非常紧急的补丁还是可以随时发布的。那这些补丁的作用是什么呢?当然 是修补哪些0day了。
文:鲜橙加冰(王文文) 来源:51cto
文:鲜橙加冰(王文文) 来源:51cto
2009年6月9日,微软开始发布自2003年10月以来数量最大的一次安全更新。也是涵盖系统范围最广的一次。包括Windows 2000/2003/2008、Windows XP、Windows Vista在内,包含了10个新的安全更新,修补了31个漏洞。连微软非常倚重的IE8,也没有逃过此劫。虽然这次的大规模补丁修补了IE、Office 等很多漏洞,但仍然有一些诸如Direct Show这类的漏洞没有得到修补。那些掌握着0day的骇客们,已经开始在网络上展开了热火朝天的挂马和***活动。必须抢在补丁发布之前***更多的计算 机,他们的目的很明确。
零日威胁(0day)的危害,已经成为各大安全公司头疼的主要因素。调查显示,在来自美国、欧洲及亚太地区的250名CIO、CSO、IT经理及网 络管理员中,有54%的人将零日威胁视为最大的安全隐患;其次是***威胁,其关注度为35%;恶意软件和间谍软件则紧随其后,以34%的关注度排在第三。
虽然很多厂商可以加入类似MAPP这样的微软漏洞分享组织,但在地下流动的那些尚未公布的漏洞,连微软自己也很受困扰。它们有的成为“愚人飞客”(Conficker)这样的蠕虫传播媒介,有的则成为挂马者获取肉鸡的邪恶武器。
(51CTO编者注:微软MAPP计划全称为Microsoft Active Protections Program,它致力于为互联网反病毒环境提供一个漏洞信息的共享平台,可以让合作伙伴及时获知有关漏洞的相关信息。)
如何解决0day***的困扰
一、 杀毒软件和防火墙
对于大多数个人用户来说,杀毒软件和防火强已经成为他们防范******的必备武器,很多PC销售商都会在自己卖出的品牌机中预装McAfee或诺顿之 类的杀毒软件。通过及时的升级病毒库和用户自己对防火墙的灵活控制,大部分威胁和一部分0day将被阻挡在外。但是误操作和对安全软件的不正当使用,仍然 会造成计算机被***。一些比较厉害的0day,会在获得系统权限后干掉杀毒软件和防火墙,使用户失去保护。
二、路由策略和管理
一些朋友可能会比较奇怪,路由和0day又有什么关系呢?这个要从一些0day的***特性谈起。早在2003年“冲击波”病毒(曾在一年之内感染 1600万计算机)泛滥之时,就有很多网络管理员以路由器为阵地和病毒做了较量。由于“冲击波”病毒的主要使用端口是135、137、139、445、 4444等,所以只要管理员在路由上拒绝掉这些端口,“冲击波”之类的病毒便无法侵入内网了。如果这些端口在工作中要用到,不能拒绝。管理员也可以根据特 征码来判定哪些非法数据不可进入,哪些可以进入。
不过这个方案的前提是,您要有经验丰富、认真负责的网络管理员。而且您也必须有相关的路由设备和严格的管理条例。缺点是时效性差,必须得到第一时间的预警。如果您的网络首先遭受0day***,那这些防御方法就无从谈起了。
三、***防护系统(IPS)
***防护系统(IPS)是企业下一代安全系统的趋势。它不仅可以进行检测,还能在***造成损失之前自动阻断它们。目前,有些厂商已经可以在他们的产品中提前增加数字签名和***行为描述,或者发布虚拟补丁。
这“提前”二字,又是怎么个说法呢?在通过公司内部技术人员挖掘(如:McAfee迈克菲公司300多人的技术团队)和外部购买等各种方法获取0day之后,再把所研究得出的防御方法集成到IPS中,这样便可以在0day***之前预先做好防护。这样,防御也便提前了。
怎样才算一款好的IPS?
一、 实时监测、主动防护
这一点是最基本的,如果这点做不到,也算不上IPS了。
二、预先拦截、及时修复漏洞
要想料敌先机,必须得在***发动之前,把敌人的进攻方法了解清楚。在微软或其他厂商没发补丁,0day又打过来的时候预先在IPS中做好防护措施, 这个对小型IPS安全厂商来说不太容易,需要深厚的技术实力和财力。及时修复漏洞还算简单,为内网的计算机检测漏洞并为其打上补丁。
三、 可管理、可扩展
有很多单位是跨国或跨省的企业,服务器和分公司到处都有,他们需要易于管理和控制的产品,从而降低安装和维护大型安全产品的成本。在网络越来越复杂和庞大的时候,产品也必须可以跨越企业核心网络,企业边界网络,以及分支机构的网络以保持可管理和可扩展性。
四、 性能可靠稳定 流量巨大也不怕
对于一些网络结构复杂,流量负荷非常重的企业和数据中心来说,性能又是他们必须考虑的重点了。
目前市面上很多IPS产品在大流量的网络环境下表现一般,很多还没开始支持10G网络。还有一些产品,在打开部分保护的情况下,网络性能下降很多,保护全部打开,网络性能就惨不忍睹了。这确实是很多IPS用户目前关心的问题。
McAfee北亚太网络安全产品总监Jason Yuan曾说过:一个好的IPS产品,必须要在流量巨大的情况下依然保持较好的防护状态。现在10G的网络越来越多,但支持10G网络的IPS却并不多。 在流量巨大的网络环境中依然可以准确拦截各种威胁,才是一款好的IPS。
结语
如何选择一款好的IPS,除了以上说的几点之外,也一定要符合自己实际的网络环境。比如一个奥运订票系统,肯定不能随便找个千兆IPS就凑合了。对 于网络流量和威胁都不大的公司来说,可以选择一些低成本的IPS产品,等业务量增大和经济条件许可的时候再购买高性能的IPS。一些开源的轻量级解决方案 也可以考虑,只是部署起来不怎么容易,需要考虑人力成本。有条件的公司,还是尽量选择一些大品牌的高品质商业产品比较稳妥。这样方便维护,服务和质量也更 有保障。
【51CTO.COM 独家特稿,转载请注明出处及作者!】
