虽然多数大型软件供应商都在努力改善其补丁的发布和分发过程,但补丁管理仍然要耗费IT管理人员大量的精力。
随着新的漏洞不断出现,许多公司在为系统打补丁上疲于应付,等待安装重要安全补丁的维护时段可能是一段艰难的时期。最重要的是,如果IT人员的配备不足,时间又不充裕,那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。
而虚拟补丁技术正是一种可以使IT人员摆脱这种补丁管理困境的解决方案。虚拟补丁技术旨在通过控制受影响的应用程序的输入或输出,来改变或消除漏洞。虚拟补丁的方法有许多,我们稍后将讨论这一问题。
与传统的补丁管理流程不同,利用虚拟补丁技术,我们可以在不影响应用程序和其相关库以及为其提供运行环境的操作系统的情况下,为应用程序安装补丁。此外,如果一个应用程序的早期版本已不再获得供应商支持,则此时虚拟补丁是支持该早期版本的唯一方法。
安装虚拟补丁的方法之一是修改应用程序的运行时代码。当你对实际攻击如何进行一无所知时——通常是因为应用程序的供应商不愿公布程序遭受攻击的具体细节,这种方法确实有用。在这种情况下,如果攻击涉及到窃取信用卡资料,你可以创建一个输出补丁,丢弃向未知IP地址传送信用卡资料的任何连接。这种类型的虚拟补丁既可以阻止攻击得逞,又可以执行定义可信行为的规则,从而为你的应用程序增加了一个额外的安全层。
然而,修改应用程序的运行时代码可能会带来新的风险(如编程错误),从而导致更多的安全漏洞或应用程序不稳定。因此,这种方法要求程序员具有高超的编程技巧,以成功地降低这些风险。安装虚拟补丁的一种更为常见的方法是,在应用程序之前设置某种类型的代理,以控制应用程序的输入和输出,从而阻止或消除攻击行为。这种方法与根据新的防火墙或代理规则匹配应用程序的输入一样简单,可以检测对漏洞的尝试利用,并终止可疑的会话。
对于人手不足的IT部门来说,安装虚拟补丁的最简单方法是使用入侵防御系统(Intrusion Prevention System,IPS)和漏洞管理产品,以防止已知漏洞被利用。通过将IPS过滤器映射到漏洞数据库并进行适当的修改,可以将你的IPS与漏洞管理系统同步,并更新IPS过滤器的配置,以防止已知漏洞被攻击者利用。
安全风险管理解决方案提供商Critical Watch和网络入侵防御系统提供商TippingPoint已经联合开发了一个综合的漏洞管理和IPS集成包,该集成包可以同步你的IPS和漏洞管理系统。通过阻止潜在的恶意网络流量到达易受攻击的应用程序,该集成包提供了一个基于网络的虚拟补丁,该虚拟补丁既不需要停机安装,也不需要进行广泛的应用程序测试。虽然此集成包可以为你节省大量时间,但如果这样的产品超出了你的预算,你也可以手动同步你现有的IPS和漏洞管理系统,其方法如前所述。
然而,如何才能确定一个虚拟补丁是否在运行呢?理论上,测试虚拟补丁如何处理模拟攻击需要获得漏洞检测代码。如果无法做到这一点,则你需要较为详细地了解攻击是如何进行的。这就需要研究应用程序供应商和世界著名防病毒实验室AV的报告,以深入理解攻击是如何进行的。如果检测到潜在的攻击,例如探测到一个易受攻击的应用程序,过滤器或代理应该触发一个警报。当虚拟补丁安装完成后,应该测试你的应用程序是否仍可运行,并记录你所做的更改以及哪些补丁已经修复、哪些补丁尚未修复。
虚拟补丁不是一种“一劳永逸(Set It and Forget It)”的解决方案。对网络拓扑结构的任何修改甚至是细小的配置更改,都可能导致虚拟补丁失效,并使应用程序的漏洞再次暴露。制定解决根本问题的补丁管理计划非常重要,其中包括在任何可能和可行的时间部署供应商的补丁。理想情况下,虚拟补丁可以为人手不足的IT部门节约大量的时间,以执行适当的补丁管理流程,包括补丁的评估和部署。
毫无疑问,虚拟补丁是一种极有价值的技术,可用于减少供应商补丁之间的时间间隔或者由于公司缺乏定期测试和部署补丁所需人手造成的风险。虽然虚拟补丁绝不应该替代标准的补丁管理流程,但如果你能够跟上应用程序供应商的补丁和公开披露的漏洞的最新进展,虚拟补丁可以为你提供应急之道,并关闭试图利用系统等待官方补丁时的漏洞的攻击者的机会之窗。
【编辑推荐】
