股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 安(ān)全通告
安(ān)全通告
亚信安(ān)全专家:云端出现漏洞如何正确掌握打补丁的“时机”?
发布时间 :2021年08月30日
分(fēn)享:
人们对“安(ān)全补丁”并不陌生,也大都有(yǒu)过给自己的電(diàn)脑操作(zuò)系统和各种软件打补丁的经历,但对于采用(yòng)虚拟化与云计算的企业用(yòng)户而言,补丁管理(lǐ)却不是一件易事。前不久,Gartner发布一份研究报告,内容重点是如何保障 Amazon WebServices 云端安(ān)全的最佳实務(wù)原则,其中(zhōng)重点强调了补丁管理(lǐ)中(zhōng)的“时机”概念。
让我们把时间回溯到2014 年 4 月 1 日,也就是 Heartbleed (心脏出血)被揭露的那天。此漏洞可(kě)让黑客利用(yòng) OpenSSL 链接库当中(zhōng)的 SSL 协议 (handshake),直接从服務(wù)器内存中(zhōng)窃取敏感的信息。
在随后的几天里,众多(duō)企业用(yòng)户开始了各种手忙脚乱的“打补丁”、OpenSSL库组件重新(xīn)编译、弱点扫描,这不可(kě)避免的导致了Web服務(wù)、内部私有(yǒu)云的核心业務(wù)等大量业務(wù)陷入停顿。对于这种看似正常的漏洞修补方式,Gartner 专家与亚信安(ān)全工(gōng)程师却不谋而合的给出了一个违背大多(duō)数企业做法的意见,那就是:别修补。没错!不要修补运营中(zhōng)的系统!
其实,我们的观点并不是视而不见,让服務(wù)器一直暴露在危险当中(zhōng),一旦遇到可(kě)能(néng)中(zhōng)断业務(wù)的修补程序,用(yòng)户就可(kě)以采用(yòng)动态的方式进行部署、尽量降低系统修补造成运营中(zhōng)断的机率。我们建议用(yòng)户建立‘静态’和‘动态’两种方法打造新(xīn)的服務(wù)器,以及前期规范的测试、安(ān)装(zhuāng)检测流程和自动化工(gōng)具(jù)。其中(zhōng)的重点在于自动化,因為(wèi)这样才能(néng)确保您有(yǒu)一套可(kě)快速建立及测试新(xīn)应用(yòng)程序环境的操作(zuò)流程。
那么,漏洞该怎么办(bàn)?时间正一分(fēn)一秒(miǎo)流逝……
此时就是Virtual Patching(虚拟补丁)解决方案派上用(yòng)场的时候,此项技(jì )术通过控制受影响应用(yòng)程序的输入或输出,直接切断数据外泄和系统入侵的路径。它的好处有(yǒu)两点:一是,可(kě)以在不影响应用(yòng)程序、相关库以及為(wèi)其提供运行环境的操作(zuò)系统的情况下,為(wèi)应用(yòng)程序安(ān)装(zhuāng)补丁;二是,如果一个应用(yòng)程序的早期版本已不再获得供应商(shāng)支持(如Windows XP),虚拟补丁几乎是支持该早期版本的唯一方法。
在云端环境当中(zhōng),不论遇到多(duō)么紧急的情况,都可(kě)以先让虚拟补丁程序来保护生产(chǎn)环境,然后在另外一个测试环境当中(zhōng)同步测试厂商(shāng)提供的修补程序。实际上,使用(yòng)亚信安(ān)全服務(wù)器深度安(ān)全防护系统(Deep Security)、防毒墙(OfficeScan)等产(chǎn)品的用(yòng)户,已经利用(yòng)虚拟补丁在多(duō)次高危漏洞(如Heartbleed)出现时為(wèi)自己赢得了大量时间,有(yǒu)效防止了服務(wù)器数据泄露事件的发生。
在云计算时代,安(ān)全运营模式将彻底改观,因為(wèi)云端服務(wù)器是可(kě)随时抛弃的,数据才是重点。所以,传统的劳动密集型IT补丁流程必须得到改善,因為(wèi)手工(gōng)修补的方式不能(néng)快速地修补漏洞,甚至会导致核心业務(wù)宕机,这一缺陷在黑客利用(yòng)零日(0day)漏洞大规模攻击时,会变得尤為(wèi)致命。
分(fēn)享到微信
X