虚拟补丁让“零日”难成威胁

疾驰

来自：http://tech.hexun.com/2012-04-11/140260704.html


在信息安全日益严峻的今天，操作系统与应用程序的漏洞从来就没有真正消失，许多公司都在为系统打补丁的工作付出超额的人力成本，但等待安装重要安全补丁的维护时段，则是一段艰难和危险的过程。况且，传统的劳动密集型IT补丁流程尚未得到改善，不能足够快地修补漏洞，这与黑客多次利用零日（0day）漏洞大规模攻击形成鲜明对比。

　　在一般情况下，一旦漏洞公布之后，网络攻击会在一天之后就会遍地开花。自动攻击带来的大多数损害发生在消息发布后的前15天内，而80%的攻击出现在60天内。曾有机构统计，现在网络用户使用的操作系统和应用程序，每一千行代码中就有可能存在四至五个编码漏洞。由于系统和应用程序的开发商不可能对所有的代码进行严格的检查，在许多情况下，调查、测试和将补丁程序部署到操作系统可能需要30天或更多时间，对于应用程序来说，通常需要更久。而且，可能遭遇的情况就是，上一个严重漏洞还还没有修补，新的补丁更新程序却已经来到。应该说，在任何一个补丁的“空档期”，企业的安全架构都脆弱的。

　　与此同时，几乎每个月都有数百个软件漏洞被发现，而即时的修补不但耗费大量的人力成本，还会因为兼容性问题出现“死机”状况，这都让服务器随时要做好“回滚”的准备。而且，通常对于尚在服役的旧版操作系统而言，由于需要单独付出费用，很多服务器和终端几乎是“赤裸”工作。许多网络管理员、系统管理员、数据库管理员也都对打补丁工作十分抵触，因为这已经占据了他们日常工作中的大量时间，而安全主管则需要随时提防数据泄露事件的发生。为了不在业务集中时段重新启动服务器，或者调整防火墙等安全策略，“打补丁”已经成为了IT运维工程师“加班”的代名词。

　　趋势科技针对上述安全管理的难题，利用独有的云安全技术与入侵检测防火墙插件技术相结合，在服务器深度安全防护系统和防毒墙网络版等多项安全产品都提供了配套的虚拟补丁解决方案。虚拟补丁是一种基于主机的安全功能，在未对漏洞进行永久补丁修复之前，其工作原理不是修改可执行程序，而是针对网络数据流的深层分析，检测入站流量并保护应用程序免受攻击。同时，趋势科技的虚拟补丁技术整合了全球第一时间公布的漏洞防护和补丁通知，并可以通过深度包检测模块，在流量和系统的实时监控过程中，自动发现应用程序和操作系统中的漏洞。

　　趋势科技虚拟补丁方案，可以让IT 部门以有序方式安排补丁工作的部署，这为安排补丁优先级、永久补丁修复和软件源代码修正都争取了时间。在应对零日（0day）攻击方面，这项技术在厂商未推出正式补丁之前，以及不再提供商业支持的旧版软件（或许永久都不会出现补丁）最佳方案。

明月丶舞白衣

上次参加趋势空中课堂，老师告诉我说有了趋势可以不怕0day

happywangxl

微点、诺顿也号称可以一定程度防御利用漏洞的攻击，不知道效果怎么样

klinxun

happywangxl 发表于 2012-4-11 20:45
微点、诺顿也号称可以一定程度防御利用漏洞的攻击，不知道效果怎么样

微点跟诺顿是基于特征的，不过诺顿的ips有一定的启发能力，微点不清楚。而咖啡的ips是主动式的防缓冲区溢出

happywangxl

klinxun 发表于 2012-4-13 15:55
微点跟诺顿是基于特征的，不过诺顿的ips有一定的启发能力，微点不清楚。而咖啡的ips是主动式的防缓冲区溢 ...

感谢解答

klinxun

基本上是Deep Security跟Officescan+IDF墙有这个功能，个人版木有……起码暂时木有，以后能否可以有就不清楚。

klinxun

希望趋势2013加入这功能吧，人家铁壳跟咖啡的ips都没有丢下个人版……

happywangxl

klinxun 发表于 2012-4-13 17:20
希望趋势2013加入这功能吧，人家铁壳跟咖啡的ips都没有丢下个人版……

就是，趋势的“新”技术都是在企业版。当然，个人版整体已经很不错。

yeow5243

klinxun 发表于 2012-4-13 17:20
希望趋势2013加入这功能吧，人家铁壳跟咖啡的ips都没有丢下个人版……

都没看过mcafee 个人版缓冲区溢保护报过警

klinxun

yeow5243 发表于 2012-4-14 00:51
都没看过mcafee 个人版缓冲区溢保护报过警

咖啡那个是缓冲区防溢出，主要防止缓冲区溢出攻击。