端點(diǎn)之戰(zhàn)何以解憂，唯有虛擬補(bǔ)丁

開年之初，Windows十分繁忙：先是14日微軟正式宣布Windows7EOS(停止更新支持);而后15日微軟發(fā)布重大漏洞補(bǔ)丁(CVE-2020-0601)。兩者雖然沒有直接關(guān)聯(lián)(CVE-2020-0601主要針對(duì)Windows10、WindowsServer2016/2019系統(tǒng)以及依賴于WindowsCryptoAPI的應(yīng)用程序，Windows7不受該漏洞影響)，但是卻讓我們的目光重回漏洞治理。

漏洞之憂，由來已久

利用軟件弱點(diǎn)或BUG，在未經(jīng)授權(quán)的情況下實(shí)現(xiàn)對(duì)系統(tǒng)資源的非法入侵以及破壞，這就是漏洞攻擊。

而國(guó)內(nèi)運(yùn)維真正開始意識(shí)到漏洞補(bǔ)丁的重要性還是在“熊貓燒香”的年代。那一年有人因?yàn)槊刻熘匮b30臺(tái)PC系統(tǒng)而憤然離職，也有人因?yàn)椴豢下犎⊙a(bǔ)丁防護(hù)的建議導(dǎo)致生產(chǎn)事故。2008年我們記住了KB958644(2008年最大的安全漏洞)，認(rèn)識(shí)到安全保護(hù)除了殺毒軟件，補(bǔ)丁防護(hù)也同樣重要。2017年的WannaCry，又用血淋淋的教訓(xùn)告訴我們，漏洞治理的重要性。

漏洞管理已經(jīng)成為了管理員最真實(shí)的痛楚。有數(shù)據(jù)表明，安全牛對(duì)國(guó)內(nèi)200位CSO讀者的調(diào)查中，有26%的受訪者表示，由于未及時(shí)修補(bǔ)漏洞而蒙受了巨大的安全損失。無疑，預(yù)防、檢測(cè)、修復(fù)漏洞成為了企業(yè)安全管理的重要環(huán)節(jié)。然而傳統(tǒng)方式，即利用漏洞掃描發(fā)現(xiàn)漏洞，更新補(bǔ)丁堵住漏洞，并不能解決接踵而來的新問題，老舊系統(tǒng)無補(bǔ)丁更新、補(bǔ)丁更新導(dǎo)致業(yè)務(wù)中斷、傳統(tǒng)更新技術(shù)更新率不足、更新周期過長(zhǎng)導(dǎo)致維護(hù)成本增加等等。對(duì)于漏洞補(bǔ)丁，打還是不打，變成了一個(gè)問題。

漏洞之憂，何以解憂？

面對(duì)這樣的困境，虛擬補(bǔ)丁(VirtualPatch)的技術(shù)概念應(yīng)運(yùn)而生。其能夠在不中斷應(yīng)用程序和業(yè)務(wù)運(yùn)營(yíng)的情況下，建立的一個(gè)安全策略實(shí)施層，在惡意軟件危及易受攻擊目標(biāo)之前，高效地修正有可能會(huì)攻擊漏洞的應(yīng)用程序輸入流，也能夠針對(duì)漏洞攻擊行為做到有效地發(fā)現(xiàn)和攔截。

虛擬補(bǔ)丁的技術(shù)目前在亞信安全的端點(diǎn)防護(hù)解決中得到了非常成熟的應(yīng)用。從終端到服務(wù)器端，虛擬補(bǔ)丁結(jié)合亞信安全OfficeScan和DeepSecurity能夠提供及時(shí)的端點(diǎn)防護(hù)，并有效抵御高級(jí)威脅等問題。

在主機(jī)側(cè)亞信安全虛擬補(bǔ)丁技術(shù)使用高性能、低功耗的入侵防御和零日漏洞攻擊檢測(cè)引擎，能夠檢測(cè)網(wǎng)路協(xié)議的偏差，標(biāo)記為攻擊行為的可疑內(nèi)容，以及違反安全策略的流量，從而在端點(diǎn)更新漏洞修復(fù)補(bǔ)丁之前，阻斷針對(duì)些漏洞的網(wǎng)絡(luò)攻擊。漏洞防護(hù)還可以和亞信安全的其他端點(diǎn)防護(hù)產(chǎn)品協(xié)同工作，從而為企業(yè)內(nèi)部、外部、漫游的各種端點(diǎn)提供更全面的防護(hù)。

•解運(yùn)維之憂

大多數(shù)的運(yùn)維人員，包括網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員以及終端管理員對(duì)打補(bǔ)丁都非常抵觸，一是時(shí)間問題，二是人手問題，同時(shí)補(bǔ)丁更新也意味著操作會(huì)造成業(yè)務(wù)風(fēng)險(xiǎn)。虛擬補(bǔ)丁可以讓管理員從繁重的補(bǔ)丁管理中解脫出來，從而降低運(yùn)維成本;

•解時(shí)效之憂

在系統(tǒng)漏洞治理的整個(gè)生命周期中，時(shí)間是另外一個(gè)核心問題。漏洞發(fā)布后廠商制作補(bǔ)丁需要時(shí)間，補(bǔ)丁發(fā)布后保證軟件兼容性和穩(wěn)定性測(cè)試需要時(shí)間，到了最終用戶部署補(bǔ)丁更需要時(shí)間。虛擬補(bǔ)丁能夠讓用戶節(jié)約更多的時(shí)間，同時(shí)保證不出現(xiàn)兼容性和穩(wěn)定性問題的情況下快速反應(yīng)部署;

•解重啟之憂

重啟是業(yè)務(wù)運(yùn)維的大忌，不僅帶來一連串連鎖反應(yīng)，同時(shí)也給業(yè)務(wù)運(yùn)維帶來風(fēng)險(xiǎn)，而在以安全為業(yè)務(wù)服務(wù)、一切為業(yè)務(wù)保障的大前提下，管理員更愿意以不重啟為先決條件;

•解老舊系統(tǒng)之憂

目前的環(huán)境下，Windows7系統(tǒng)已經(jīng)停止更新服務(wù)，事實(shí)上目前還有大量的WindowsXP系統(tǒng)在超期服役，這不僅因?yàn)橛布渲玫?，也源于大量老舊版本業(yè)務(wù)平臺(tái)制約了操作系統(tǒng)的更新迭代，虛擬補(bǔ)丁能為廠商已經(jīng)不再提供更新的桌面系統(tǒng)上提供保護(hù)，為停止支持的操作系統(tǒng)和應(yīng)用程序提供補(bǔ)丁防護(hù)，從而延長(zhǎng)老舊系統(tǒng)的使用壽命，以解老舊之憂。

終端防護(hù)之戰(zhàn)，虛擬補(bǔ)丁最為解憂

越來越多的企業(yè)用戶傾向于建立漏洞補(bǔ)丁的快速補(bǔ)救以及有效防護(hù)能力，而虛擬補(bǔ)丁的技術(shù)以其特有的優(yōu)勢(shì)更受到用戶的青睞。這種需求也同樣反映在市場(chǎng)層面，亞信安全虛擬補(bǔ)丁2019年復(fù)合增長(zhǎng)率高達(dá)500%，在CII重點(diǎn)行業(yè)中，包括醫(yī)療、制造業(yè)、金融以及政府行業(yè)在終端運(yùn)維中采用了虛擬補(bǔ)丁技術(shù)。在近8年的實(shí)戰(zhàn)中，亞信安全虛擬補(bǔ)丁已經(jīng)為全國(guó)上百萬端點(diǎn)提供了漏洞防護(hù)方案。

如果說網(wǎng)絡(luò)之戰(zhàn)在于端點(diǎn)，那么虛擬補(bǔ)丁則是端點(diǎn)安全防護(hù)中極為輕量級(jí)但高效有效的方式，結(jié)合亞信安全其他端點(diǎn)防護(hù)產(chǎn)品協(xié)同聯(lián)動(dòng)，將為客戶提供內(nèi)部、外部、漫游的各種端點(diǎn)的安全防護(hù)。

2019主要漏洞預(yù)警例證：

漏洞編號(hào)

VP對(duì)應(yīng)DPI規(guī)則

備注

CVE-2020-0601

1010130-MicrosoftWindowsCryptoAPISpoofingVulnerability(CVE-2020-0601)

攻擊者可以通過構(gòu)造惡意的簽名證書，并以此簽名惡意文件來進(jìn)行攻擊，此外由于ECC證書還廣泛的應(yīng)用于通信加密中，攻擊者成功利用該漏洞可以實(shí)現(xiàn)對(duì)應(yīng)的中間人攻擊。

CVE-2019-0708

1009448-MicrosoftWindowsRemoteDesktopProtocol(RDP)BruteForceAttempt

攻擊者可以利用該漏洞對(duì)啟用了遠(yuǎn)程桌面服務(wù)的主機(jī)進(jìn)行攻擊，執(zhí)行任意操作，危害巨大

CVE-2019-0859和CVE-2019-0803

1009647-MicrosoftWindowsGDIElevationOfPrivilegeVulnerability(CVE-2019-0803)

1009649-MicrosoftWindowsMultipleSecurityVulnerabilities(CVE-2019-0859)

利用此漏洞的攻擊者可以在內(nèi)核模式下運(yùn)行任意代碼。攻擊者可以安裝程序、查看、更改或者刪除數(shù)據(jù)，或者創(chuàng)建具備完整用戶權(quán)限的新賬戶。

CVE-2019-2725

1009707-OracleWeblogicServerRemoteCodeExecutionVulnerability(CVE-2019-2725)

利用了OracleWebLogicServer的反序列化漏洞(CVE-2019-2725)進(jìn)行傳播，該漏洞曾經(jīng)用于傳播Sodinokibi勒索病毒。除了漏洞利用外，該病毒還使用了新型傳播手段，將惡意代碼隱藏在證書里，達(dá)到躲避殺毒軟件檢測(cè)的目的。

CVE-2019-15107

1010043-WebminUnauthenticatedRemoteCodeExecutionVulnerability(CVE-2019-15107)

新型僵尸網(wǎng)絡(luò)Roboto利用Webmin遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2019-15107)在Linux服務(wù)器上傳播

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。