系統(tǒng)漏洞風(fēng)險(xiǎn)巧消除

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

漏洞管理 
 
在過去的兩年內(nèi)，McAfee AVERT評(píng)出標(biāo)記為中、高級(jí)的威脅一共有66個(gè)，其中90%的病毒和蠕蟲能夠使計(jì)算機(jī)出現(xiàn)被關(guān)機(jī)或應(yīng)用程序停止工作的現(xiàn)象。而剩下10%往往是讓大家最頭疼的，這10%就是依賴系統(tǒng)漏洞或網(wǎng)絡(luò)中間的相關(guān)漏洞而出現(xiàn)的所謂蠕蟲攻擊，對(duì)于這部分的攻擊來說，是采用傳統(tǒng)黑客攻擊的手法入侵計(jì)算機(jī)和相應(yīng)的網(wǎng)絡(luò)，并且獲得相應(yīng)的控制權(quán)限，基本上在這個(gè)環(huán)境中間面臨的最大威脅來源于這10%，根據(jù)AVERT小組統(tǒng)計(jì)40%損失由這10%蠕蟲帶來的，這些都是讓大家很頭疼的問題。

現(xiàn)在蠕蟲攻擊爆發(fā)的時(shí)間越來越短，從最初長(zhǎng)達(dá)288天的病毒，到現(xiàn)在從發(fā)現(xiàn)到全球造成損失的時(shí)間已經(jīng)低于兩天，對(duì)于這樣的時(shí)間差來講，很多管理員都很難有效控制這些威脅，能夠進(jìn)一步抵擋它，可以保護(hù)自己的資產(chǎn)。正因?yàn)橛羞@樣的問題，才會(huì)不斷有各種各樣的安全技術(shù)延伸出來，幾乎主流的安全技術(shù)都跟漏洞和弱點(diǎn)有關(guān)系，那么，怎樣才能消除漏洞所帶來的風(fēng)險(xiǎn)呢？

提高防范意識(shí)

管理員通常比較注意微軟發(fā)布的Windows漏洞，并會(huì)及時(shí)地為系統(tǒng)安裝補(bǔ)丁程序，但系統(tǒng)上運(yùn)行第三方的服務(wù)程序卻常被忽略。比如前一段時(shí)間SERV-U服務(wù)遠(yuǎn)程溢出漏洞，就讓很多服務(wù)器成為黑客的肉雞。系統(tǒng)中運(yùn)行的遠(yuǎn)程訪問或數(shù)據(jù)庫服務(wù)等，都在不同程度上存在漏洞，而且這些漏洞有時(shí)候是致命的，因此，管理員應(yīng)該注意這些廠商所發(fā)布的漏洞，并及時(shí)地安裝補(bǔ)丁或升級(jí)服務(wù)程序。此外，還有類漏洞存在于處理文件的應(yīng)用程序中，如微軟的WORD文檔、圖形文件、PDF文檔以及Media Player的視頻文件等。當(dāng)管理員打開這些帶有惡意溢出代碼的文件時(shí)，系統(tǒng)就為黑客敞開了大門，引來黑客的攻擊。對(duì)付這類漏洞，首先需要管理員提高防范意識(shí)，同時(shí)也要求普通用戶不要輕易打開來歷不明的郵件，并及時(shí)性安裝相應(yīng)的補(bǔ)丁文件。還有一個(gè)簡(jiǎn)單有效的辦法，那就是管理員要嚴(yán)格控制服務(wù)器上安裝的程序，保證服務(wù)器的簡(jiǎn)潔性，關(guān)閉不需要的系統(tǒng)服務(wù)。

補(bǔ)丁管理可以說是解決漏洞風(fēng)險(xiǎn)過程中一個(gè)不可或缺的手段。對(duì)一漏洞，系統(tǒng)廠商一定會(huì)說需要打補(bǔ)丁，這是全部嗎？往往在大家實(shí)際使用中間覺得這不夠完全，特別對(duì)運(yùn)營商網(wǎng)絡(luò)來講，面對(duì)很多計(jì)算機(jī)設(shè)備往往不是自己可以控制，需要更多手段在其他方面做出防護(hù)，因此網(wǎng)絡(luò)入侵檢測(cè)和網(wǎng)絡(luò)入侵防護(hù)這些相關(guān)的技術(shù)應(yīng)用在網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)之中，自然有很多用戶想到一些方法，通過漏洞掃描漏洞評(píng)估類軟件發(fā)現(xiàn)安全問題，從而主動(dòng)地解決這些問題，應(yīng)該說各種方法都會(huì)達(dá)到一定的效果，但是彼此間都會(huì)有相應(yīng)的差異，最通常被大家考慮的方案是關(guān)于補(bǔ)丁的管理。補(bǔ)丁管理一直以來是大家認(rèn)為最方便可以實(shí)現(xiàn)對(duì)漏洞清除或漏洞彌補(bǔ)有效的手段，這些手段中間最有意義莫過于可以快速在網(wǎng)絡(luò)中間實(shí)施應(yīng)用起來，并且防御效果往往是最顯著的，可能相應(yīng)產(chǎn)生的誤殺可能性比較小，所以一直以來大家都認(rèn)為補(bǔ)丁管理比較有優(yōu)勢(shì)的措施。

但是，補(bǔ)丁對(duì)于企業(yè)網(wǎng)絡(luò)或系統(tǒng)來講，也是一個(gè)比較敏感的事情。面對(duì)一個(gè)新的補(bǔ)丁，網(wǎng)絡(luò)管理員要考慮的問題越來越多，比如對(duì)新發(fā)補(bǔ)丁是否需要做完整的測(cè)試，是否要考慮實(shí)驗(yàn)環(huán)境和實(shí)際環(huán)境有多大差別，這些都是讓大家比較困惑的地方。另外一個(gè)問題，就是廠商發(fā)布的這些補(bǔ)丁的時(shí)機(jī)和時(shí)間。另外一方面來說管理員不得不制定一些緊急響應(yīng)的計(jì)劃，幫助我們?cè)诔霈F(xiàn)突發(fā)事件的時(shí)候，如何更快速解決，所以補(bǔ)丁管理也有響應(yīng)的問題和需要大家考慮的問題。

注意異常連接和系統(tǒng)日志

有人錯(cuò)誤地認(rèn)為系統(tǒng)安裝了防火墻和防病毒程序，就能有效地防御針對(duì)漏洞的攻擊，但從TCP/IP分層結(jié)構(gòu)來考慮的話，防火墻是工作在傳輸層的，而漏洞溢出攻擊的代碼往往是針對(duì)應(yīng)用層的程序，因此對(duì)這類攻擊，防火墻和防病毒軟件是無法檢測(cè)的。防火墻的特性是它能夠?qū)λ羞M(jìn)出的連接加以控制，僅依賴防火墻的默認(rèn)置規(guī)則是不夠安全的。管理員需要制定嚴(yán)格的訪問規(guī)則，僅打開需要對(duì)外提供服務(wù)的端口。這樣即使黑客能夠通漏洞打開系統(tǒng)的某個(gè)端口，但是由于該端口受防火墻的阻擋，黑客也無法建立連接。當(dāng)發(fā)生溢出攻擊時(shí)，服務(wù)程序會(huì)出現(xiàn)意外錯(cuò)誤，管理員還可以通過檢查日志記錄，了解錯(cuò)誤發(fā)生的來源、頻率、時(shí)間、類型等詳細(xì)內(nèi)容，依此判斷是否遭受攻擊。

IPS實(shí)現(xiàn)主動(dòng)防御

在實(shí)施主動(dòng)防御之前，不妨先看看黑客通過漏洞實(shí)施的攻擊過程。這里以windows系統(tǒng)漏洞為例，通常因?yàn)閣indows系統(tǒng)存在一些安全問題，蠕蟲或黑客們找到這些問題，并且針對(duì)它所做出一些攻擊，例如發(fā)現(xiàn)相應(yīng)的腳本，進(jìn)行漏洞的利用，可能對(duì)相應(yīng)計(jì)算機(jī)系統(tǒng)，特定的文件、特定對(duì)象進(jìn)行感染，下一步可能寫入系統(tǒng)的內(nèi)存，對(duì)于一個(gè)蠕蟲可以方便的復(fù)制自己和感染相應(yīng)的計(jì)算機(jī)對(duì)象，最后的結(jié)果是導(dǎo)致計(jì)算機(jī)的崩潰，引起拒絕服務(wù)的現(xiàn)象。這樣就會(huì)導(dǎo)致信息資產(chǎn)最終無法工作，更可怕的是，很多寫入內(nèi)存的腳本會(huì)不斷復(fù)制傳播到其他計(jì)算機(jī)，最終可能感染所有網(wǎng)絡(luò)上的終端計(jì)算機(jī)。面對(duì)這樣的問題，如果我們啟用入侵防護(hù)（IPS）系統(tǒng)，無論是網(wǎng)絡(luò)入侵防御，還是主機(jī)入侵防御都可以很實(shí)時(shí)找到相應(yīng)的對(duì)象，并且對(duì)感染過程進(jìn)行阻斷和防御。

作為IPS核心是網(wǎng)絡(luò)和主機(jī)兩方面的結(jié)合，McAfee在整個(gè)IPS技術(shù)除了網(wǎng)絡(luò)以外，在主機(jī)方面也會(huì)幫助用戶得到全面的保護(hù)，因?yàn)镮ntruShield針對(duì)的是網(wǎng)絡(luò)環(huán)境，這可以針對(duì)一些重要服務(wù)器所在的網(wǎng)段或網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)它們的防御。結(jié)合剛才說的網(wǎng)絡(luò)防御的手段，加上Entercept主機(jī)防御可以做到全面的防御。當(dāng)然我們阻擋攻擊也應(yīng)該考慮作用的范圍，一個(gè)特別復(fù)雜的網(wǎng)絡(luò)，往往IPS部署的成本也很高，我們很難憑空確定在什么位置部署可以節(jié)省成本。另外阻擋效果怎么樣？取決管理員策略配置，只有做好相關(guān)配置才能做好，這都是大家面臨的問題。對(duì)于McAfee來講，我們更多的建議是考慮前面所說的這些問題，應(yīng)當(dāng)采用一些特殊的技術(shù)手段判斷出網(wǎng)絡(luò)中間什么是最主要的，什么區(qū)域是客戶值得投資和防御的位置，這正是我們稱為漏洞管理，或者風(fēng)險(xiǎn)管理的措施。利用風(fēng)險(xiǎn)管理和漏洞管理的行為，幫助用戶找到正面臨非常嚴(yán)重威脅的核心資產(chǎn)，進(jìn)行相關(guān)的分析與控制，找到在整個(gè)漏洞管理和風(fēng)險(xiǎn)管理過程中最危機(jī)的部分，從而決定你的投資！決定你防御對(duì)象和過濾對(duì)象所在。

虛擬防護(hù)防止LAN攻擊

我們也提出針對(duì)SSL的檢測(cè)技術(shù)，這些相關(guān)技術(shù)的融合導(dǎo)致不管對(duì)已知攻擊，還是臨時(shí)攻擊都具有很好的防御。我們?cè)谶@里舉一個(gè)例子，關(guān)于通過HTTP隧道的FTP通訊，傳統(tǒng)技術(shù)很難發(fā)現(xiàn)在里面的攻擊是什么？這些攻擊往往被認(rèn)為是一個(gè)HTTP的攻擊判斷和識(shí)別，在FTP過程中才存在一個(gè)真正需要阻斷的攻擊時(shí)，McAfee IntruShield可以在網(wǎng)絡(luò)中實(shí)現(xiàn)從最初的準(zhǔn)確認(rèn)知攻擊到最后的準(zhǔn)確保護(hù)，防止攻擊的發(fā)生。在企業(yè)網(wǎng)絡(luò)中的部署變得相當(dāng)簡(jiǎn)單，這是運(yùn)營商最愿意接受的方式。在網(wǎng)絡(luò)傳輸過程當(dāng)中，如果出現(xiàn)任何攻擊和攻擊的企圖都可以進(jìn)行阻斷，對(duì)于運(yùn)營商的網(wǎng)絡(luò)環(huán)境，例如IDC的網(wǎng)絡(luò)環(huán)境，利用虛擬IDS或虛擬IPS，我們可以采取虛擬的方式把一臺(tái)IPS系統(tǒng)當(dāng)成多臺(tái)來看待；如果在一個(gè)IDC中間有很多門戶網(wǎng)站，運(yùn)營商愿意針對(duì)網(wǎng)易、新浪采取不一樣的防御措施，可以進(jìn)行不同的配置，從而防治不同的LAN的攻擊，防止處在同一個(gè)LAN的彼此蔓延，這可以節(jié)省很多IDS的部署，這可能幫助我們做到很多LAN的防御和控制。

面對(duì)網(wǎng)絡(luò)的復(fù)雜我們很難定義一個(gè)邊界在哪兒，我們利用防火墻隔離的時(shí)候很難找到一個(gè)好的地方，這時(shí)候可以找一個(gè)虛擬邊界技術(shù)劃分，對(duì)特定的網(wǎng)絡(luò)段，或制定的范圍做出相應(yīng)的ACL的控制，可以對(duì)不同LAN做出邊界控制的要求，從而劃分成一個(gè)最小的單元，也可以考慮對(duì)于很多計(jì)費(fèi)的主機(jī)或?qū)ν馓峁┓?wù)的主機(jī)都可以劃在不同的LAN里面考慮。

傳統(tǒng)意義上風(fēng)險(xiǎn)等式都看到過，對(duì)于資產(chǎn)漏洞和威脅都有各自對(duì)象存在，如果拋開整個(gè)風(fēng)險(xiǎn)管理，針對(duì)每一個(gè)個(gè)體也有防御措施，這些防御措施單個(gè)利用也會(huì)幫助我們達(dá)到防御效果，但是沒有一個(gè)可以融合在一起看待，正是這樣的原因，如果只是單一的產(chǎn)品部署，或者跟一個(gè)能夠?qū)嵤┞┒垂芾眢w系的企業(yè)來比，效果往往會(huì)有很大的差別。這樣的差別既然存在，我們自然需要考慮找到一個(gè)切實(shí)可行的漏洞管理措施，或者漏洞管理方案幫助我們做出相應(yīng)的控制。在漏洞管理的過程中通常面臨的問題，或者整個(gè)過程中間可能分了一些步驟，最容易出現(xiàn)的問題，往往是出現(xiàn)在如何指定相應(yīng)的人員進(jìn)行漏洞管理，如何指定相應(yīng)的人員做漏洞的修補(bǔ)，以及如何校驗(yàn)這些問題在網(wǎng)絡(luò)中存在多長(zhǎng)時(shí)間。

針對(duì)整個(gè)漏洞管理生命周期，只有企業(yè)制定管理要求才能做出更好的控制，McAfee的管理漏洞的意義在于幫助用戶找出網(wǎng)絡(luò)管理漏洞資產(chǎn)，并且計(jì)算出你的風(fēng)險(xiǎn)值，從而幫助運(yùn)營商找到網(wǎng)絡(luò)中間值得投資的方位，利用相應(yīng)的管理人員，技術(shù)人員對(duì)發(fā)現(xiàn)的問題進(jìn)行彌補(bǔ)，應(yīng)用現(xiàn)有的技術(shù)或者采購新的技術(shù)方案對(duì)它進(jìn)行彌補(bǔ)和控制，從而達(dá)到全面的漏洞管理和風(fēng)險(xiǎn)管理。單一的漏洞管理是非常低效的技術(shù)也是非常被動(dòng)的技術(shù)，只有廠商發(fā)布了漏洞相應(yīng)的補(bǔ)丁才能進(jìn)行相關(guān)的保護(hù)。因此，高效的防范漏洞的方法是利用漏洞管理確定風(fēng)險(xiǎn)最高最迫切需要關(guān)注的網(wǎng)絡(luò)資產(chǎn)，利用先進(jìn)的入侵防御技術(shù)，結(jié)合傳統(tǒng)的補(bǔ)丁管理技術(shù)，從而實(shí)現(xiàn)主動(dòng)、高效的保護(hù)。(zdnet)