大部分普通电脑用户最关心哪家公司的漏洞补丁?答案一定是微软了。由于微软的补丁量很大,为此他们指定了一个周二补丁日,也就是所谓的“Patch Tuesday”来统一发放补丁。之所以选择星期二,是为了避开繁忙的星期一。当然,非常紧急的补丁还是可以随时发布的。那这些补丁的作用是什么呢?当然是修补哪些0day了。
2009年6月9日,微软开始发布自2003年10月以来数量最大的一次安全更新。也是涵盖系统范围最广的一次。包括Windows 2000/2003/2008、Windows XP、Windows Vista在内,包含了10个新的安全更新,修补了31个漏洞。连微软非常倚重的IE8,也没有逃过此劫。虽然这次的大规模补丁修补了IE、Office 等很多漏洞,但仍然有一些诸如Direct Show这类的漏洞没有得到修补。那些掌握着0day的骇客们,已经开始在网络上展开了热火朝天的挂马和入侵活动。必须抢在补丁发布之前攻击更多的计算机,他们的目的很明确。
零日威胁(0day)的危害,已经成为各大安全公司头疼的主要因素。调查显示,在来自美国、欧洲及亚太地区的250名CIO、CSO、IT经理及网络管理员中,有54%的人将零日威胁视为最大的安全隐患;其次是黑客威胁,其关注度为35%;恶意软件和间谍软件则紧随其后,以34%的关注度排在第三。
虽然很多厂商可以加入类似MAPP这样的微软漏洞分享组织,但在地下流动的那些尚未公布的漏洞,连微软自己也很受困扰。它们有的成为“愚人飞客”(Conficker)这样的蠕虫传播媒介,有的则成为挂马者获取肉鸡的邪恶武器。
如何解决0day攻击的困扰
一、杀毒软件和防火墙
对于大多数个人用户来说,杀毒软件和防火强已经成为他们防范黑客攻击的必备武器,很多PC销售商都会在自己卖出的品牌机中预装McAfee或诺顿之类的杀毒软件。通过及时的升级病毒库和用户自己对防火墙的灵活控制,大部分威胁和一部分0day将被阻挡在外。但是误操作和对安全软件的不正当使用,仍然会造成计算机被攻击。一些比较厉害的0day,会在获得系统权限后干掉杀毒软件和防火墙,使用户失去保护。
二、路由策略和管理
一些朋友可能会比较奇怪,路由和0day又有什么关系呢?这个要从一些0day的攻击特性谈起。早在2003年“冲击波”病毒(曾在一年之内感染 1600万计算机)泛滥之时,就有很多网络管理员以路由器为阵地和病毒做了较量。由于“冲击波”病毒的主要使用端口是135、137、139、445、 4444等,所以只要管理员在路由上拒绝掉这些端口,“冲击波”之类的病毒便无法侵入内网了。如果这些端口在工作中要用到,不能拒绝。管理员也可以根据特征码来判定哪些非法数据不可进入,哪些可以进入。
不过这个方案的前提是,您要有经验丰富、认真负责的网络管理员。而且您也必须有相关的路由设备和严格的管理条例。缺点是时效性差,必须得到第一时间的预警。如果您的网络首先遭受0day攻击,那这些防御方法就无从谈起了。
三、入侵防护系统(IPS)
入侵防护系统(IPS)是企业下一代安全系统的趋势。
它不仅可以进行检测,还能在攻击造成损失之前自动阻断它们。目前,有些厂商已经可以在他们的产品中提前增加数字签名和攻击行为描述,或者发布虚拟补丁。
这“提前”二字,又是怎么个说法呢?在通过公司内部技术人员挖掘和外部购买等各种方法获取0day之后,再把所研究得出的防御方法集成到IPS中,这样便可以在0day攻击之前预先做好防护。这样,防御也便提前了。
怎样才算一款好的IPS?
一、 实时监测、主动防护
这一点是最基本的,如果这点做不到,也算不上IPS了。
二、预先拦截、及时修复漏洞
要想料敌先机,必须得在攻击发动之前,把敌人的进攻方法了解清楚。在微软或其他厂商没发补丁,0day又打过来的时候预先在IPS中做好防护措施,这个对小型IPS安全厂商来说不太容易,需要深厚的技术实力和财力。及时修复漏洞还算简单,为内网的计算机检测漏洞并为其打上补丁。
三、 可管理、可扩展
有很多单位是跨国或跨省的企业,服务器和分公司到处都有,他们需要易于管理和控制的产品,从而降低安装和维护大型安全产品的成本。在网络越来越复杂和庞大的时候,产品也必须可以跨越企业核心网络,企业边界网络,以及分支机构的网络以保持可管理和可扩展性。
四、 性能可靠稳定 流量巨大也不怕
对于一些网络结构复杂,流量负荷非常重的企业和数据中心来说,性能又是他们必须考虑的重点了。
目前市面上很多IPS产品在大流量的网络环境下表现一般,很多还没开始支持10G网络。还有一些产品,在打开部分保护的情况下,网络性能下降很多,保护全部打开,网络性能就惨不忍睹了。这确实是很多IPS用户目前关心的问题。
McAfee北亚太网络安全产品总监Jason Yuan曾说过:一个好的IPS产品,必须要在流量巨大的情况下依然保持较好的防护状态。现在10G的网络越来越多,但支持10G网络的IPS却并不多。在流量巨大的网络环境中依然可以准确拦截各种威胁,才是一款好的IPS。
结语
如何选择一款好的IPS,除了以上说的几点之外,也一定要符合自己实际的网络环境。比如一个奥运订票系统,肯定不能随便找个千兆IPS就凑合了。对于网络流量和威胁都不大的公司来说,可以选择一些低成本的IPS产品,等业务量增大和经济条件许可的时候再购买高性能的IPS。一些开源的轻量级解决方案也可以考虑,只是部署起来不怎么容易,需要考虑人力成本。有条件的公司,还是尽量选择一些大品牌的高品质商业产品比较稳妥。这样方便维护,服务和质量也更有保障。