端點之戰(zhàn)何以解憂，唯有虛擬補丁

開年之初，Windows十分繁忙：先是14日微軟正式宣布Windows7EOS(停止更新支持);而后15日微軟發(fā)布重大漏洞補丁(CVE-2020-0601)。兩者雖然沒有直接關(guān)聯(lián)(CVE-2020-0601主要針對Windows10、WindowsServer2016/2019系統(tǒng)以及依賴于WindowsCryptoAPI的應(yīng)用程序，Windows7不受該漏洞影響)，但是卻讓我們的目光重回漏洞治理。

漏洞之憂，由來已久

利用軟件弱點或BUG，在未經(jīng)授權(quán)的情況下實現(xiàn)對系統(tǒng)資源的非法入侵以及破壞，這就是漏洞攻擊。

而國內(nèi)運維真正開始意識到漏洞補丁的重要性還是在“熊貓燒香”的年代。那一年有人因為每天重裝30臺PC系統(tǒng)而憤然離職，也有人因為不肯聽取補丁防護的建議導(dǎo)致生產(chǎn)事故。2008年我們記住了KB958644(2008年最大的安全漏洞)，認識到安全保護除了殺毒軟件，補丁防護也同樣重要。2017年的WannaCry，又用血淋淋的教訓(xùn)告訴我們，漏洞治理的重要性。

漏洞管理已經(jīng)成為了管理員最真實的痛楚。有數(shù)據(jù)表明，安全牛對國內(nèi)200位CSO讀者的調(diào)查中，有26%的受訪者表示，由于未及時修補漏洞而蒙受了巨大的安全損失。無疑，預(yù)防、檢測、修復(fù)漏洞成為了企業(yè)安全管理的重要環(huán)節(jié)。然而傳統(tǒng)方式，即利用漏洞掃描發(fā)現(xiàn)漏洞，更新補丁堵住漏洞，并不能解決接踵而來的新問題，老舊系統(tǒng)無補丁更新、補丁更新導(dǎo)致業(yè)務(wù)中斷、傳統(tǒng)更新技術(shù)更新率不足、更新周期過長導(dǎo)致維護成本增加等等。對于漏洞補丁，打還是不打，變成了一個問題。

漏洞之憂，何以解憂？

面對這樣的困境，虛擬補丁(VirtualPatch)的技術(shù)概念應(yīng)運而生。其能夠在不中斷應(yīng)用程序和業(yè)務(wù)運營的情況下，建立的一個安全策略實施層，在惡意軟件危及易受攻擊目標之前，高效地修正有可能會攻擊漏洞的應(yīng)用程序輸入流，也能夠針對漏洞攻擊行為做到有效地發(fā)現(xiàn)和攔截。

虛擬補丁的技術(shù)目前在亞信安全的端點防護解決中得到了非常成熟的應(yīng)用。從終端到服務(wù)器端，虛擬補丁結(jié)合亞信安全OfficeScan和DeepSecurity能夠提供及時的端點防護，并有效抵御高級威脅等問題。

在主機側(cè)亞信安全虛擬補丁技術(shù)使用高性能、低功耗的入侵防御和零日漏洞攻擊檢測引擎，能夠檢測網(wǎng)路協(xié)議的偏差，標記為攻擊行為的可疑內(nèi)容，以及違反安全策略的流量，從而在端點更新漏洞修復(fù)補丁之前，阻斷針對些漏洞的網(wǎng)絡(luò)攻擊。漏洞防護還可以和亞信安全的其他端點防護產(chǎn)品協(xié)同工作，從而為企業(yè)內(nèi)部、外部、漫游的各種端點提供更全面的防護。

•解運維之憂

大多數(shù)的運維人員，包括網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員以及終端管理員對打補丁都非常抵觸，一是時間問題，二是人手問題，同時補丁更新也意味著操作會造成業(yè)務(wù)風(fēng)險。虛擬補丁可以讓管理員從繁重的補丁管理中解脫出來，從而降低運維成本;

•解時效之憂

在系統(tǒng)漏洞治理的整個生命周期中，時間是另外一個核心問題。漏洞發(fā)布后廠商制作補丁需要時間，補丁發(fā)布后保證軟件兼容性和穩(wěn)定性測試需要時間，到了最終用戶部署補丁更需要時間。虛擬補丁能夠讓用戶節(jié)約更多的時間，同時保證不出現(xiàn)兼容性和穩(wěn)定性問題的情況下快速反應(yīng)部署;

•解重啟之憂

重啟是業(yè)務(wù)運維的大忌，不僅帶來一連串連鎖反應(yīng)，同時也給業(yè)務(wù)運維帶來風(fēng)險，而在以安全為業(yè)務(wù)服務(wù)、一切為業(yè)務(wù)保障的大前提下，管理員更愿意以不重啟為先決條件;

•解老舊系統(tǒng)之憂

目前的環(huán)境下，Windows7系統(tǒng)已經(jīng)停止更新服務(wù)，事實上目前還有大量的WindowsXP系統(tǒng)在超期服役，這不僅因為硬件配置低，也源于大量老舊版本業(yè)務(wù)平臺制約了操作系統(tǒng)的更新迭代，虛擬補丁能為廠商已經(jīng)不再提供更新的桌面系統(tǒng)上提供保護，為停止支持的操作系統(tǒng)和應(yīng)用程序提供補丁防護，從而延長老舊系統(tǒng)的使用壽命，以解老舊之憂。

終端防護之戰(zhàn)，虛擬補丁最為解憂

越來越多的企業(yè)用戶傾向于建立漏洞補丁的快速補救以及有效防護能力，而虛擬補丁的技術(shù)以其特有的優(yōu)勢更受到用戶的青睞。這種需求也同樣反映在市場層面，亞信安全虛擬補丁2019年復(fù)合增長率高達500%，在CII重點行業(yè)中，包括醫(yī)療、制造業(yè)、金融以及政府行業(yè)在終端運維中采用了虛擬補丁技術(shù)。在近8年的實戰(zhàn)中，亞信安全虛擬補丁已經(jīng)為全國上百萬端點提供了漏洞防護方案。

如果說網(wǎng)絡(luò)之戰(zhàn)在于端點，那么虛擬補丁則是端點安全防護中極為輕量級但高效有效的方式，結(jié)合亞信安全其他端點防護產(chǎn)品協(xié)同聯(lián)動，將為客戶提供內(nèi)部、外部、漫游的各種端點的安全防護。

2019主要漏洞預(yù)警例證：

漏洞編號

VP對應(yīng)DPI規(guī)則

備注

CVE-2020-0601

1010130-MicrosoftWindowsCryptoAPISpoofingVulnerability(CVE-2020-0601)

攻擊者可以通過構(gòu)造惡意的簽名證書，并以此簽名惡意文件來進行攻擊，此外由于ECC證書還廣泛的應(yīng)用于通信加密中，攻擊者成功利用該漏洞可以實現(xiàn)對應(yīng)的中間人攻擊。

CVE-2019-0708

1009448-MicrosoftWindowsRemoteDesktopProtocol(RDP)BruteForceAttempt

攻擊者可以利用該漏洞對啟用了遠程桌面服務(wù)的主機進行攻擊，執(zhí)行任意操作，危害巨大

CVE-2019-0859和CVE-2019-0803

1009647-MicrosoftWindowsGDIElevationOfPrivilegeVulnerability(CVE-2019-0803)

1009649-MicrosoftWindowsMultipleSecurityVulnerabilities(CVE-2019-0859)

利用此漏洞的攻擊者可以在內(nèi)核模式下運行任意代碼。攻擊者可以安裝程序、查看、更改或者刪除數(shù)據(jù)，或者創(chuàng)建具備完整用戶權(quán)限的新賬戶。

CVE-2019-2725

1009707-OracleWeblogicServerRemoteCodeExecutionVulnerability(CVE-2019-2725)

利用了OracleWebLogicServer的反序列化漏洞(CVE-2019-2725)進行傳播，該漏洞曾經(jīng)用于傳播Sodinokibi勒索病毒。除了漏洞利用外，該病毒還使用了新型傳播手段，將惡意代碼隱藏在證書里，達到躲避殺毒軟件檢測的目的。

CVE-2019-15107

1010043-WebminUnauthenticatedRemoteCodeExecutionVulnerability(CVE-2019-15107)

新型僵尸網(wǎng)絡(luò)Roboto利用Webmin遠程代碼執(zhí)行漏洞(CVE-2019-15107)在Linux服務(wù)器上傳播

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。