系統(tǒng)漏洞風險巧消除

申請免費試用、咨詢電話：400-8352-114

漏洞管理 
 
在過去的兩年內(nèi)，McAfee AVERT評出標記為中、高級的威脅一共有66個，其中90%的病毒和蠕蟲能夠使計算機出現(xiàn)被關(guān)機或應用程序停止工作的現(xiàn)象。而剩下10%往往是讓大家最頭疼的，這10%就是依賴系統(tǒng)漏洞或網(wǎng)絡中間的相關(guān)漏洞而出現(xiàn)的所謂蠕蟲攻擊，對于這部分的攻擊來說，是采用傳統(tǒng)黑客攻擊的手法入侵計算機和相應的網(wǎng)絡，并且獲得相應的控制權(quán)限，基本上在這個環(huán)境中間面臨的最大威脅來源于這10%，根據(jù)AVERT小組統(tǒng)計40%損失由這10%蠕蟲帶來的，這些都是讓大家很頭疼的問題。

現(xiàn)在蠕蟲攻擊爆發(fā)的時間越來越短，從最初長達288天的病毒，到現(xiàn)在從發(fā)現(xiàn)到全球造成損失的時間已經(jīng)低于兩天，對于這樣的時間差來講，很多管理員都很難有效控制這些威脅，能夠進一步抵擋它，可以保護自己的資產(chǎn)。正因為有這樣的問題，才會不斷有各種各樣的安全技術(shù)延伸出來，幾乎主流的安全技術(shù)都跟漏洞和弱點有關(guān)系，那么，怎樣才能消除漏洞所帶來的風險呢？

提高防范意識

管理員通常比較注意微軟發(fā)布的Windows漏洞，并會及時地為系統(tǒng)安裝補丁程序，但系統(tǒng)上運行第三方的服務程序卻常被忽略。比如前一段時間SERV-U服務遠程溢出漏洞，就讓很多服務器成為黑客的肉雞。系統(tǒng)中運行的遠程訪問或數(shù)據(jù)庫服務等，都在不同程度上存在漏洞，而且這些漏洞有時候是致命的，因此，管理員應該注意這些廠商所發(fā)布的漏洞，并及時地安裝補丁或升級服務程序。此外，還有類漏洞存在于處理文件的應用程序中，如微軟的WORD文檔、圖形文件、PDF文檔以及Media Player的視頻文件等。當管理員打開這些帶有惡意溢出代碼的文件時，系統(tǒng)就為黑客敞開了大門，引來黑客的攻擊。對付這類漏洞，首先需要管理員提高防范意識，同時也要求普通用戶不要輕易打開來歷不明的郵件，并及時性安裝相應的補丁文件。還有一個簡單有效的辦法，那就是管理員要嚴格控制服務器上安裝的程序，保證服務器的簡潔性，關(guān)閉不需要的系統(tǒng)服務。

補丁管理可以說是解決漏洞風險過程中一個不可或缺的手段。對一漏洞，系統(tǒng)廠商一定會說需要打補丁，這是全部嗎？往往在大家實際使用中間覺得這不夠完全，特別對運營商網(wǎng)絡來講，面對很多計算機設備往往不是自己可以控制，需要更多手段在其他方面做出防護，因此網(wǎng)絡入侵檢測和網(wǎng)絡入侵防護這些相關(guān)的技術(shù)應用在網(wǎng)絡邊界和網(wǎng)絡之中，自然有很多用戶想到一些方法，通過漏洞掃描漏洞評估類軟件發(fā)現(xiàn)安全問題，從而主動地解決這些問題，應該說各種方法都會達到一定的效果，但是彼此間都會有相應的差異，最通常被大家考慮的方案是關(guān)于補丁的管理。補丁管理一直以來是大家認為最方便可以實現(xiàn)對漏洞清除或漏洞彌補有效的手段，這些手段中間最有意義莫過于可以快速在網(wǎng)絡中間實施應用起來，并且防御效果往往是最顯著的，可能相應產(chǎn)生的誤殺可能性比較小，所以一直以來大家都認為補丁管理比較有優(yōu)勢的措施。

但是，補丁對于企業(yè)網(wǎng)絡或系統(tǒng)來講，也是一個比較敏感的事情。面對一個新的補丁，網(wǎng)絡管理員要考慮的問題越來越多，比如對新發(fā)補丁是否需要做完整的測試，是否要考慮實驗環(huán)境和實際環(huán)境有多大差別，這些都是讓大家比較困惑的地方。另外一個問題，就是廠商發(fā)布的這些補丁的時機和時間。另外一方面來說管理員不得不制定一些緊急響應的計劃，幫助我們在出現(xiàn)突發(fā)事件的時候，如何更快速解決，所以補丁管理也有響應的問題和需要大家考慮的問題。

注意異常連接和系統(tǒng)日志

有人錯誤地認為系統(tǒng)安裝了防火墻和防病毒程序，就能有效地防御針對漏洞的攻擊，但從TCP/IP分層結(jié)構(gòu)來考慮的話，防火墻是工作在傳輸層的，而漏洞溢出攻擊的代碼往往是針對應用層的程序，因此對這類攻擊，防火墻和防病毒軟件是無法檢測的。防火墻的特性是它能夠?qū)λ羞M出的連接加以控制，僅依賴防火墻的默認置規(guī)則是不夠安全的。管理員需要制定嚴格的訪問規(guī)則，僅打開需要對外提供服務的端口。這樣即使黑客能夠通漏洞打開系統(tǒng)的某個端口，但是由于該端口受防火墻的阻擋，黑客也無法建立連接。當發(fā)生溢出攻擊時，服務程序會出現(xiàn)意外錯誤，管理員還可以通過檢查日志記錄，了解錯誤發(fā)生的來源、頻率、時間、類型等詳細內(nèi)容，依此判斷是否遭受攻擊。

IPS實現(xiàn)主動防御

在實施主動防御之前，不妨先看看黑客通過漏洞實施的攻擊過程。這里以windows系統(tǒng)漏洞為例，通常因為windows系統(tǒng)存在一些安全問題，蠕蟲或黑客們找到這些問題，并且針對它所做出一些攻擊，例如發(fā)現(xiàn)相應的腳本，進行漏洞的利用，可能對相應計算機系統(tǒng)，特定的文件、特定對象進行感染，下一步可能寫入系統(tǒng)的內(nèi)存，對于一個蠕蟲可以方便的復制自己和感染相應的計算機對象，最后的結(jié)果是導致計算機的崩潰，引起拒絕服務的現(xiàn)象。這樣就會導致信息資產(chǎn)最終無法工作，更可怕的是，很多寫入內(nèi)存的腳本會不斷復制傳播到其他計算機，最終可能感染所有網(wǎng)絡上的終端計算機。面對這樣的問題，如果我們啟用入侵防護（IPS）系統(tǒng)，無論是網(wǎng)絡入侵防御，還是主機入侵防御都可以很實時找到相應的對象，并且對感染過程進行阻斷和防御。

作為IPS核心是網(wǎng)絡和主機兩方面的結(jié)合，McAfee在整個IPS技術(shù)除了網(wǎng)絡以外，在主機方面也會幫助用戶得到全面的保護，因為IntruShield針對的是網(wǎng)絡環(huán)境，這可以針對一些重要服務器所在的網(wǎng)段或網(wǎng)絡實現(xiàn)對它們的防御。結(jié)合剛才說的網(wǎng)絡防御的手段，加上Entercept主機防御可以做到全面的防御。當然我們阻擋攻擊也應該考慮作用的范圍，一個特別復雜的網(wǎng)絡，往往IPS部署的成本也很高，我們很難憑空確定在什么位置部署可以節(jié)省成本。另外阻擋效果怎么樣？取決管理員策略配置，只有做好相關(guān)配置才能做好，這都是大家面臨的問題。對于McAfee來講，我們更多的建議是考慮前面所說的這些問題，應當采用一些特殊的技術(shù)手段判斷出網(wǎng)絡中間什么是最主要的，什么區(qū)域是客戶值得投資和防御的位置，這正是我們稱為漏洞管理，或者風險管理的措施。利用風險管理和漏洞管理的行為，幫助用戶找到正面臨非常嚴重威脅的核心資產(chǎn)，進行相關(guān)的分析與控制，找到在整個漏洞管理和風險管理過程中最危機的部分，從而決定你的投資！決定你防御對象和過濾對象所在。

虛擬防護防止LAN攻擊

我們也提出針對SSL的檢測技術(shù)，這些相關(guān)技術(shù)的融合導致不管對已知攻擊，還是臨時攻擊都具有很好的防御。我們在這里舉一個例子，關(guān)于通過HTTP隧道的FTP通訊，傳統(tǒng)技術(shù)很難發(fā)現(xiàn)在里面的攻擊是什么？這些攻擊往往被認為是一個HTTP的攻擊判斷和識別，在FTP過程中才存在一個真正需要阻斷的攻擊時，McAfee IntruShield可以在網(wǎng)絡中實現(xiàn)從最初的準確認知攻擊到最后的準確保護，防止攻擊的發(fā)生。在企業(yè)網(wǎng)絡中的部署變得相當簡單，這是運營商最愿意接受的方式。在網(wǎng)絡傳輸過程當中，如果出現(xiàn)任何攻擊和攻擊的企圖都可以進行阻斷，對于運營商的網(wǎng)絡環(huán)境，例如IDC的網(wǎng)絡環(huán)境，利用虛擬IDS或虛擬IPS，我們可以采取虛擬的方式把一臺IPS系統(tǒng)當成多臺來看待；如果在一個IDC中間有很多門戶網(wǎng)站，運營商愿意針對網(wǎng)易、新浪采取不一樣的防御措施，可以進行不同的配置，從而防治不同的LAN的攻擊，防止處在同一個LAN的彼此蔓延，這可以節(jié)省很多IDS的部署，這可能幫助我們做到很多LAN的防御和控制。

面對網(wǎng)絡的復雜我們很難定義一個邊界在哪兒，我們利用防火墻隔離的時候很難找到一個好的地方，這時候可以找一個虛擬邊界技術(shù)劃分，對特定的網(wǎng)絡段，或制定的范圍做出相應的ACL的控制，可以對不同LAN做出邊界控制的要求，從而劃分成一個最小的單元，也可以考慮對于很多計費的主機或?qū)ν馓峁┓盏闹鳈C都可以劃在不同的LAN里面考慮。

傳統(tǒng)意義上風險等式都看到過，對于資產(chǎn)漏洞和威脅都有各自對象存在，如果拋開整個風險管理，針對每一個個體也有防御措施，這些防御措施單個利用也會幫助我們達到防御效果，但是沒有一個可以融合在一起看待，正是這樣的原因，如果只是單一的產(chǎn)品部署，或者跟一個能夠?qū)嵤┞┒垂芾眢w系的企業(yè)來比，效果往往會有很大的差別。這樣的差別既然存在，我們自然需要考慮找到一個切實可行的漏洞管理措施，或者漏洞管理方案幫助我們做出相應的控制。在漏洞管理的過程中通常面臨的問題，或者整個過程中間可能分了一些步驟，最容易出現(xiàn)的問題，往往是出現(xiàn)在如何指定相應的人員進行漏洞管理，如何指定相應的人員做漏洞的修補，以及如何校驗這些問題在網(wǎng)絡中存在多長時間。

針對整個漏洞管理生命周期，只有企業(yè)制定管理要求才能做出更好的控制，McAfee的管理漏洞的意義在于幫助用戶找出網(wǎng)絡管理漏洞資產(chǎn)，并且計算出你的風險值，從而幫助運營商找到網(wǎng)絡中間值得投資的方位，利用相應的管理人員，技術(shù)人員對發(fā)現(xiàn)的問題進行彌補，應用現(xiàn)有的技術(shù)或者采購新的技術(shù)方案對它進行彌補和控制，從而達到全面的漏洞管理和風險管理。單一的漏洞管理是非常低效的技術(shù)也是非常被動的技術(shù)，只有廠商發(fā)布了漏洞相應的補丁才能進行相關(guān)的保護。因此，高效的防范漏洞的方法是利用漏洞管理確定風險最高最迫切需要關(guān)注的網(wǎng)絡資產(chǎn)，利用先進的入侵防御技術(shù)，結(jié)合傳統(tǒng)的補丁管理技術(shù)，從而實現(xiàn)主動、高效的保護。(zdnet)