系統(tǒng)漏洞風(fēng)險巧消除

申請免費試用、咨詢電話：400-8352-114

漏洞管理 
 
在過去的兩年內(nèi)，McAfee AVERT評出標(biāo)記為中、高級的威脅一共有66個，其中90%的病毒和蠕蟲能夠使計算機出現(xiàn)被關(guān)機或應(yīng)用程序停止工作的現(xiàn)象。而剩下10%往往是讓大家最頭疼的，這10%就是依賴系統(tǒng)漏洞或網(wǎng)絡(luò)中間的相關(guān)漏洞而出現(xiàn)的所謂蠕蟲攻擊，對于這部分的攻擊來說，是采用傳統(tǒng)黑客攻擊的手法入侵計算機和相應(yīng)的網(wǎng)絡(luò)，并且獲得相應(yīng)的控制權(quán)限，基本上在這個環(huán)境中間面臨的最大威脅來源于這10%，根據(jù)AVERT小組統(tǒng)計40%損失由這10%蠕蟲帶來的，這些都是讓大家很頭疼的問題。

現(xiàn)在蠕蟲攻擊爆發(fā)的時間越來越短，從最初長達(dá)288天的病毒，到現(xiàn)在從發(fā)現(xiàn)到全球造成損失的時間已經(jīng)低于兩天，對于這樣的時間差來講，很多管理員都很難有效控制這些威脅，能夠進(jìn)一步抵擋它，可以保護自己的資產(chǎn)。正因為有這樣的問題，才會不斷有各種各樣的安全技術(shù)延伸出來，幾乎主流的安全技術(shù)都跟漏洞和弱點有關(guān)系，那么，怎樣才能消除漏洞所帶來的風(fēng)險呢？

提高防范意識

管理員通常比較注意微軟發(fā)布的Windows漏洞，并會及時地為系統(tǒng)安裝補丁程序，但系統(tǒng)上運行第三方的服務(wù)程序卻常被忽略。比如前一段時間SERV-U服務(wù)遠(yuǎn)程溢出漏洞，就讓很多服務(wù)器成為黑客的肉雞。系統(tǒng)中運行的遠(yuǎn)程訪問或數(shù)據(jù)庫服務(wù)等，都在不同程度上存在漏洞，而且這些漏洞有時候是致命的，因此，管理員應(yīng)該注意這些廠商所發(fā)布的漏洞，并及時地安裝補丁或升級服務(wù)程序。此外，還有類漏洞存在于處理文件的應(yīng)用程序中，如微軟的WORD文檔、圖形文件、PDF文檔以及Media Player的視頻文件等。當(dāng)管理員打開這些帶有惡意溢出代碼的文件時，系統(tǒng)就為黑客敞開了大門，引來黑客的攻擊。對付這類漏洞，首先需要管理員提高防范意識，同時也要求普通用戶不要輕易打開來歷不明的郵件，并及時性安裝相應(yīng)的補丁文件。還有一個簡單有效的辦法，那就是管理員要嚴(yán)格控制服務(wù)器上安裝的程序，保證服務(wù)器的簡潔性，關(guān)閉不需要的系統(tǒng)服務(wù)。

補丁管理可以說是解決漏洞風(fēng)險過程中一個不可或缺的手段。對一漏洞，系統(tǒng)廠商一定會說需要打補丁，這是全部嗎？往往在大家實際使用中間覺得這不夠完全，特別對運營商網(wǎng)絡(luò)來講，面對很多計算機設(shè)備往往不是自己可以控制，需要更多手段在其他方面做出防護，因此網(wǎng)絡(luò)入侵檢測和網(wǎng)絡(luò)入侵防護這些相關(guān)的技術(shù)應(yīng)用在網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)之中，自然有很多用戶想到一些方法，通過漏洞掃描漏洞評估類軟件發(fā)現(xiàn)安全問題，從而主動地解決這些問題，應(yīng)該說各種方法都會達(dá)到一定的效果，但是彼此間都會有相應(yīng)的差異，最通常被大家考慮的方案是關(guān)于補丁的管理。補丁管理一直以來是大家認(rèn)為最方便可以實現(xiàn)對漏洞清除或漏洞彌補有效的手段，這些手段中間最有意義莫過于可以快速在網(wǎng)絡(luò)中間實施應(yīng)用起來，并且防御效果往往是最顯著的，可能相應(yīng)產(chǎn)生的誤殺可能性比較小，所以一直以來大家都認(rèn)為補丁管理比較有優(yōu)勢的措施。

但是，補丁對于企業(yè)網(wǎng)絡(luò)或系統(tǒng)來講，也是一個比較敏感的事情。面對一個新的補丁，網(wǎng)絡(luò)管理員要考慮的問題越來越多，比如對新發(fā)補丁是否需要做完整的測試，是否要考慮實驗環(huán)境和實際環(huán)境有多大差別，這些都是讓大家比較困惑的地方。另外一個問題，就是廠商發(fā)布的這些補丁的時機和時間。另外一方面來說管理員不得不制定一些緊急響應(yīng)的計劃，幫助我們在出現(xiàn)突發(fā)事件的時候，如何更快速解決，所以補丁管理也有響應(yīng)的問題和需要大家考慮的問題。

注意異常連接和系統(tǒng)日志

有人錯誤地認(rèn)為系統(tǒng)安裝了防火墻和防病毒程序，就能有效地防御針對漏洞的攻擊，但從TCP/IP分層結(jié)構(gòu)來考慮的話，防火墻是工作在傳輸層的，而漏洞溢出攻擊的代碼往往是針對應(yīng)用層的程序，因此對這類攻擊，防火墻和防病毒軟件是無法檢測的。防火墻的特性是它能夠?qū)λ羞M(jìn)出的連接加以控制，僅依賴防火墻的默認(rèn)置規(guī)則是不夠安全的。管理員需要制定嚴(yán)格的訪問規(guī)則，僅打開需要對外提供服務(wù)的端口。這樣即使黑客能夠通漏洞打開系統(tǒng)的某個端口，但是由于該端口受防火墻的阻擋，黑客也無法建立連接。當(dāng)發(fā)生溢出攻擊時，服務(wù)程序會出現(xiàn)意外錯誤，管理員還可以通過檢查日志記錄，了解錯誤發(fā)生的來源、頻率、時間、類型等詳細(xì)內(nèi)容，依此判斷是否遭受攻擊。

IPS實現(xiàn)主動防御

在實施主動防御之前，不妨先看看黑客通過漏洞實施的攻擊過程。這里以windows系統(tǒng)漏洞為例，通常因為windows系統(tǒng)存在一些安全問題，蠕蟲或黑客們找到這些問題，并且針對它所做出一些攻擊，例如發(fā)現(xiàn)相應(yīng)的腳本，進(jìn)行漏洞的利用，可能對相應(yīng)計算機系統(tǒng)，特定的文件、特定對象進(jìn)行感染，下一步可能寫入系統(tǒng)的內(nèi)存，對于一個蠕蟲可以方便的復(fù)制自己和感染相應(yīng)的計算機對象，最后的結(jié)果是導(dǎo)致計算機的崩潰，引起拒絕服務(wù)的現(xiàn)象。這樣就會導(dǎo)致信息資產(chǎn)最終無法工作，更可怕的是，很多寫入內(nèi)存的腳本會不斷復(fù)制傳播到其他計算機，最終可能感染所有網(wǎng)絡(luò)上的終端計算機。面對這樣的問題，如果我們啟用入侵防護（IPS）系統(tǒng)，無論是網(wǎng)絡(luò)入侵防御，還是主機入侵防御都可以很實時找到相應(yīng)的對象，并且對感染過程進(jìn)行阻斷和防御。

作為IPS核心是網(wǎng)絡(luò)和主機兩方面的結(jié)合，McAfee在整個IPS技術(shù)除了網(wǎng)絡(luò)以外，在主機方面也會幫助用戶得到全面的保護，因為IntruShield針對的是網(wǎng)絡(luò)環(huán)境，這可以針對一些重要服務(wù)器所在的網(wǎng)段或網(wǎng)絡(luò)實現(xiàn)對它們的防御。結(jié)合剛才說的網(wǎng)絡(luò)防御的手段，加上Entercept主機防御可以做到全面的防御。當(dāng)然我們阻擋攻擊也應(yīng)該考慮作用的范圍，一個特別復(fù)雜的網(wǎng)絡(luò)，往往IPS部署的成本也很高，我們很難憑空確定在什么位置部署可以節(jié)省成本。另外阻擋效果怎么樣？取決管理員策略配置，只有做好相關(guān)配置才能做好，這都是大家面臨的問題。對于McAfee來講，我們更多的建議是考慮前面所說的這些問題，應(yīng)當(dāng)采用一些特殊的技術(shù)手段判斷出網(wǎng)絡(luò)中間什么是最主要的，什么區(qū)域是客戶值得投資和防御的位置，這正是我們稱為漏洞管理，或者風(fēng)險管理的措施。利用風(fēng)險管理和漏洞管理的行為，幫助用戶找到正面臨非常嚴(yán)重威脅的核心資產(chǎn)，進(jìn)行相關(guān)的分析與控制，找到在整個漏洞管理和風(fēng)險管理過程中最危機的部分，從而決定你的投資！決定你防御對象和過濾對象所在。

虛擬防護防止LAN攻擊

我們也提出針對SSL的檢測技術(shù)，這些相關(guān)技術(shù)的融合導(dǎo)致不管對已知攻擊，還是臨時攻擊都具有很好的防御。我們在這里舉一個例子，關(guān)于通過HTTP隧道的FTP通訊，傳統(tǒng)技術(shù)很難發(fā)現(xiàn)在里面的攻擊是什么？這些攻擊往往被認(rèn)為是一個HTTP的攻擊判斷和識別，在FTP過程中才存在一個真正需要阻斷的攻擊時，McAfee IntruShield可以在網(wǎng)絡(luò)中實現(xiàn)從最初的準(zhǔn)確認(rèn)知攻擊到最后的準(zhǔn)確保護，防止攻擊的發(fā)生。在企業(yè)網(wǎng)絡(luò)中的部署變得相當(dāng)簡單，這是運營商最愿意接受的方式。在網(wǎng)絡(luò)傳輸過程當(dāng)中，如果出現(xiàn)任何攻擊和攻擊的企圖都可以進(jìn)行阻斷，對于運營商的網(wǎng)絡(luò)環(huán)境，例如IDC的網(wǎng)絡(luò)環(huán)境，利用虛擬IDS或虛擬IPS，我們可以采取虛擬的方式把一臺IPS系統(tǒng)當(dāng)成多臺來看待；如果在一個IDC中間有很多門戶網(wǎng)站，運營商愿意針對網(wǎng)易、新浪采取不一樣的防御措施，可以進(jìn)行不同的配置，從而防治不同的LAN的攻擊，防止處在同一個LAN的彼此蔓延，這可以節(jié)省很多IDS的部署，這可能幫助我們做到很多LAN的防御和控制。

面對網(wǎng)絡(luò)的復(fù)雜我們很難定義一個邊界在哪兒，我們利用防火墻隔離的時候很難找到一個好的地方，這時候可以找一個虛擬邊界技術(shù)劃分，對特定的網(wǎng)絡(luò)段，或制定的范圍做出相應(yīng)的ACL的控制，可以對不同LAN做出邊界控制的要求，從而劃分成一個最小的單元，也可以考慮對于很多計費的主機或?qū)ν馓峁┓?wù)的主機都可以劃在不同的LAN里面考慮。

傳統(tǒng)意義上風(fēng)險等式都看到過，對于資產(chǎn)漏洞和威脅都有各自對象存在，如果拋開整個風(fēng)險管理，針對每一個個體也有防御措施，這些防御措施單個利用也會幫助我們達(dá)到防御效果，但是沒有一個可以融合在一起看待，正是這樣的原因，如果只是單一的產(chǎn)品部署，或者跟一個能夠?qū)嵤┞┒垂芾眢w系的企業(yè)來比，效果往往會有很大的差別。這樣的差別既然存在，我們自然需要考慮找到一個切實可行的漏洞管理措施，或者漏洞管理方案幫助我們做出相應(yīng)的控制。在漏洞管理的過程中通常面臨的問題，或者整個過程中間可能分了一些步驟，最容易出現(xiàn)的問題，往往是出現(xiàn)在如何指定相應(yīng)的人員進(jìn)行漏洞管理，如何指定相應(yīng)的人員做漏洞的修補，以及如何校驗這些問題在網(wǎng)絡(luò)中存在多長時間。

針對整個漏洞管理生命周期，只有企業(yè)制定管理要求才能做出更好的控制，McAfee的管理漏洞的意義在于幫助用戶找出網(wǎng)絡(luò)管理漏洞資產(chǎn)，并且計算出你的風(fēng)險值，從而幫助運營商找到網(wǎng)絡(luò)中間值得投資的方位，利用相應(yīng)的管理人員，技術(shù)人員對發(fā)現(xiàn)的問題進(jìn)行彌補，應(yīng)用現(xiàn)有的技術(shù)或者采購新的技術(shù)方案對它進(jìn)行彌補和控制，從而達(dá)到全面的漏洞管理和風(fēng)險管理。單一的漏洞管理是非常低效的技術(shù)也是非常被動的技術(shù)，只有廠商發(fā)布了漏洞相應(yīng)的補丁才能進(jìn)行相關(guān)的保護。因此，高效的防范漏洞的方法是利用漏洞管理確定風(fēng)險最高最迫切需要關(guān)注的網(wǎng)絡(luò)資產(chǎn)，利用先進(jìn)的入侵防御技術(shù)，結(jié)合傳統(tǒng)的補丁管理技術(shù)，從而實現(xiàn)主動、高效的保護。(zdnet)