如何掌握打補(bǔ)丁“時(shí)機(jī)”

人們對(duì)“安全補(bǔ)丁”并不陌生，也大都有過(guò)給自己的電腦操作系統(tǒng)和各種軟件打補(bǔ)丁的經(jīng)歷，但對(duì)于采用虛擬化與云計(jì)算的企業(yè)用戶而言，補(bǔ)丁管理卻不是一件易事。前不久，Gartner發(fā)布一份研究報(bào)告，內(nèi)容重點(diǎn)是如何保障 Amazon Web Services 云端安全的最佳實(shí)務(wù)原則，其中重點(diǎn)強(qiáng)調(diào)了補(bǔ)丁管理中的“時(shí)機(jī)”概念。

讓我們把時(shí)間回溯到2014年4月1日，也就是 Heartbleed （心臟出血）被揭露的那天。此漏洞可讓黑客利用 OpenSSL 鏈接庫(kù)當(dāng)中的 SSL 協(xié)議 （handshake），直接從服務(wù)器內(nèi)存中竊取敏感的信息。

在隨后的幾天里，眾多企業(yè)用戶開始了各種手忙腳亂的“打補(bǔ)丁”、OpenSSL庫(kù)組件重新編譯、弱點(diǎn)掃描，這不可避免的導(dǎo)致了Web服務(wù)、內(nèi)部私有云的核心業(yè)務(wù)等大量業(yè)務(wù)陷入停頓。對(duì)于這種看似正常的漏洞修補(bǔ)方式，Gartner 專家與亞信安全工程師卻不謀而合的給出了一個(gè)違背大多數(shù)企業(yè)做法的意見，那就是：別修補(bǔ)。沒錯(cuò)！不要修補(bǔ)運(yùn)營(yíng)中的系統(tǒng)！

其實(shí)，我們的觀點(diǎn)并不是視而不見，讓服務(wù)器一直暴露在危險(xiǎn)當(dāng)中，一旦遇到可能中斷業(yè)務(wù)的修補(bǔ)程序，用戶就可以采用動(dòng)態(tài)的方式進(jìn)行部署、盡量降低系統(tǒng)修補(bǔ)造成運(yùn)營(yíng)中斷的機(jī)率。我們建議用戶建立‘靜態(tài)’和‘動(dòng)態(tài)’兩種方法打造新的服務(wù)器，以及前期規(guī)范的測(cè)試、安裝檢測(cè)流程和自動(dòng)化工具。其中的重點(diǎn)在于自動(dòng)化，因?yàn)檫@樣才能確保您有一套可快速建立及測(cè)試新應(yīng)用程序環(huán)境的操作流程。

那么，漏洞該怎么辦?時(shí)間正一分一秒流逝……

此時(shí)就是Virtual Patching（虛擬補(bǔ)?。┙鉀Q方案派上用場(chǎng)的時(shí)候，此項(xiàng)技術(shù)通過(guò)控制受影響應(yīng)用程序的輸入或輸出，直接切斷數(shù)據(jù)外泄和系統(tǒng)入侵的路徑。它的好處有兩點(diǎn)：一是，可以在不影響應(yīng)用程序、相關(guān)庫(kù)以及為其提供運(yùn)行環(huán)境的操作系統(tǒng)的情況下，為應(yīng)用程序安裝補(bǔ)丁；二是，如果一個(gè)應(yīng)用程序的早期版本已不再獲得供應(yīng)商支持（如Windows XP），虛擬補(bǔ)丁幾乎是支持該早期版本的唯一方法。

在云端環(huán)境當(dāng)中，不論遇到多么緊急的情況，都可以先讓虛擬補(bǔ)丁程序來(lái)保護(hù)生產(chǎn)環(huán)境，然后在另外一個(gè)測(cè)試環(huán)境當(dāng)中同步測(cè)試廠商提供的修補(bǔ)程序。實(shí)際上，使用亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)（Deep Security）、防毒墻（OfficeScan）等產(chǎn)品的用戶，已經(jīng)利用虛擬補(bǔ)丁在多次高危漏洞（如Heartbleed）出現(xiàn)時(shí)為自己贏得了大量時(shí)間，有效防止了服務(wù)器數(shù)據(jù)泄露事件的發(fā)生。

在云計(jì)算時(shí)代，安全運(yùn)營(yíng)模式將徹底改觀，因?yàn)樵贫朔?wù)器是可隨時(shí)拋棄的，數(shù)據(jù)才是重點(diǎn)。所以，傳統(tǒng)的勞動(dòng)密集型IT補(bǔ)丁流程必須得到改善，因?yàn)槭止ば扪a(bǔ)的方式不能快速地修補(bǔ)漏洞，甚至?xí)?dǎo)致核心業(yè)務(wù)宕機(jī)，這一缺陷在黑客利用零日（0day）漏洞大規(guī)模攻擊時(shí)，會(huì)變得尤為致命。