【51CTO.com 獨家特稿】大部分普通電腦用戶最關心哪家公司的漏洞補丁？答案一定是微軟了。由于微軟的補丁量很大，為此他們指定了一個周二補丁日，也就是所謂的“Patch Tuesday”來統一發放補丁。之所以選擇星期二，是為了避開繁忙的星期一。當然，非常緊急的補丁還是可以隨時發布的。那這些補丁的作用是什么呢?當然是修補哪些0day了。 

2009年6月9日，微軟開始發布自2003年10月以來數量最大的一次安全更新。也是涵蓋系統范圍最廣的一次。包括Windows 2000/2003/2008、Windows XP、Windows Vista在內，包含了10個新的安全更新，修補了31個漏洞。連微軟非常倚重的IE8，也沒有逃過此劫。雖然這次的大規模補丁修補了IE、Office等很多漏洞，但仍然有一些諸如Direct Show這類的漏洞沒有得到修補。那些掌握著0day的駭客們，已經開始在網絡上展開了熱火朝天的掛馬和入侵活動。必須搶在補丁發布之前攻擊更多的計算機，他們的目的很明確。 

零日威脅（0day）的危害，已經成為各大安全公司頭疼的主要因素。調查顯示，在來自美國、歐洲及亞太地區的250名CIO、CSO、IT經理及網絡管理員中，有54%的人將零日威脅視為最大的安全隱患；其次是黑客威脅，其關注度為35%；惡意軟件和間諜軟件則緊隨其后，以34%的關注度排在第三。 

雖然很多廠商可以加入類似MAPP這樣的微軟漏洞分享組織，但在地下流動的那些尚未公布的漏洞，連微軟自己也很受困擾。它們有的成為“愚人飛客”（Conficker）這樣的蠕蟲傳播媒介，有的則成為掛馬者獲取肉雞的邪惡武器。 

 （51CTO編者注：微軟MAPP計劃全稱為Microsoft Active Protections Program，它致力于為互聯網反病毒環境提供一個漏洞信息的共享平臺，可以讓合作伙伴及時獲知有關漏洞的相關信息。） 

面對那些未公布的0day攻擊，安全廠商們一般怎么做？ 

據筆者了解，很多廠商都會部署“蜜罐”系統來做第一時間的0day樣本收集。 

（51CTO編者注：“蜜罐”（或稱Honeypot）就是一臺不采取任何安全防范措施而且連接著網絡的計算機，這就像狙擊手為了試探敵方狙擊手的實力而用槍支撐起的鋼盔，蜜罐通過被入侵而記錄下入侵者的一舉一動，目的是為了使管理員能更好地分析入侵者的攻擊方法和所用漏洞，今后才好加強防御。同樣，病毒“蜜罐”除了具有安全措施不完備的特點外，還需要有完備的記錄程序來記錄病毒或黑客的種種“惡行”。）

包括McAfee、卡巴斯基這樣的廠商，他們會在世界各地放置很多這樣的機器，用來截獲樣本，制作反病毒疫苗等等。當然，“蜜罐”機器的數量，取決于廠商的實力。

另外一種獲取0day的方法，和安全廠商的產品覆蓋面有一點關系。

一個安全產品要想識別出更多的網絡威脅，它的覆蓋面一定得廣。簡單的說，國內外各種各樣的駭客和病毒，多少得與之較量過。久經沙場、見識淵博的安全產品，面對威脅的處理方式會更成熟有效一些。特別是加上云計算的協助，會使威脅再度降低。舉個例子來說吧，在美國發現一個0day，馬上就能截獲并傳送到云端服務器中，然后云端服務器經過計算和處理之后，將該0day攻擊特征傳送到各大洲的用戶終端，這樣中國及其他國家的用戶就不會再受此0day的威脅了。

據筆者了解，McAfee應該算目前國際上用戶量相當大的一個安全廠商了。DELL、聯想、HP這三家巨頭在售出的PC中大量預裝了McAfee。這給他們獲取大量0day樣本，快速制作疫苗提供了便利。

但是，殺毒軟件再怎么說也是終端安全的一種防御工具。在面對與日俱增的零日威脅和越來越狡猾的駭客手段，被動防護的防火墻、入侵檢測系統，已經無法阻止攻擊者的腳步，網關級的安全又要怎么做才更有效呢？

這個時候，IPS開始走進人們的視野。這種傾向于提供主動防護、主動攔截和告警的產品，彌補了深層防御和即時更新的不足，有效遏制了零日威脅和駭客的進攻。在很多要求嚴格、架構復雜的網絡中，開始越來越多的出現IPS的身影。

對用戶來說，IPS的安全性和性能保持很重要

目前市面上很多IPS產品在大流量的網絡環境下表現一般，很多還沒開始支持10G網絡。還有一些產品，在打開部分保護的情況下，網絡性能下降很多，保護全部打開，網絡性能就慘不忍睹了。這確實是很多IPS用戶目前關心的問題。

帶著這個疑問，筆者采訪了McAfee北亞太網絡安全產品總監Jason Yuan先生。

聽完筆者的問題之后，Jason Yuan先生笑了笑說，“其實我們McAfee的IPS產品，很早就支持10G網絡了。而且保護全部打開后，網絡性能依然會保持在較好的范圍內，用戶可放心使用。”

看到筆者略帶疑惑的表情，Jason Yuan拿出了一張印有McAfee和同類IPS技術對比的圖表，仔細的向筆者做了介紹。和其他廠商的產品有所不同，McAfee的IPS在面對已知或未知的網絡攻擊之前，會在很短的時間內從服務器獲得攻擊的特征簽名，這樣，類似的攻擊過來，只要特征一致就會全部擋住。而其他一些廠商是不停的給自己的IPS打虛擬補丁，這樣既浪費了帶寬，又降低了效率。

那面對TippingPoint提出的“零日計劃（ZDI）”，McAfee是否有相似的活動或計劃呢？

面對筆者的追問，Jason Yuan先生耐心的回答道：“McAfee公司目前有300多人的漏洞挖掘團隊，遍布世界各地多個國家，他們都是這一行非常優秀的技術人員。大量未公布的0day，會被他們找出并在產品中加以控制。所以，我們不需要向其他一些廠商那樣去購買漏洞。而且，這種購買漏洞的行為，似乎會給黑客一種攻擊是可以得到獎勵的錯誤暗示，社會影響也不太好?！?/P>

聽完Jason Yuan先生的一席話，筆者對網絡威脅、0day、殺毒軟件和IPS的世界又有了進一步的認識。但由于時間的關系，筆者不能和Jason Yuan先生做更多的交流。不過在看過了安全威脅、殺毒軟件、IPS等一系列安全產品之后，筆者又有了個新的疑問，到底是終端安全產品重要呢？還是網關安全產品重要？也許，這應該是我下次遇到這位安全專家時，值得一問的問題。

（51CTO編者注：零時差項目(ZDI)是一個旨在負責任地披露漏洞信息的對安全研究人員實施獎勵的項目。以前該項計劃一直專注于歐美地區，近年來也漸漸加大了面向中國地區的關注。）

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【責任編輯：王文文 TEL：（010）68476606】