【51CTO.com 獨家特稿】大部分普通電腦用戶最關心哪家公司的漏洞補丁？答案一定是微軟了。由于微軟的補丁量很大，為此他們指定了一個周二補丁日，也就是所謂的“Patch Tuesday”來統一發放補丁。之所以選擇星期二，是為了避開繁忙的星期一。當然，非常緊急的補丁還是可以隨時發布的。那這些補丁的作用是什么呢?當然是修補哪些0day了。

2009年6月9日，微軟開始發布自2003年10月以來數量最大的一次安全更新。也是涵蓋系統范圍最廣的一次。包括Windows 2000/2003/2008、Windows XP、Windows Vista在內，包含了10個新的安全更新，修補了31個漏洞。連微軟非常倚重的IE8，也沒有逃過此劫。雖然這次的大規模補丁修補了IE、Office等很多漏洞，但仍然有一些諸如Direct Show這類的漏洞沒有得到修補。那些掌握著0day的駭客們，已經開始在網絡上展開了熱火朝天的掛馬和入侵活動。必須搶在補丁發布之前攻擊更多的計算機，他們的目的很明確。

零日威脅（0day）的危害，已經成為各大安全公司頭疼的主要因素。調查顯示，在來自美國、歐洲及亞太地區的250名CIO、CSO、IT經理及網絡管理員中，有54%的人將零日威脅視為最大的安全隱患；其次是黑客威脅，其關注度為35%；惡意軟件和間諜軟件則緊隨其后，以34%的關注度排在第三。

雖然很多廠商可以加入類似MAPP這樣的微軟漏洞分享組織，但在地下流動的那些尚未公布的漏洞，連微軟自己也很受困擾。它們有的成為“愚人飛客”（Conficker）這樣的蠕蟲傳播媒介，有的則成為掛馬者獲取肉雞的邪惡武器。

（51CTO編者注：微軟MAPP計劃全稱為Microsoft Active Protections Program，它致力于為互聯網反病毒環境提供一個漏洞信息的共享平臺，可以讓合作伙伴及時獲知有關漏洞的相關信息。）

如何解決0day攻擊的困擾

一、 殺毒軟件和防火墻

對于大多數個人用戶來說，殺毒軟件和防火強已經成為他們防范黑客攻擊的必備武器，很多PC銷售商都會在自己賣出的品牌機中預裝McAfee或諾頓之類的殺毒軟件。通過及時的升級病毒庫和用戶自己對防火墻的靈活控制，大部分威脅和一部分0day將被阻擋在外。但是誤操作和對安全軟件的不正當使用，仍然會造成計算機被攻擊。一些比較厲害的0day，會在獲得系統權限后干掉殺毒軟件和防火墻，使用戶失去保護。

二、路由策略和管理

一些朋友可能會比較奇怪，路由和0day又有什么關系呢？這個要從一些0day的攻擊特性談起。早在2003年“沖擊波”病毒(曾在一年之內感染1600萬計算機)泛濫之時，就有很多網絡管理員以路由器為陣地和病毒做了較量。由于“沖擊波”病毒的主要使用端口是135、137、139、445、4444等，所以只要管理員在路由上拒絕掉這些端口，“沖擊波”之類的病毒便無法侵入內網了。如果這些端口在工作中要用到，不能拒絕。管理員也可以根據特征碼來判定哪些非法數據不可進入，哪些可以進入。

不過這個方案的前提是，您要有經驗豐富、認真負責的網絡管理員。而且您也必須有相關的路由設備和嚴格的管理條例。缺點是時效性差，必須得到第一時間的預警。如果您的網絡首先遭受0day攻擊，那這些防御方法就無從談起了。

三、入侵防護系統（IPS）

入侵防護系統（IPS）是企業下一代安全系統的趨勢。它不僅可以進行檢測，還能在攻擊造成損失之前自動阻斷它們。目前，有些廠商已經可以在他們的產品中提前增加數字簽名和攻擊行為描述，或者發布虛擬補丁。

 這“提前”二字，又是怎么個說法呢？在通過公司內部技術人員挖掘（如：McAfee邁克菲公司300多人的技術團隊）和外部購買等各種方法獲取0day之后，再把所研究得出的防御方法集成到IPS中，這樣便可以在0day攻擊之前預先做好防護。這樣，防御也便提前了。

怎樣才算一款好的IPS？

一、 實時監測、主動防護

這一點是最基本的，如果這點做不到，也算不上IPS了。

二、預先攔截、及時修復漏洞

要想料敵先機，必須得在攻擊發動之前，把敵人的進攻方法了解清楚。在微軟或其他廠商沒發補丁，0day又打過來的時候預先在IPS中做好防護措施，這個對小型IPS安全廠商來說不太容易，需要深厚的技術實力和財力。及時修復漏洞還算簡單，為內網的計算機檢測漏洞并為其打上補丁。

三、 可管理、可擴展

有很多單位是跨國或跨省的企業，服務器和分公司到處都有，他們需要易于管理和控制的產品，從而降低安裝和維護大型安全產品的成本。在網絡越來越復雜和龐大的時候，產品也必須可以跨越企業核心網絡，企業邊界網絡，以及分支機構的網絡以保持可管理和可擴展性。

四、 性能可靠穩定 流量巨大也不怕

對于一些網絡結構復雜，流量負荷非常重的企業和數據中心來說，性能又是他們必須考慮的重點了。

目前市面上很多IPS產品在大流量的網絡環境下表現一般，很多還沒開始支持10G網絡。還有一些產品，在打開部分保護的情況下，網絡性能下降很多，保護全部打開，網絡性能就慘不忍睹了。這確實是很多IPS用戶目前關心的問題。

McAfee北亞太網絡安全產品總監Jason Yuan曾說過：一個好的IPS產品，必須要在流量巨大的情況下依然保持較好的防護狀態。現在10G的網絡越來越多，但支持10G網絡的IPS卻并不多。在流量巨大的網絡環境中依然可以準確攔截各種威脅，才是一款好的IPS。

結語

如何選擇一款好的IPS，除了以上說的幾點之外，也一定要符合自己實際的網絡環境。比如一個奧運訂票系統，肯定不能隨便找個千兆IPS就湊合了。對于網絡流量和威脅都不大的公司來說，可以選擇一些低成本的IPS產品，等業務量增大和經濟條件許可的時候再購買高性能的IPS。一些開源的輕量級解決方案也可以考慮，只是部署起來不怎么容易，需要考慮人力成本。有條件的公司，還是盡量選擇一些大品牌的高品質商業產品比較穩妥。這樣方便維護，服務和質量也更有保障。

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】