舊金山，RSA 2010大會(huì)上安全專家稱虛擬補(bǔ)丁修復(fù)對(duì)網(wǎng)絡(luò)漏洞來(lái)說(shuō)可能是種有效的短期修復(fù)方式，但它不能替代對(duì)系統(tǒng)和應(yīng)用適當(dāng)?shù)匦迯?fù)部署工作。

在有關(guān)網(wǎng)絡(luò)安全發(fā)展的小組討論會(huì)上，汽車制造商戴姆勒公司的基礎(chǔ)設(shè)施安全經(jīng)理Peter J. Kunz很贊成使用IPS(入侵防御系統(tǒng))和漏洞管理產(chǎn)品來(lái)對(duì)應(yīng)用和系統(tǒng)中的漏洞進(jìn)行虛擬修復(fù)，并試圖阻止?jié)撛诘膼阂饩W(wǎng)絡(luò)流量到達(dá)那些網(wǎng)絡(luò)的位置。

Kunz說(shuō)Daimler正考慮通過其IPS系統(tǒng)來(lái)實(shí)施虛擬補(bǔ)丁修復(fù)，它將3Com公司的TippingPoint和Redwood Shores的技術(shù)融合起來(lái)形成一種單項(xiàng)優(yōu)勢(shì)軟件(best-of-breed)。

他說(shuō)，Daimler的環(huán)境中有許多舊系統(tǒng)的IT資產(chǎn)，不能簡(jiǎn)單地通過傳統(tǒng)方式來(lái)修復(fù)其中的漏洞，所以在合適的位置設(shè)置網(wǎng)絡(luò)補(bǔ)丁來(lái)阻止已知攻擊，可以有效地緩解短期漏洞帶來(lái)的威脅。

Kunz說(shuō)：“對(duì)我們來(lái)說(shuō)，如果你有使用內(nèi)嵌Windows 98或XP的自動(dòng)機(jī)來(lái)組裝汽車，為什么還要將這一自動(dòng)機(jī)連上網(wǎng)絡(luò)呢?它只需要訪問一個(gè)來(lái)源——它的控制器，所以現(xiàn)在我們正考慮關(guān)閉網(wǎng)絡(luò)連接。”

Qualys的CTO(首席技術(shù)官)和小組成員Wolfgang Kandek稱，使用他們公司的漏洞管理產(chǎn)品來(lái)編制網(wǎng)絡(luò)目錄的用戶通常會(huì)發(fā)現(xiàn)超出預(yù)期量的問題。雖然最好的方式是對(duì)每個(gè)系統(tǒng)或應(yīng)用分別進(jìn)行修復(fù)，但許多企業(yè)缺乏可以同時(shí)修復(fù)多個(gè)不同問題的資源。

Kandek說(shuō)：“桌面上的問題也許能得到快速解決，但其他更為嚴(yán)重的問題可能還會(huì)存在，你無(wú)法很快地修復(fù)完。再或者你的軟件版本很舊，很難進(jìn)行更新。”

TippingPoint的產(chǎn)品線管理副總裁Paul Arceneaux稱，從企業(yè)內(nèi)的其他部門集結(jié)開發(fā)資源來(lái)修復(fù)應(yīng)用程序的漏洞可能會(huì)是另一種挑戰(zhàn)，它將拖慢補(bǔ)丁修復(fù)進(jìn)程。

Arceneaux說(shuō)：“如果你能通過在其上設(shè)置虛擬補(bǔ)丁的方式來(lái)減輕風(fēng)險(xiǎn)，會(huì)帶來(lái)很大的幫助。”

然而，Kunz稱虛擬補(bǔ)丁也會(huì)帶來(lái)一定的風(fēng)險(xiǎn)，因?yàn)殡m然這么做減輕了安全漏洞帶來(lái)的風(fēng)險(xiǎn)，但它們并沒有真正修復(fù)這些漏洞。人們很容易設(shè)置完了就高枕無(wú)憂，雖然部署了虛擬補(bǔ)丁，但沒有采取行動(dòng)來(lái)解決問題的根源。

另外，Kandek說(shuō)，對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的任何改變或配置上的任何小改動(dòng)都可能會(huì)導(dǎo)致虛擬補(bǔ)丁失效，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)險(xiǎn)再次出現(xiàn)。

Kunz說(shuō)，“問題在于應(yīng)當(dāng)怎樣將這一信息傳達(dá)給管理層。從長(zhǎng)遠(yuǎn)來(lái)看，我們?nèi)匀恍枰P(guān)注固有風(fēng)險(xiǎn)。” 不能僅僅因?yàn)樘摂M補(bǔ)丁導(dǎo)致IPS網(wǎng)絡(luò)狀態(tài)面板顯示的是檢查通過的標(biāo)記就放松警惕，這個(gè)時(shí)候做好后臺(tái)的修復(fù)工作同樣很重要。

Kunz說(shuō)，“問題在于應(yīng)當(dāng)怎樣將這一信息傳達(dá)給管理層。從長(zhǎng)遠(yuǎn)來(lái)看，我們?nèi)匀恍枰P(guān)注固有風(fēng)險(xiǎn)。” 不能僅僅因?yàn)樘摂M補(bǔ)丁導(dǎo)致IPS網(wǎng)絡(luò)狀態(tài)面板顯示的是檢查通過的標(biāo)記就放松警惕，這個(gè)時(shí)候做好后臺(tái)的修復(fù)工作同樣很重要。

Kunz說(shuō)，“虛擬補(bǔ)丁只是為你賺到了一些時(shí)間，并不能因此增強(qiáng)網(wǎng)絡(luò)環(huán)境的安全性。”  

【編輯推薦】

1. 從周二補(bǔ)丁日和0Day談殺軟和IPS
2. 專題：入侵防護(hù)系統(tǒng)(IPS)初探