【51CTO.com 獨(dú)家特稿】大部分普通電腦用戶最關(guān)心哪家公司的漏洞補(bǔ)?。看鸢敢欢ㄊ俏④浟?。由于微軟的補(bǔ)丁量很大，為此他們指定了一個(gè)周二補(bǔ)丁日，也就是所謂的“Patch Tuesday”來統(tǒng)一發(fā)放補(bǔ)丁。之所以選擇星期二，是為了避開繁忙的星期一。當(dāng)然，非常緊急的補(bǔ)丁還是可以隨時(shí)發(fā)布的。那這些補(bǔ)丁的作用是什么呢?當(dāng)然是修補(bǔ)哪些0day了。

2009年6月9日，微軟開始發(fā)布自2003年10月以來數(shù)量最大的一次安全更新。也是涵蓋系統(tǒng)范圍最廣的一次。包括Windows 2000/2003/2008、Windows XP、Windows Vista在內(nèi)，包含了10個(gè)新的安全更新，修補(bǔ)了31個(gè)漏洞。連微軟非常倚重的IE8，也沒有逃過此劫。雖然這次的大規(guī)模補(bǔ)丁修補(bǔ)了IE、Office等很多漏洞，但仍然有一些諸如Direct Show這類的漏洞沒有得到修補(bǔ)。那些掌握著0day的駭客們，已經(jīng)開始在網(wǎng)絡(luò)上展開了熱火朝天的掛馬和入侵活動(dòng)。必須搶在補(bǔ)丁發(fā)布之前攻擊更多的計(jì)算機(jī)，他們的目的很明確。

零日威脅（0day）的危害，已經(jīng)成為各大安全公司頭疼的主要因素。調(diào)查顯示，在來自美國、歐洲及亞太地區(qū)的250名CIO、CSO、IT經(jīng)理及網(wǎng)絡(luò)管理員中，有54%的人將零日威脅視為最大的安全隱患；其次是黑客威脅，其關(guān)注度為35%；惡意軟件和間諜軟件則緊隨其后，以34%的關(guān)注度排在第三。

雖然很多廠商可以加入類似MAPP這樣的微軟漏洞分享組織，但在地下流動(dòng)的那些尚未公布的漏洞，連微軟自己也很受困擾。它們有的成為“愚人飛客”（Conficker）這樣的蠕蟲傳播媒介，有的則成為掛馬者獲取肉雞的邪惡武器。

（51CTO編者注：微軟MAPP計(jì)劃全稱為Microsoft Active Protections Program，它致力于為互聯(lián)網(wǎng)反病毒環(huán)境提供一個(gè)漏洞信息的共享平臺(tái)，可以讓合作伙伴及時(shí)獲知有關(guān)漏洞的相關(guān)信息。）

如何解決0day攻擊的困擾

一、 殺毒軟件和防火墻

對(duì)于大多數(shù)個(gè)人用戶來說，殺毒軟件和防火強(qiáng)已經(jīng)成為他們防范黑客攻擊的必備武器，很多PC銷售商都會(huì)在自己賣出的品牌機(jī)中預(yù)裝McAfee或諾頓之類的殺毒軟件。通過及時(shí)的升級(jí)病毒庫和用戶自己對(duì)防火墻的靈活控制，大部分威脅和一部分0day將被阻擋在外。但是誤操作和對(duì)安全軟件的不正當(dāng)使用，仍然會(huì)造成計(jì)算機(jī)被攻擊。一些比較厲害的0day，會(huì)在獲得系統(tǒng)權(quán)限后干掉殺毒軟件和防火墻，使用戶失去保護(hù)。

二、路由策略和管理

一些朋友可能會(huì)比較奇怪，路由和0day又有什么關(guān)系呢？這個(gè)要從一些0day的攻擊特性談起。早在2003年“沖擊波”病毒(曾在一年之內(nèi)感染1600萬計(jì)算機(jī))泛濫之時(shí)，就有很多網(wǎng)絡(luò)管理員以路由器為陣地和病毒做了較量。由于“沖擊波”病毒的主要使用端口是135、137、139、445、4444等，所以只要管理員在路由上拒絕掉這些端口，“沖擊波”之類的病毒便無法侵入內(nèi)網(wǎng)了。如果這些端口在工作中要用到，不能拒絕。管理員也可以根據(jù)特征碼來判定哪些非法數(shù)據(jù)不可進(jìn)入，哪些可以進(jìn)入。

不過這個(gè)方案的前提是，您要有經(jīng)驗(yàn)豐富、認(rèn)真負(fù)責(zé)的網(wǎng)絡(luò)管理員。而且您也必須有相關(guān)的路由設(shè)備和嚴(yán)格的管理?xiàng)l例。缺點(diǎn)是時(shí)效性差，必須得到第一時(shí)間的預(yù)警。如果您的網(wǎng)絡(luò)首先遭受0day攻擊，那這些防御方法就無從談起了。

三、入侵防護(hù)系統(tǒng)（IPS）

入侵防護(hù)系統(tǒng)（IPS）是企業(yè)下一代安全系統(tǒng)的趨勢。它不僅可以進(jìn)行檢測，還能在攻擊造成損失之前自動(dòng)阻斷它們。目前，有些廠商已經(jīng)可以在他們的產(chǎn)品中提前增加數(shù)字簽名和攻擊行為描述，或者發(fā)布虛擬補(bǔ)丁。

 這“提前”二字，又是怎么個(gè)說法呢？在通過公司內(nèi)部技術(shù)人員挖掘（如：McAfee邁克菲公司300多人的技術(shù)團(tuán)隊(duì)）和外部購買等各種方法獲取0day之后，再把所研究得出的防御方法集成到IPS中，這樣便可以在0day攻擊之前預(yù)先做好防護(hù)。這樣，防御也便提前了。

怎樣才算一款好的IPS？

一、 實(shí)時(shí)監(jiān)測、主動(dòng)防護(hù)

這一點(diǎn)是最基本的，如果這點(diǎn)做不到，也算不上IPS了。

二、預(yù)先攔截、及時(shí)修復(fù)漏洞

要想料敵先機(jī)，必須得在攻擊發(fā)動(dòng)之前，把敵人的進(jìn)攻方法了解清楚。在微軟或其他廠商沒發(fā)補(bǔ)丁，0day又打過來的時(shí)候預(yù)先在IPS中做好防護(hù)措施，這個(gè)對(duì)小型IPS安全廠商來說不太容易，需要深厚的技術(shù)實(shí)力和財(cái)力。及時(shí)修復(fù)漏洞還算簡單，為內(nèi)網(wǎng)的計(jì)算機(jī)檢測漏洞并為其打上補(bǔ)丁。

三、 可管理、可擴(kuò)展

有很多單位是跨國或跨省的企業(yè)，服務(wù)器和分公司到處都有，他們需要易于管理和控制的產(chǎn)品，從而降低安裝和維護(hù)大型安全產(chǎn)品的成本。在網(wǎng)絡(luò)越來越復(fù)雜和龐大的時(shí)候，產(chǎn)品也必須可以跨越企業(yè)核心網(wǎng)絡(luò)，企業(yè)邊界網(wǎng)絡(luò)，以及分支機(jī)構(gòu)的網(wǎng)絡(luò)以保持可管理和可擴(kuò)展性。

四、 性能可靠穩(wěn)定 流量巨大也不怕

對(duì)于一些網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，流量負(fù)荷非常重的企業(yè)和數(shù)據(jù)中心來說，性能又是他們必須考慮的重點(diǎn)了。

目前市面上很多IPS產(chǎn)品在大流量的網(wǎng)絡(luò)環(huán)境下表現(xiàn)一般，很多還沒開始支持10G網(wǎng)絡(luò)。還有一些產(chǎn)品，在打開部分保護(hù)的情況下，網(wǎng)絡(luò)性能下降很多，保護(hù)全部打開，網(wǎng)絡(luò)性能就慘不忍睹了。這確實(shí)是很多IPS用戶目前關(guān)心的問題。

McAfee北亞太網(wǎng)絡(luò)安全產(chǎn)品總監(jiān)Jason Yuan曾說過：一個(gè)好的IPS產(chǎn)品，必須要在流量巨大的情況下依然保持較好的防護(hù)狀態(tài)。現(xiàn)在10G的網(wǎng)絡(luò)越來越多，但支持10G網(wǎng)絡(luò)的IPS卻并不多。在流量巨大的網(wǎng)絡(luò)環(huán)境中依然可以準(zhǔn)確攔截各種威脅，才是一款好的IPS。

結(jié)語

如何選擇一款好的IPS，除了以上說的幾點(diǎn)之外，也一定要符合自己實(shí)際的網(wǎng)絡(luò)環(huán)境。比如一個(gè)奧運(yùn)訂票系統(tǒng)，肯定不能隨便找個(gè)千兆IPS就湊合了。對(duì)于網(wǎng)絡(luò)流量和威脅都不大的公司來說，可以選擇一些低成本的IPS產(chǎn)品，等業(yè)務(wù)量增大和經(jīng)濟(jì)條件許可的時(shí)候再購買高性能的IPS。一些開源的輕量級(jí)解決方案也可以考慮，只是部署起來不怎么容易，需要考慮人力成本。有條件的公司，還是盡量選擇一些大品牌的高品質(zhì)商業(yè)產(chǎn)品比較穩(wěn)妥。這樣方便維護(hù)，服務(wù)和質(zhì)量也更有保障。

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】