鮮橙加冰(王文文)
大部分普通電腦使用者最關心哪家公司的漏洞補丁?答案一定是微軟了。由於微軟的補丁量很大,為此他們指定了乙個周二補丁日,也就是所謂的「patch tuesday」來統一發放補丁。之所以選擇星期二,是為了避開繁忙的星期一。當然,非常緊急的補丁還是可以隨時發布的。那這些補丁的作用是什麼呢?當然是修補哪些0day了。
2023年6月9日,微軟開始發布自2023年10月以來數量最大的一次安全更新。也是涵蓋系統範圍最廣的一次。包括windows 2000/2003/2008、windows xp、windows vista在內,包含了10個新的安全更新,修補了31個漏洞。連微軟非常倚重的ie8,也沒有逃過此劫。雖然這次的大規模補丁修補了ie、office等很多漏洞,但仍然有一些諸如direct show這類的漏洞沒有得到修補。那些掌握著0day的駭客們,已經開始在網路上展開了熱火朝天的掛馬和入侵活動。必須搶在補丁發布之前攻擊更多的計算機,他們的目的很明確。
零日威脅(0day)的危害,已經成為各大安全公司頭疼的主要因素。調查顯示,在來自美國、歐洲及亞太地區的250名cio、cso、it經理及網路管理員中,有54%的人將零日威脅視為最大的安全隱患;其次是黑客威脅,其關注度為35%;惡意軟體和間諜軟體則緊隨其後,以34%的關注度排在第三。
雖然很多廠商可以加入類似mapp這樣的微軟漏洞分享組織,但在地下流動的那些尚未公布的漏洞,連微軟自己也很受困擾。它們有的成為「愚人飛客」(conficker)這樣的蠕蟲傳播媒介,有的則成為掛馬者獲取肉雞的****。
(51cto編者注:微軟mapp計畫全稱為microsoft active protections program,它致力於為網際網路反病毒環境提供乙個漏洞資訊的共享平台,可以讓合作夥伴及時獲知有關漏洞的相關資訊。)
面對那些未公布的0day攻擊,安全廠商們一般怎麼做?
據筆者了解,很多廠商都會部署「蜜罐」系統來做第一時間的0day樣本收集。
(51cto編者注:「蜜罐」(或稱honeypot)就是一台不採取任何安全防範措施而且連線著網路的計算機,這就像狙擊手為了試探敵方狙擊手的實力而用槍支撐起的鋼盔,蜜罐通過被入侵而記錄下入侵者的一舉一動,目的是為了使管理員能更好地分析入侵者的攻擊方法和所用漏洞,今後才好加強防禦。同樣,病毒「蜜罐」除了具有安全措施不完備的特點外,還需要有完備的記錄程式來記錄病毒或黑客的種種「惡行」。)
包括mcafee、卡巴斯基這樣的廠商,他們會在世界各地放置很多這樣的機器,用來截獲樣本,製作反病毒疫苗等等。當然,「蜜罐」機器的數量,取決於廠商的實力。
另外一種獲取0day的方法,和安全廠商的產品覆蓋面有一點關係。
乙個安全產品要想識別出更多的網路威脅,它的覆蓋面一定得廣。簡單的說,國內外各種各樣的駭客和病毒,多少得與之較量過。久經沙場、見識淵博的安全產品,面對威脅的處理方式會更成熟有效一些。特別是加上雲計算的協助,會使威脅再度降低。舉個例子來說吧,在美國發現乙個0day,馬上就能截獲併發送到雲端伺服器中,然後雲端伺服器經過計算和處理之後,將該0day攻擊特徵傳送到各大洲的使用者終端,這樣中國及其他國家的使用者就不會再受此0day的威脅了。
據筆者了解,mcafee應該算目前國際上使用者量相當大的乙個安全廠商了。dell、聯想、hp這三家巨頭在售出的pc中大量預裝了mcafee。這給他們獲取大量0day樣本,快速製作疫苗提供了便利。
但是,防毒軟體再怎麼說也是終端安全的一種防禦工具。在面對與日俱增的零日威脅和越來越狡猾的駭客手段,被動防護的防火牆、入侵檢測系統,已經無法阻止攻擊者的腳步,閘道器級的安全又要怎麼做才更有效呢?
這個時候,ips開始走進人們的視野。這種傾向於提供主動防護、主動攔截和告警的產品,彌補了深層防禦和即時更新的不足,有效遏制了零日威脅和駭客的進攻。在很多要求嚴格、架構複雜的網路中,開始越來越多的出現ips的身影。
對使用者來說,ips的安全性和效能保持很重要
目前市面上很多ips產品在大流量的網路環境下表現一般,很多還沒開始支援10g網路。還有一些產品,在開啟部分保護的情況下,網路效能下降很多,保護全部開啟,網路效能就慘不忍睹了。這確實是很多ips使用者目前關心的問題。
帶著這個疑問,筆者採訪了mcafee北亞太網路安全產品總監jason yuan先生。
聽完筆者的問題之後,jason yuan先生笑了笑說,「其實我們mcafee的ips產品,很早就支援10g網路了。而且保護全部開啟後,網路效能依然會保持在較好的範圍內,使用者可放心使用。」
看到筆者略帶疑惑的表情,jason yuan拿出了一張印有mcafee和同類ips技術對比的圖表,仔細的向筆者做了介紹。和其他廠商的產品有所不同,mcafee的ips在面對已知或未知的網路攻擊之前,會在很短的時間內從伺服器獲得攻擊的特徵簽名,這樣,類似的攻擊過來,只要特徵一致就會全部擋住。而其他一些廠商是不停的給自己的ips打虛擬補丁,這樣既浪費了頻寬,又降低了效率。
那面對tippingpoint提出的「零日計畫(zdi)」,mcafee是否有相似的活動或計畫呢?
面對筆者的追問,jason yuan先生耐心的回答道:「mcafee公司目前有300多人的漏洞挖掘團隊,遍布世界各地多個國家,他們都是這一行非常優秀的技術人員。大量未公布的0day,會被他們找出並在產品中加以控制。所以,我們不需要向其他一些廠商那樣去購買漏洞。而且,這種購買漏洞的行為,似乎會給黑客一種攻擊是可以得到獎勵的錯誤暗示,社會影響也不太好。」
聽完jason yuan先生的一席話,筆者對網路威脅、0day、防毒軟體和ips的世界又有了進一步的認識。但由於時間的關係,筆者不能和jason yuan先生做更多的交流。不過在看過了安全威脅、防毒軟體、ips等一系列安全產品之後,筆者又有了個新的疑問,到底是終端安全產品重要呢?還是閘道器安全產品重要?也許,這應該是我下次遇到這位安全專家時,值得一問的問題。
從微軟周二補丁日談到入侵防護系統IPS
大部分普通電腦使用者最關心哪家公司的漏洞補丁?答案一定是微軟了。由於微軟的補丁量很大,為此他們指定了乙個周二補丁日,也就是所謂的 patch tuesday 來統一發放補丁。之所以選擇星期二,是為了避開繁忙的星期一。當然,非常緊急的補丁還是可以隨時發布的。那這些補丁的作用是什麼呢?當然是修補哪些0d...
Adobe仿效微軟 實施「周二補丁日」
近期發生了很多利用adobe reader和acrobat中的安全漏洞實施攻擊行為的事件,更有安全研究人員建議使用者放棄使用reader和acrobat選擇其它pdf閱讀器,面對嚴峻的局面,adobe公司決定改變其補丁修復的操作方式。今天adobe表示,公司計畫更頻繁地對系統進行安全公升級,並即時發...
2023年8月微軟「周二補丁日」
2017年8月8日,微軟在補丁日為48個cve漏洞發布了補丁。相對於7月來說,本次發布的補丁涉及到的漏洞相對較輕微。在48個cve漏洞中,總共有26個cve被評為 關鍵 21評分為 重要 和1評級為 中等 在所有這些漏洞中,軟體和服務的 安全更新包括 26個cve中的18個評級為 嚴重 影響micr...