阻击“零日攻击”

　 大幅降低人力成本 虚拟补丁阻击“零日攻击”

　　操作系统与应用程序的漏洞从来都不会消失。知名研究机构Ogren Group在其近日发布的《虚拟补丁：有效的成本节省策略》专题报告中指出：“漏洞一旦公布，一天之内就会出现专门的攻击程序，大多数自动化攻击都出现在消息公布的前15天内，而80%的漏洞攻击都出现在60天内。”而黑客在发现漏洞之后，第一时间进行“零日攻击”，更是让企业防不胜防。

　　许多公司都为系统打补丁付出了高额的人力成本，但等待安装重要安全补丁期间，企业IT系统则处在非常危险的状态。传统的打补丁方式难以快速修补漏洞，更不用说对“零日攻击”进行防御和拦截了。

　　补丁管理成本高

　　据统计，现在用户使用的操作系统和应用程序中，每1000行代码中就可能有4~5个编码漏洞。而系统和应用程序开发商不可能对所有代码进行严格检查，调查、测试和将补丁程序部署到操作系统的过程可能需要30天，对于应用程序来说，需要的时间则更长。而且，用户可能会遭遇上一个严重漏洞还没修补完，新的补丁程序已经在提示用户下载更新的情况，并因此疲惫不堪。

　　“以微软近期紧急通知的‘MS12-020远程桌面的漏洞可能会允许远端执行程序码’为例，这包括了远程桌面通信协议中两项未公开报告的信息安全风险，如果攻击者将蓄意制作的RDP封包序列传送至受影响的系统，将允许攻击者远程执行程序代码。”趋势科技(中国区)资深产品经理张明台告诉本报记者，“采用传统的补丁管理方式，用户需要在相当长的时间里，疲惫地应付这类信息安全更新等级为‘重大’的补丁，并且很可能面临大规模的‘零日攻击’。

　　但不可忽视的事实是，几乎每个月都有数百个软件漏洞被发现，即时修补不但耗费大量的人力成本，还可能因为兼容性问题导致死机。在这种情况下，服务器随时都得做好“回滚”的准备。此外，对那些尚在使用的旧版操作系统而言，用户在部署安全设备时需要额外付费，因此很多服务器和终端几乎是在互联网上“裸奔”。

　　虚拟补丁为企业安全减压

　　虚拟补丁近年来逐渐被安全厂商用于应对“零日攻击”，早在2010年，IBM就在其入侵防御解决方案IPS 4.1中使用了虚拟补丁技术。另外，2011年，ApacheWeb服务器被发现存在Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞，并且有黑客利用该漏洞进行“零日攻击”。当时，绿盟科技云服务平台就推出了WAF虚拟补丁，已经购买WAF产品和相关服务的客户自动收到针对该漏洞的虚拟补丁。

　　Ogren Group在其研究报告中指出，虚拟补丁使用基于主机的过滤器来监测和清理网络流量，在恶意软件危及易受攻击的目标之前，在不终端应用程序的情况下，修正或阻止会攻击漏洞的网络数据流量包。企业将虚拟补丁整合到漏洞管理流程中，可以显著节约成本。此外，如果一个应用程序的早期版本已经不再获得供应商的支持，采用虚拟补丁则是此时支持该早期版本的唯一方法。

　　针对“零日攻击”，趋势科技也推出了虚拟补丁解决方案。在还没对漏洞进行永久补丁修复之前，趋势科技虚拟补丁不是修改可执行程序，而是针对网络数据流的深层分析，检测入站流量并保护应用程序免受攻击。尽管尚未对漏洞进行永久性修复，虚拟补丁能简化企业的补丁修复流程，大大降低整个补丁修复过程的工作量。

　　“趋势科技将虚拟补丁作为其服务器深度安全防护系统的一个模块及防毒墙网络版的一个入侵防御防火墙插件，企业IT管理人员可以通过一致的管理和报告界面，将虚拟补丁部署到企业内部的服务器和桌面。”张明台向记者介绍，当终端的维护数量达到上百台的规模时，企业环境中的防火墙网络版用户可以通过入侵检测防火墙插件，使用统一的安全策略，阻止访问社交网站和挂马网站中针对最新漏洞的攻击代码和流量，使得用户可以在漏洞发布的数小时内立即部署防护策略，比传统的修补程式要提早几个星期的时间。

　　如今，虚拟化技术以已经渗透到了数据中心的每个角落。针对虚拟化数据中心应用程序，作为一台虚拟设备部署的趋势科技虚拟补丁可以自动保护服务器上所有虚拟机的应用程序漏洞，或者在每台虚拟机上单独执行和管理。

　　随着数据整合时代的到来，相信，虚拟补丁能够以更低的成本、更快的速度和更简便的流程，有效封堵黑客与恶意代码的“零日攻击”，成为云计算和虚拟化进程中不可或缺的安全工具。

　　“负日防御”瓦解“零日攻击”

　　长久以来，普遍存在在操作系统和应用程序中的漏洞一直被黑客所利用，以实施网络攻击。如今，黑客甚至已将发现新漏洞并利用其生成攻击代码的时间缩短到24小时以内，以“零日攻击”为主导的网络攻击愈演愈烈。更可怕的是，利用这种攻击模式，黑客不仅能绕过传统的安全防御体系，还构建了大量能高效制造广泛破坏力的恶意网络。

　　“零日攻击”被用来构建恶意网络

　　近两年来，“零日攻击”一直被视为信息安全技术界的头号公敌，也是目前最棘手的网安全威胁之一。即使目前具有主动防御功能的安全设备也不可能百分之百地防御“零日攻击”。这一方面是由于防御技术还不完善，存在漏报、误报的可能，另一方面黑客也会在编写攻击脚本时通过一些手段逃避安全设备的检测。因此，“零日攻击”的成功率几乎达到100%，而且每次都能造成非常广泛的影响。

　　不仅如此，黑客利用“零日漏洞”发起攻击的方法也在改变。在黑色产业链的驱动下，网络攻击的目标变成了盗取数据，而效率太低且影响力较小的直接攻击目标的行为，逐渐被黑客抛弃。当前，主流“零日攻击”的特点表现为：黑客团体先控制住大量存在漏洞的服务器，作为攻击其他网络目标的跳板，通过这些受控服务器形成的恶意网络向真正的目标发动攻击，以便盗取更多的数据。

　　Blue Coat刚刚发布的《2012网络安全报告》显示，2011年网络威胁中最重大的变化是利用恶意网络频繁发动网络攻击。这些网络架构更加复杂，影响比任何单个攻击更持久，并且直接导致恶意网站的数量大幅增长240%。该报告预测，2012年，有2/3的网络攻击将源自恶意网络。

　　“负日防御”在行动

　　被恶意网络放大的“零日攻击”不再仅是一种难以应付的攻击行为，特别是黑客将它与其他网络攻击手段组合，造成的威胁甚至已远远超过了我们的想象。Blue Coat《2012网络安全报告》显示，去年企业网络平均每个月会遭遇5000次以上的网络攻击，搜索引擎中平均每142个搜索结果就会有一个恶意链接。

　　借助恶意网络的攻击力，用户“中招”的概率与过去相比大幅增加。但只要安全防御系统还无法识别这些攻击，安全防范措施就等同于无效，用户的损失就会出现。可见，新型的“零日攻击”带来了更难解的攻防课题。对付这样的网络威胁，我们是否应该换个防御思路呢?

　　今年的RSA大会上，Blue Coat提出了一种全新的防御理念——“负日防御”，并引起了不小的轰动。这种防御理念主张在网络攻击未发生之前就开始跟踪、监测准备发动攻击的恶意网络的行为，并了解攻击发动的形式，在网络攻击发生的同时对其进行拦截，让使用这类防御技术的用户，不必“先中招，再疗伤”。Blue Coat支撑“负日防御”理念的防御系统被称为WebPulse，它是一个基于云技术，并且能够进行实时分析和评级的服务系统。WebPulse的工作原理是，通过布局在全球各地的数据中心，每日接收到来自全球7500万用户的10亿个网页内容请求。通过对海量请求的自动分析，WebPulse能发现异常流量并将其与已知的恶意网络联系起来，在恶意网络发动攻击前便将其封锁。透过感知技术和分析工具，WebPulse目前每天能封锁大约330万个威胁。

　　去年，著名的“调皮鬼攻击”真正发动攻击的时间是10月6日，为了防止病毒厂商把它拦截住，“调皮鬼攻击”持续10天，并不断更换攻击域名和代码。几乎所有被动防御机制都失效了，但使用Blue Coat安全网关的用户却毫发未损。因为“120天之前，Blue Coat就打入到恶意网络中，我们一直在监控它，只是不知道它会攻击谁。当它正式发动攻击时，我们立刻阻断了攻击网络和被攻击网站之间的连接。利用Webpulse，在‘零日攻击’爆发前，我们就可以进行防御。”Blue Coat大中国区产品市场经理申强表示，目前黑客为经营一个恶意网络花费的精力远比攻击最终目标要大得多，主要因为恶意网络的攻击效率高、影响力大、隐蔽性强且可被重复利用。而恶意网络的建立往往需要黑客团体耗费几个月甚至几年时间才能形成，黑客很难轻易将其抛弃。众多案例已经证明，跟踪、分析恶意网络对于瓦解“零日攻击”非常有效。

　　利用WebPulse系统，Blue Coat的安全实验室在2011年初首先发现了恶意网络，并在全球跟踪了超过500个主要的恶意网络，洞悉他们的一举一动。一旦攻击发生，WebPulse系统就会立即通知全球所有的Blue Coat安全网关，对其进行拦截。不仅如此，借助WebPulse的分析数据形成的统一报告，企业还能提前发现APT攻击及受感染的终端用户系统，降低数据泄露的风险。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。