【51CTO.com 獨家特稿】大部分普通電腦用戶最關(guān)心哪家公司的漏洞補丁？答案一定是微軟了。由于微軟的補丁量很大，為此他們指定了一個周二補丁日，也就是所謂的“Patch Tuesday”來統(tǒng)一發(fā)放補丁。之所以選擇星期二，是為了避開繁忙的星期一。當(dāng)然，非常緊急的補丁還是可以隨時發(fā)布的。那這些補丁的作用是什么呢?當(dāng)然是修補哪些0day了。

2009年6月9日，微軟開始發(fā)布自2003年10月以來數(shù)量最大的一次安全更新。也是涵蓋系統(tǒng)范圍最廣的一次。包括Windows 2000/2003/2008、Windows XP、Windows Vista在內(nèi)，包含了10個新的安全更新，修補了31個漏洞。連微軟非常倚重的IE8，也沒有逃過此劫。雖然這次的大規(guī)模補丁修補了IE、Office等很多漏洞，但仍然有一些諸如Direct Show這類的漏洞沒有得到修補。那些掌握著0day的駭客們，已經(jīng)開始在網(wǎng)絡(luò)上展開了熱火朝天的掛馬和入侵活動。必須搶在補丁發(fā)布之前攻擊更多的計算機，他們的目的很明確。

零日威脅（0day）的危害，已經(jīng)成為各大安全公司頭疼的主要因素。調(diào)查顯示，在來自美國、歐洲及亞太地區(qū)的250名CIO、CSO、IT經(jīng)理及網(wǎng)絡(luò)管理員中，有54%的人將零日威脅視為最大的安全隱患；其次是黑客威脅，其關(guān)注度為35%；惡意軟件和間諜軟件則緊隨其后，以34%的關(guān)注度排在第三。

雖然很多廠商可以加入類似MAPP這樣的微軟漏洞分享組織，但在地下流動的那些尚未公布的漏洞，連微軟自己也很受困擾。它們有的成為“愚人飛客”（Conficker）這樣的蠕蟲傳播媒介，有的則成為掛馬者獲取肉雞的邪惡武器。

（51CTO編者注：微軟MAPP計劃全稱為Microsoft Active Protections Program，它致力于為互聯(lián)網(wǎng)反病毒環(huán)境提供一個漏洞信息的共享平臺，可以讓合作伙伴及時獲知有關(guān)漏洞的相關(guān)信息。）

如何解決0day攻擊的困擾

一、 殺毒軟件和防火墻

對于大多數(shù)個人用戶來說，殺毒軟件和防火強已經(jīng)成為他們防范黑客攻擊的必備武器，很多PC銷售商都會在自己賣出的品牌機中預(yù)裝McAfee或諾頓之類的殺毒軟件。通過及時的升級病毒庫和用戶自己對防火墻的靈活控制，大部分威脅和一部分0day將被阻擋在外。但是誤操作和對安全軟件的不正當(dāng)使用，仍然會造成計算機被攻擊。一些比較厲害的0day，會在獲得系統(tǒng)權(quán)限后干掉殺毒軟件和防火墻，使用戶失去保護。

二、路由策略和管理

一些朋友可能會比較奇怪，路由和0day又有什么關(guān)系呢？這個要從一些0day的攻擊特性談起。早在2003年“沖擊波”病毒(曾在一年之內(nèi)感染1600萬計算機)泛濫之時，就有很多網(wǎng)絡(luò)管理員以路由器為陣地和病毒做了較量。由于“沖擊波”病毒的主要使用端口是135、137、139、445、4444等，所以只要管理員在路由上拒絕掉這些端口，“沖擊波”之類的病毒便無法侵入內(nèi)網(wǎng)了。如果這些端口在工作中要用到，不能拒絕。管理員也可以根據(jù)特征碼來判定哪些非法數(shù)據(jù)不可進入，哪些可以進入。

不過這個方案的前提是，您要有經(jīng)驗豐富、認真負責(zé)的網(wǎng)絡(luò)管理員。而且您也必須有相關(guān)的路由設(shè)備和嚴格的管理條例。缺點是時效性差，必須得到第一時間的預(yù)警。如果您的網(wǎng)絡(luò)首先遭受0day攻擊，那這些防御方法就無從談起了。

三、入侵防護系統(tǒng)（IPS）

入侵防護系統(tǒng)（IPS）是企業(yè)下一代安全系統(tǒng)的趨勢。它不僅可以進行檢測，還能在攻擊造成損失之前自動阻斷它們。目前，有些廠商已經(jīng)可以在他們的產(chǎn)品中提前增加數(shù)字簽名和攻擊行為描述，或者發(fā)布虛擬補丁。

 這“提前”二字，又是怎么個說法呢？在通過公司內(nèi)部技術(shù)人員挖掘（如：McAfee邁克菲公司300多人的技術(shù)團隊）和外部購買等各種方法獲取0day之后，再把所研究得出的防御方法集成到IPS中，這樣便可以在0day攻擊之前預(yù)先做好防護。這樣，防御也便提前了。

怎樣才算一款好的IPS？

一、 實時監(jiān)測、主動防護

這一點是最基本的，如果這點做不到，也算不上IPS了。

二、預(yù)先攔截、及時修復(fù)漏洞

要想料敵先機，必須得在攻擊發(fā)動之前，把敵人的進攻方法了解清楚。在微軟或其他廠商沒發(fā)補丁，0day又打過來的時候預(yù)先在IPS中做好防護措施，這個對小型IPS安全廠商來說不太容易，需要深厚的技術(shù)實力和財力。及時修復(fù)漏洞還算簡單，為內(nèi)網(wǎng)的計算機檢測漏洞并為其打上補丁。

三、 可管理、可擴展

有很多單位是跨國或跨省的企業(yè)，服務(wù)器和分公司到處都有，他們需要易于管理和控制的產(chǎn)品，從而降低安裝和維護大型安全產(chǎn)品的成本。在網(wǎng)絡(luò)越來越復(fù)雜和龐大的時候，產(chǎn)品也必須可以跨越企業(yè)核心網(wǎng)絡(luò)，企業(yè)邊界網(wǎng)絡(luò)，以及分支機構(gòu)的網(wǎng)絡(luò)以保持可管理和可擴展性。

四、 性能可靠穩(wěn)定 流量巨大也不怕

對于一些網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，流量負荷非常重的企業(yè)和數(shù)據(jù)中心來說，性能又是他們必須考慮的重點了。

目前市面上很多IPS產(chǎn)品在大流量的網(wǎng)絡(luò)環(huán)境下表現(xiàn)一般，很多還沒開始支持10G網(wǎng)絡(luò)。還有一些產(chǎn)品，在打開部分保護的情況下，網(wǎng)絡(luò)性能下降很多，保護全部打開，網(wǎng)絡(luò)性能就慘不忍睹了。這確實是很多IPS用戶目前關(guān)心的問題。

McAfee北亞太網(wǎng)絡(luò)安全產(chǎn)品總監(jiān)Jason Yuan曾說過：一個好的IPS產(chǎn)品，必須要在流量巨大的情況下依然保持較好的防護狀態(tài)?，F(xiàn)在10G的網(wǎng)絡(luò)越來越多，但支持10G網(wǎng)絡(luò)的IPS卻并不多。在流量巨大的網(wǎng)絡(luò)環(huán)境中依然可以準確攔截各種威脅，才是一款好的IPS。

結(jié)語

如何選擇一款好的IPS，除了以上說的幾點之外，也一定要符合自己實際的網(wǎng)絡(luò)環(huán)境。比如一個奧運訂票系統(tǒng)，肯定不能隨便找個千兆IPS就湊合了。對于網(wǎng)絡(luò)流量和威脅都不大的公司來說，可以選擇一些低成本的IPS產(chǎn)品，等業(yè)務(wù)量增大和經(jīng)濟條件許可的時候再購買高性能的IPS。一些開源的輕量級解決方案也可以考慮，只是部署起來不怎么容易，需要考慮人力成本。有條件的公司，還是盡量選擇一些大品牌的高品質(zhì)商業(yè)產(chǎn)品比較穩(wěn)妥。這樣方便維護，服務(wù)和質(zhì)量也更有保障。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】