雖然多數(shù)大型軟件供應(yīng)商都在努力改善其補(bǔ)丁的發(fā)布和分發(fā)過程，但補(bǔ)丁管理仍然要耗費(fèi)IT管理人員大量的精力。

隨著新的漏洞不斷出現(xiàn)，許多公司在為系統(tǒng)打補(bǔ)丁上疲于應(yīng)付，等待安裝重要安全補(bǔ)丁的維護(hù)時段可能是一段艱難的時期。最重要的是，如果IT人員的配備不足，時間又不充裕，那么系統(tǒng)在審查、測試和安裝官方補(bǔ)丁更新期間很容易陷入風(fēng)險。

而虛擬補(bǔ)丁技術(shù)正是一種可以使IT人員擺脫這種補(bǔ)丁管理困境的解決方案。虛擬補(bǔ)丁技術(shù)旨在通過控制受影響的應(yīng)用程序的輸入或輸出，來改變或消除漏洞。虛擬補(bǔ)丁的方法有許多，我們稍后將討論這一問題。

與傳統(tǒng)的補(bǔ)丁管理流程不同，利用虛擬補(bǔ)丁技術(shù)，我們可以在不影響應(yīng)用程序和其相關(guān)庫以及為其提供運(yùn)行環(huán)境的操作系統(tǒng)的情況下，為應(yīng)用程序安裝補(bǔ)丁。此外，如果一個應(yīng)用程序的早期版本已不再獲得供應(yīng)商支持，則此時虛擬補(bǔ)丁是支持該早期版本的唯一方法。

安裝虛擬補(bǔ)丁的方法之一是修改應(yīng)用程序的運(yùn)行時代碼。當(dāng)你對實際攻擊如何進(jìn)行一無所知時——通常是因為應(yīng)用程序的供應(yīng)商不愿公布程序遭受攻擊的具體細(xì)節(jié)，這種方法確實有用。在這種情況下，如果攻擊涉及到竊取信用卡資料，你可以創(chuàng)建一個輸出補(bǔ)丁，丟棄向未知IP地址傳送信用卡資料的任何連接。這種類型的虛擬補(bǔ)丁既可以阻止攻擊得逞，又可以執(zhí)行定義可信行為的規(guī)則，從而為你的應(yīng)用程序增加了一個額外的安全層。

然而，修改應(yīng)用程序的運(yùn)行時代碼可能會帶來新的風(fēng)險（如編程錯誤），從而導(dǎo)致更多的安全漏洞或應(yīng)用程序不穩(wěn)定。因此，這種方法要求程序員具有高超的編程技巧，以成功地降低這些風(fēng)險。安裝虛擬補(bǔ)丁的一種更為常見的方法是，在應(yīng)用程序之前設(shè)置某種類型的代理，以控制應(yīng)用程序的輸入和輸出，從而阻止或消除攻擊行為。這種方法與根據(jù)新的防火墻或代理規(guī)則匹配應(yīng)用程序的輸入一樣簡單，可以檢測對漏洞的嘗試?yán)?，并終止可疑的會話。

對于人手不足的IT部門來說，安裝虛擬補(bǔ)丁的最簡單方法是使用入侵防御系統(tǒng)（Intrusion Prevention System，IPS）和漏洞管理產(chǎn)品，以防止已知漏洞被利用。通過將IPS過濾器映射到漏洞數(shù)據(jù)庫并進(jìn)行適當(dāng)?shù)男薷?，可以將你的IPS與漏洞管理系統(tǒng)同步，并更新IPS過濾器的配置，以防止已知漏洞被攻擊者利用。

安全風(fēng)險管理解決方案提供商Critical Watch和網(wǎng)絡(luò)入侵防御系統(tǒng)提供商TippingPoint已經(jīng)聯(lián)合開發(fā)了一個綜合的漏洞管理和IPS集成包，該集成包可以同步你的IPS和漏洞管理系統(tǒng)。通過阻止?jié)撛诘膼阂饩W(wǎng)絡(luò)流量到達(dá)易受攻擊的應(yīng)用程序，該集成包提供了一個基于網(wǎng)絡(luò)的虛擬補(bǔ)丁，該虛擬補(bǔ)丁既不需要停機(jī)安裝，也不需要進(jìn)行廣泛的應(yīng)用程序測試。雖然此集成包可以為你節(jié)省大量時間，但如果這樣的產(chǎn)品超出了你的預(yù)算，你也可以手動同步你現(xiàn)有的IPS和漏洞管理系統(tǒng)，其方法如前所述。

然而，如何才能確定一個虛擬補(bǔ)丁是否在運(yùn)行呢？理論上，測試虛擬補(bǔ)丁如何處理模擬攻擊需要獲得漏洞檢測代碼。如果無法做到這一點，則你需要較為詳細(xì)地了解攻擊是如何進(jìn)行的。這就需要研究應(yīng)用程序供應(yīng)商和世界著名防病毒實驗室AV的報告，以深入理解攻擊是如何進(jìn)行的。如果檢測到潛在的攻擊，例如探測到一個易受攻擊的應(yīng)用程序，過濾器或代理應(yīng)該觸發(fā)一個警報。當(dāng)虛擬補(bǔ)丁安裝完成后，應(yīng)該測試你的應(yīng)用程序是否仍可運(yùn)行，并記錄你所做的更改以及哪些補(bǔ)丁已經(jīng)修復(fù)、哪些補(bǔ)丁尚未修復(fù)。

虛擬補(bǔ)丁不是一種“一勞永逸（Set It and Forget It）”的解決方案。對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的任何修改甚至是細(xì)小的配置更改，都可能導(dǎo)致虛擬補(bǔ)丁失效，并使應(yīng)用程序的漏洞再次暴露。制定解決根本問題的補(bǔ)丁管理計劃非常重要，其中包括在任何可能和可行的時間部署供應(yīng)商的補(bǔ)丁。理想情況下，虛擬補(bǔ)丁可以為人手不足的IT部門節(jié)約大量的時間，以執(zhí)行適當(dāng)?shù)难a(bǔ)丁管理流程，包括補(bǔ)丁的評估和部署。

毫無疑問，虛擬補(bǔ)丁是一種極有價值的技術(shù)，可用于減少供應(yīng)商補(bǔ)丁之間的時間間隔或者由于公司缺乏定期測試和部署補(bǔ)丁所需人手造成的風(fēng)險。雖然虛擬補(bǔ)丁絕不應(yīng)該替代標(biāo)準(zhǔn)的補(bǔ)丁管理流程，但如果你能夠跟上應(yīng)用程序供應(yīng)商的補(bǔ)丁和公開披露的漏洞的最新進(jìn)展，虛擬補(bǔ)丁可以為你提供應(yīng)急之道，并關(guān)閉試圖利用系統(tǒng)等待官方補(bǔ)丁時的漏洞的攻擊者的機(jī)會之窗。  

【編輯推薦】

1. 如何選擇補(bǔ)丁管理工具
2. 專題：補(bǔ)丁自動分發(fā)管理策略專題