【51CTO.com快譯】想了解更多關(guān)于虛擬補(bǔ)丁的信息嗎?查看下本文，我們將討論什么是虛擬補(bǔ)丁，它的類型以及它可以為您的應(yīng)用程序做什么。

美國個人信用評估機(jī)構(gòu)Equifax估計(jì)其與2017信息泄漏事件相關(guān)的損失將超過6億美元。不僅僅是Equifax遭受了巨大的經(jīng)濟(jì)打擊。事實(shí)上,由于過時的軟件，在過去的一年中有數(shù)十家其他組織的收入損失超過了1億美元。

根據(jù)Gartner的數(shù)據(jù)，99%的漏洞都不是零日漏洞。相反，它們大多是已知至少一年的漏洞。事實(shí)上，大多數(shù)IT基礎(chǔ)設(shè)施都同時包括了遺留平臺、未打補(bǔ)丁的軟件、過時的第三方組件和糟糕的補(bǔ)丁管理流程?？梢哉f，壞人發(fā)現(xiàn)一個未及時修補(bǔ)漏洞的應(yīng)用程序要比發(fā)現(xiàn)一個零日漏洞容易得多。

[[245163]]

為什么一直存在著補(bǔ)丁問題?

大多數(shù)情況下，對最終用戶的應(yīng)用程序進(jìn)行打補(bǔ)丁可能非常簡單。然而，對于企業(yè)軟件來說，這就是一個完全不同的故事了。這是因?yàn)槠髽I(yè)軟件在本質(zhì)上更加復(fù)雜。在大多數(shù)情況下，為企業(yè)軟件安裝補(bǔ)丁是一個昂貴的手工過程，它由幾個嚴(yán)格的步驟組成，而且這些步驟不能總是在正常的工作時間內(nèi)完成，通常需要關(guān)鍵系統(tǒng)的離線。

但是停機(jī)對于企業(yè)來說通常會造成極大的損失，為了避免停機(jī)，已經(jīng)有了一些策略和技術(shù)，比如滾動更新、blue-green部署和canary發(fā)布。但這些策略通常非常復(fù)雜，極易出錯，而且耗時，需要仔細(xì)的規(guī)劃以及進(jìn)行平臺和基礎(chǔ)設(shè)施的更改。此外，軟件的新版本還經(jīng)常附帶不向后兼容的新功能，并且有可能中斷應(yīng)用程序的正常運(yùn)行。

打補(bǔ)丁終究是一場必?cái)〉膽?zhàn)斗

根據(jù)Sonatype的說法，每天都有超過10000個開源組件的新版本發(fā)布，并提供了新的特性、bug修復(fù)和安全補(bǔ)丁。然而更令人吃驚的是，據(jù)Mitre統(tǒng)計(jì)，2017年出現(xiàn)了近15，000個新的漏洞。平均每天有41個新漏洞被揭露，或者每30分鐘就有一個新漏洞被揭露。

在攻擊者利用其固有優(yōu)勢進(jìn)行攻擊之前，根本沒有足夠的時間或資源及時地解決這些缺陷。因此，補(bǔ)丁工作向來是IT部門面臨的一個重大挑戰(zhàn)。顯然，與未修復(fù)的軟件風(fēng)險(xiǎn)相比，當(dāng)下的組織更看重截止日期，而不是降低生產(chǎn)力。通常情況下，團(tuán)隊(duì)會接受風(fēng)險(xiǎn)，并選擇在更“方便”的時間進(jìn)行修補(bǔ)，通常是每季度才會開展一次修復(fù)工作甚至等待更長的時間。然而，這種做法為別有用心的人創(chuàng)造了機(jī)會。

每當(dāng)有新補(bǔ)丁被發(fā)布來修復(fù)漏洞時，惡意行為者就會爭分奪秒地尋找那些沒有對系統(tǒng)進(jìn)行修補(bǔ)的組織并利用該漏洞。在安全警報(bào)公開發(fā)布幾小時后就看到惡意活動已經(jīng)成為一種常見的情況。根據(jù)Ponemon最近的研究，攻擊者成功利用漏洞平均需要三到六天的時間，而發(fā)現(xiàn)攻擊的時間要超過250天，另外還需要82天才可以控制攻擊。這就提出了一個關(guān)鍵的問題:組織如何才能在延遲系統(tǒng)修復(fù)時間的同時保護(hù)他們的資產(chǎn)?

虛擬修補(bǔ)才是關(guān)鍵

虛擬補(bǔ)丁是指在不修改應(yīng)用程序源代碼、修改二進(jìn)制代碼或重新啟動應(yīng)用程序的情況下，能夠即時建立的一個安全策略實(shí)施層，用來防止對已知漏洞的攻擊。使用虛擬補(bǔ)丁策略，組織可以在大幅減少補(bǔ)丁所需的成本、時間和工作之間取得很好的平衡，同時保持服務(wù)的可用性和正常的補(bǔ)丁周期。

虛擬補(bǔ)丁可用于臨時添加保護(hù)，使DevSecOps團(tuán)隊(duì)有時間根據(jù)自己的更新計(jì)劃部署物理補(bǔ)丁。虛擬修補(bǔ)程序也可以永久用于可能無法修補(bǔ)的遺留系統(tǒng)。

此外，由于沒有在磁盤上更改應(yīng)用程序文件，因此引入沖突或不兼容的可能性也較小。

另外，軟件供應(yīng)商通常以捆綁的方式發(fā)布其安全修復(fù)程序，這些修補(bǔ)程序只能選擇全部安裝或者全部不安裝。當(dāng)其中一個修復(fù)程序?qū)е聭?yīng)用程序出現(xiàn)功能問題時，就必須卸載整個安全包。

但虛擬補(bǔ)丁能夠允許組織挑選對其環(huán)境重要的補(bǔ)丁，并允許它們回滾與應(yīng)用程序功能不兼容的特定補(bǔ)丁。

虛擬補(bǔ)丁的類型

虛擬補(bǔ)丁最初是幾年前由IPS/IDS社區(qū)首創(chuàng)的。后來，虛擬補(bǔ)丁被引入WAF領(lǐng)域，最近，RASP產(chǎn)品也提供了類似的功能。

不過，有必要說明的是，并非所有的虛擬補(bǔ)丁解決方案都是一樣的。一般來說，我們可以根據(jù)能夠交付的補(bǔ)丁質(zhì)量對虛擬補(bǔ)丁進(jìn)行分類。

第一種類型的虛擬補(bǔ)丁完全基于對網(wǎng)絡(luò)流量的分析。提供這種類型的虛擬補(bǔ)丁的系統(tǒng)使用簽名、正則表達(dá)式和模式匹配來識別惡意活動并阻止相應(yīng)的請求。

第二種類型的虛擬修補(bǔ)基于相同的原理;但是，它提供了一種更健壯的方式來指定阻止請求的標(biāo)準(zhǔn)，可以使用規(guī)則語言和狀態(tài)管理等功能。ModSecurity就是這種虛擬補(bǔ)丁解決方案的一個例子。

這些類型的虛擬修補(bǔ)有幾個缺點(diǎn)。由于它們?nèi)狈ι舷挛母兄哪芰Γ@些虛擬補(bǔ)丁技術(shù)會產(chǎn)生大量的誤報(bào)和漏報(bào)。因?yàn)楹灻湍Ｊ狡ヅ涫菃l(fā)式的方法，不能提供高效所需的準(zhǔn)確性。所以,這類寫得不好的虛擬補(bǔ)丁可能會阻塞合法的流量，干擾應(yīng)用程序的正常執(zhí)行，給必須過濾掉錯誤警報(bào)的安全團(tuán)隊(duì)增加額外的工作量。因此使用這種類型的虛擬補(bǔ)丁，并不能帶來安全上的質(zhì)的提升。好的補(bǔ)丁修復(fù)程序不應(yīng)該依賴于工程師的技能和他們編寫虛擬補(bǔ)丁簽名的能力。

此外，這種類型的補(bǔ)丁需要經(jīng)常修改。對于Web應(yīng)用程序來說，只要易受攻擊的URL或HTTP參數(shù)進(jìn)行了更改，虛擬修補(bǔ)程序就會失效并需要進(jìn)行重新配置。

更重要的是，這些方法事實(shí)上只是保護(hù)了特定的輸入，沒有保護(hù)易受攻擊的組件。如果有多個入口點(diǎn)導(dǎo)致了相同的受攻擊組件，虛擬補(bǔ)丁則無能為力。

所以說上述方法提供了“修補(bǔ)”功能是言過其實(shí)的，因?yàn)榧词乖趹?yīng)用了虛擬修補(bǔ)程序之后，代碼仍然容易受到攻擊。這就是為什么有些人將這些方法稱為“漏洞屏蔽”，而不是修復(fù)的原因了。

第三種類型是虛擬補(bǔ)丁的自然演變，它利用了當(dāng)代運(yùn)行時平臺(如Java虛擬機(jī)和公共語言運(yùn)行時)的即時編譯器。在應(yīng)用程序內(nèi)部，只要能夠在執(zhí)行每條指令之前控制它，就可以實(shí)現(xiàn)真正的虛擬補(bǔ)丁?，F(xiàn)在，在不修改應(yīng)用程序的源代碼或二進(jìn)制文件的情況下，交付一個在功能上與供應(yīng)商的物理補(bǔ)丁相同的虛擬補(bǔ)丁是可行的，同時又能確保組件得到適當(dāng)?shù)男扪a(bǔ)，不再容易受到攻擊。

運(yùn)行時編譯管道中的虛擬補(bǔ)丁是社區(qū)從一開始就渴望實(shí)現(xiàn)的虛擬補(bǔ)丁類型。WAF/IDS工程師們雖然預(yù)見到了虛擬修補(bǔ)的吸引力，但是由于缺乏對運(yùn)行時平臺的控制以及將這種解決方案置于應(yīng)用程序之外的架構(gòu)限制，迫使虛擬修補(bǔ)或多或少成為了一種復(fù)雜的輸入/輸出驗(yàn)證解決方案。

但這并不意味著這些類型的虛擬補(bǔ)丁沒有用處。相反，在某些情況下，應(yīng)用輸入驗(yàn)證型虛擬補(bǔ)丁是有意義的。比如，考慮到那些遺留系統(tǒng)和生命周期結(jié)束系統(tǒng)的情況，或者供應(yīng)商沒有發(fā)布安全修復(fù)程序的情況。最近，Sonatype發(fā)現(xiàn)，84%的開源項(xiàng)目沒有修復(fù)已知的安全缺陷。對于這種情況，基于輸入驗(yàn)證類型的虛擬補(bǔ)丁的補(bǔ)償控制可能是保護(hù)這種系統(tǒng)的唯一方法。

虛擬補(bǔ)丁已經(jīng)發(fā)展到了這樣的一個程度，它可以是一個自動化的過程，幾乎不需要人工干預(yù)，并且與物理補(bǔ)丁一樣有效，甚至更健壯。隨著法規(guī)遵從性方案要求更嚴(yán)格的補(bǔ)丁程序管理流程，安全團(tuán)隊(duì)在漏洞和補(bǔ)丁程序管理程序中采用虛擬補(bǔ)丁策略的時機(jī)已經(jīng)到來了。

虛擬修補(bǔ)有多種類型，每種類型都有自己的優(yōu)勢。當(dāng)團(tuán)隊(duì)評估他們的補(bǔ)丁需求時，他們必須確保自己心中有一個明確的目標(biāo)，那就是他們?yōu)槭裁匆蜓a(bǔ)丁，以及他們想要實(shí)現(xiàn)怎樣的目標(biāo)。對未修復(fù)的底層軟件缺陷的已知簽名的屏蔽是否已經(jīng)足夠?還是說需要的是一個在功能上等同于物理補(bǔ)丁并能夠修復(fù)所需軟件缺陷的虛擬補(bǔ)丁?

原文地址：Overview and Evolution of Virtual Patching，作者：Apostolos Giannakidis

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】