系统漏洞风险巧消除

申请免费试用、咨询电话：400-8352-114

漏洞管理 
 
在过去的两年内，McAfee AVERT评出标记为中、高级的威胁一共有66个，其中90%的病毒和蠕虫能够使计算机出现被关机或应用程序停止工作的现象。而剩下10%往往是让大家最头疼的，这10%就是依赖系统漏洞或网络中间的相关漏洞而出现的所谓蠕虫攻击，对于这部分的攻击来说，是采用传统黑客攻击的手法入侵计算机和相应的网络，并且获得相应的控制权限，基本上在这个环境中间面临的最大威胁来源于这10%，根据AVERT小组统计40%损失由这10%蠕虫带来的，这些都是让大家很头疼的问题。

现在蠕虫攻击爆发的时间越来越短，从最初长达288天的病毒，到现在从发现到全球造成损失的时间已经低于两天，对于这样的时间差来讲，很多管理员都很难有效控制这些威胁，能够进一步抵挡它，可以保护自己的资产。正因为有这样的问题，才会不断有各种各样的安全技术延伸出来，几乎主流的安全技术都跟漏洞和弱点有关系，那么，怎样才能消除漏洞所带来的风险呢？

提高防范意识

管理员通常比较注意微软发布的Windows漏洞，并会及时地为系统安装补丁程序，但系统上运行第三方的服务程序却常被忽略。比如前一段时间SERV-U服务远程溢出漏洞，就让很多服务器成为黑客的肉鸡。系统中运行的远程访问或数据库服务等，都在不同程度上存在漏洞，而且这些漏洞有时候是致命的，因此，管理员应该注意这些厂商所发布的漏洞，并及时地安装补丁或升级服务程序。此外，还有类漏洞存在于处理文件的应用程序中，如微软的WORD文档、图形文件、PDF文档以及Media Player的视频文件等。当管理员打开这些带有恶意溢出代码的文件时，系统就为黑客敞开了大门，引来黑客的攻击。对付这类漏洞，首先需要管理员提高防范意识，同时也要求普通用户不要轻易打开来历不明的邮件，并及时性安装相应的补丁文件。还有一个简单有效的办法，那就是管理员要严格控制服务器上安装的程序，保证服务器的简洁性，关闭不需要的系统服务。

补丁管理可以说是解决漏洞风险过程中一个不可或缺的手段。对一漏洞，系统厂商一定会说需要打补丁，这是全部吗？往往在大家实际使用中间觉得这不够完全，特别对运营商网络来讲，面对很多计算机设备往往不是自己可以控制，需要更多手段在其他方面做出防护，因此网络入侵检测和网络入侵防护这些相关的技术应用在网络边界和网络之中，自然有很多用户想到一些方法，通过漏洞扫描漏洞评估类软件发现安全问题，从而主动地解决这些问题，应该说各种方法都会达到一定的效果，但是彼此间都会有相应的差异，最通常被大家考虑的方案是关于补丁的管理。补丁管理一直以来是大家认为最方便可以实现对漏洞清除或漏洞弥补有效的手段，这些手段中间最有意义莫过于可以快速在网络中间实施应用起来，并且防御效果往往是最显著的，可能相应产生的误杀可能性比较小，所以一直以来大家都认为补丁管理比较有优势的措施。

但是，补丁对于企业网络或系统来讲，也是一个比较敏感的事情。面对一个新的补丁，网络管理员要考虑的问题越来越多，比如对新发补丁是否需要做完整的测试，是否要考虑实验环境和实际环境有多大差别，这些都是让大家比较困惑的地方。另外一个问题，就是厂商发布的这些补丁的时机和时间。另外一方面来说管理员不得不制定一些紧急响应的计划，帮助我们在出现突发事件的时候，如何更快速解决，所以补丁管理也有响应的问题和需要大家考虑的问题。

注意异常连接和系统日志

有人错误地认为系统安装了防火墙和防病毒程序，就能有效地防御针对漏洞的攻击，但从TCP/IP分层结构来考虑的话，防火墙是工作在传输层的，而漏洞溢出攻击的代码往往是针对应用层的程序，因此对这类攻击，防火墙和防病毒软件是无法检测的。防火墙的特性是它能够对所有进出的连接加以控制，仅依赖防火墙的默认置规则是不够安全的。管理员需要制定严格的访问规则，仅打开需要对外提供服务的端口。这样即使黑客能够通漏洞打开系统的某个端口，但是由于该端口受防火墙的阻挡，黑客也无法建立连接。当发生溢出攻击时，服务程序会出现意外错误，管理员还可以通过检查日志记录，了解错误发生的来源、频率、时间、类型等详细内容，依此判断是否遭受攻击。

IPS实现主动防御

在实施主动防御之前，不妨先看看黑客通过漏洞实施的攻击过程。这里以windows系统漏洞为例，通常因为windows系统存在一些安全问题，蠕虫或黑客们找到这些问题，并且针对它所做出一些攻击，例如发现相应的脚本，进行漏洞的利用，可能对相应计算机系统，特定的文件、特定对象进行感染，下一步可能写入系统的内存，对于一个蠕虫可以方便的复制自己和感染相应的计算机对象，最后的结果是导致计算机的崩溃，引起拒绝服务的现象。这样就会导致信息资产最终无法工作，更可怕的是，很多写入内存的脚本会不断复制传播到其他计算机，最终可能感染所有网络上的终端计算机。面对这样的问题，如果我们启用入侵防护（IPS）系统，无论是网络入侵防御，还是主机入侵防御都可以很实时找到相应的对象，并且对感染过程进行阻断和防御。

作为IPS核心是网络和主机两方面的结合，McAfee在整个IPS技术除了网络以外，在主机方面也会帮助用户得到全面的保护，因为IntruShield针对的是网络环境，这可以针对一些重要服务器所在的网段或网络实现对它们的防御。结合刚才说的网络防御的手段，加上Entercept主机防御可以做到全面的防御。当然我们阻挡攻击也应该考虑作用的范围，一个特别复杂的网络，往往IPS部署的成本也很高，我们很难凭空确定在什么位置部署可以节省成本。另外阻挡效果怎么样？取决管理员策略配置，只有做好相关配置才能做好，这都是大家面临的问题。对于McAfee来讲，我们更多的建议是考虑前面所说的这些问题，应当采用一些特殊的技术手段判断出网络中间什么是最主要的，什么区域是客户值得投资和防御的位置，这正是我们称为漏洞管理，或者风险管理的措施。利用风险管理和漏洞管理的行为，帮助用户找到正面临非常严重威胁的核心资产，进行相关的分析与控制，找到在整个漏洞管理和风险管理过程中最危机的部分，从而决定你的投资！决定你防御对象和过滤对象所在。

虚拟防护防止LAN攻击

我们也提出针对SSL的检测技术，这些相关技术的融合导致不管对已知攻击，还是临时攻击都具有很好的防御。我们在这里举一个例子，关于通过HTTP隧道的FTP通讯，传统技术很难发现在里面的攻击是什么？这些攻击往往被认为是一个HTTP的攻击判断和识别，在FTP过程中才存在一个真正需要阻断的攻击时，McAfee IntruShield可以在网络中实现从最初的准确认知攻击到最后的准确保护，防止攻击的发生。在企业网络中的部署变得相当简单，这是运营商最愿意接受的方式。在网络传输过程当中，如果出现任何攻击和攻击的企图都可以进行阻断，对于运营商的网络环境，例如IDC的网络环境，利用虚拟IDS或虚拟IPS，我们可以采取虚拟的方式把一台IPS系统当成多台来看待；如果在一个IDC中间有很多门户网站，运营商愿意针对网易、新浪采取不一样的防御措施，可以进行不同的配置，从而防治不同的LAN的攻击，防止处在同一个LAN的彼此蔓延，这可以节省很多IDS的部署，这可能帮助我们做到很多LAN的防御和控制。

面对网络的复杂我们很难定义一个边界在哪儿，我们利用防火墙隔离的时候很难找到一个好的地方，这时候可以找一个虚拟边界技术划分，对特定的网络段，或制定的范围做出相应的ACL的控制，可以对不同LAN做出边界控制的要求，从而划分成一个最小的单元，也可以考虑对于很多计费的主机或对外提供服务的主机都可以划在不同的LAN里面考虑。

传统意义上风险等式都看到过，对于资产漏洞和威胁都有各自对象存在，如果抛开整个风险管理，针对每一个个体也有防御措施，这些防御措施单个利用也会帮助我们达到防御效果，但是没有一个可以融合在一起看待，正是这样的原因，如果只是单一的产品部署，或者跟一个能够实施漏洞管理体系的企业来比，效果往往会有很大的差别。这样的差别既然存在，我们自然需要考虑找到一个切实可行的漏洞管理措施，或者漏洞管理方案帮助我们做出相应的控制。在漏洞管理的过程中通常面临的问题，或者整个过程中间可能分了一些步骤，最容易出现的问题，往往是出现在如何指定相应的人员进行漏洞管理，如何指定相应的人员做漏洞的修补，以及如何校验这些问题在网络中存在多长时间。

针对整个漏洞管理生命周期，只有企业制定管理要求才能做出更好的控制，McAfee的管理漏洞的意义在于帮助用户找出网络管理漏洞资产，并且计算出你的风险值，从而帮助运营商找到网络中间值得投资的方位，利用相应的管理人员，技术人员对发现的问题进行弥补，应用现有的技术或者采购新的技术方案对它进行弥补和控制，从而达到全面的漏洞管理和风险管理。单一的漏洞管理是非常低效的技术也是非常被动的技术，只有厂商发布了漏洞相应的补丁才能进行相关的保护。因此，高效的防范漏洞的方法是利用漏洞管理确定风险最高最迫切需要关注的网络资产，利用先进的入侵防御技术，结合传统的补丁管理技术，从而实现主动、高效的保护。(zdnet)