《漏洞修复面面观》由会员分享,可在线阅读,更多相关《漏洞修复面面观(13页珍藏版)》请在金锄头文库上搜索。
1、近几年来,令网络管理人员谈虎色变的网络安全问题莫过于蠕虫。蠕虫的爆发不仅导致个人电脑或服务器系统无法正常工作,还会造成网络系统的瘫痪。而系统漏洞作为网络安全的头号大敌,可谓万恶的根本。但要想在第一时间把每个漏洞都被及时修补好,基本是不可能的,即便可能做到,所需要的各种资源也是企业无法承受的。打补丁不能盲目,不是每个补丁都需要在第一时间修补;不是每个补丁都可以随便打上。因为,漏洞的修补是需要策略的。明确漏洞真相漏洞所造成的安全问题具备一定的时效性,也具备很强的规律性。通过分析漏洞的生命周期,我们方可把握漏洞法则,寻找漏洞真相。从信息安全这个层面看,是先有漏洞和对漏洞进行攻击的可能性,才有补丁。漏
2、洞是攻击者攻击的目标,而打补丁正是对漏洞的修补过程。对于漏洞的定义,英汉双解计算机词典的解释如下:在计算机安全学中,漏洞是存在于一个系统内的弱点或缺陷,系统对一个特定的威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。操作系统厂商微软对漏洞也给出了明确的定义:漏洞是可以在攻击过程中利用的弱点,可以是软件、硬件、程序缺点、功能设计或者配置不当。由于漏洞所造成安全问题具备一定的时效性,也就是说,每一个漏洞都存在一个和产品类似的生命周期的概念。只有我们对漏洞生命周期的概念进行研究并且分析出其内在的一些规律,才能真正达到解决漏洞危害的目的。漏洞生命周期:简单而言,漏洞从客观存在到被发现、利用,
3、再到大规模危害和之后的逐渐消失,这期间存在一个时间周期,这个周期称之为是漏洞生命周期。漏洞生命周期对于漏洞的管理有着极其重要的意义,下图是一个大家都较为熟悉的漏洞生命周期示意图。图 1 漏洞生命周期示意图自 2002 年以来,国外知名漏洞管理厂商 Qualys 对大量真实的企业用户漏洞数据进行了长期的跟踪和分析,每年都会公布一些有关漏洞宏观规律的研究成果。该研究目前仍在进行中,本文中引用的数据是 2005 年的最新结果。表 1 2005 年漏洞研究结果(点击图片看大图)基于大量真实数据的研究得到了漏洞存在和发展的一些内在的规律,就是所说的漏洞法则。漏洞法则中每条法则都和漏洞生命周期有着密不可分
4、的关系,漏洞生命周期的概念定性地对漏洞的时效性进行了说明,漏洞法则对漏洞的时效性进行了定量的分析,并且给出了具体的统计数据进行说明。下面我们就介绍几条通用的漏洞法则,并阐述该法则带给我们的启示。半衰期:在某一范围内,某一漏洞影响到的主机的数量减少为一半的时间。图 2 漏洞半衰期表 2 2003 年至 2005 年半衰期变化结果统计表半衰期法则带来的一些启示: 漏洞是从外部网络逐渐渗透到内部网络的,并且在内部网络的存活和危害时间较长,网络管理人员对内部网络的漏洞修补速度还需要进一步提高,这对漏洞的自动修补提出了较高的要求。 对于企业级网络,不可能一次把所有资产的所有漏洞立即修补,即使做到了,付出
5、的成本也将相当可观,而收效却甚微。 尽量在半衰期内将高危漏洞修补,要对网络中的资产按照重要性列出清单并进行分类处理,把精力集中在与企业业务相关的重要资产,对于不同的资产采用不同防护措施进行处理。 2006 年内部网络用户需要将漏洞半衰期降到 48 天以下,才能有效降低内部网络存在的漏洞风险。流行性:50%的最流行的高危漏洞的影响力会流行一年左右,一年后这些漏洞将被一些新的流行高危漏洞所替代。流行性法则启示录: 漏洞流行期在一年左右,并且新的漏洞不断增加,需要对漏洞进行持续评估与审计,今天安全并不代表明天依然安全,安全是动态的、相对的,因此我们对漏洞的管理也必须是一个动态的过程,整个的过程需要自
6、动化工具的辅助来提高工作效率。 一半漏洞在一年之后仍然在网络中存在,说明有些漏洞被检测出来之后并没有被修补或者规避,未修补的漏洞将导致整体安全性的下降。 漏洞管理的是一个循环、永无止境的过程,随着漏洞增加的趋势不断调整漏洞评估和审计的频率,尤其是涉及企业业务的重要资产。持续性:4%的高危漏洞的寿命很长,其影响会持续很长一段时间;尤其是对于企业的内部网络来说,某些漏洞的影响甚至是无限期的。图 3 漏洞寿命走势图持续性法则启示录: 某些漏洞很难被彻底根除,需要重点检测、确认、尽可能消除这些漏洞,有时可能需要通过专业安全服务人员的协助来完成。 网络中引入新设备、安装新应用软件等,均可能引入一些旧的漏
7、洞,因此,网络中的任何资产变更,都需要重新进行漏洞评估和审计工作。 要特别警惕那些潜伏在应用程序的代码中的漏洞,比如一些内嵌 Microsoft database engine(MSDE)的应用程序可能导致 SQL Slammer 蠕虫在内部网络的再次爆发。可利用性:80%的利用漏洞的攻击发生在前两个半衰期内,85%的破坏来自于漏洞攻击开始的 15 天的自动化攻击,并且会不断持续,直到该漏洞的影响消失。图 4 蠕虫爆发和半衰期关系图可利用性法则带来的一些启示: 用户应该密切关注最新的漏洞动态信息,可以根据企业资产定制相关的专业安全厂商的通告,同时关注临时应急方案和补丁程序的发布。 通过制定合理
8、的安全策略来实现来自外部网络对内部网络的攻击,尤其是针对终端设备实行集中化控制和管理。 尽可能通过自动化的漏洞评估、漏洞修补来加速漏洞修补过程,漏洞修补之后还要验证漏洞是否已经被清除。打补丁要讲方法论要从根本上有效地解决目前利用漏洞进行攻击的问题,就需要我们基于漏洞生命周期、漏洞法则的研究,结合人为管理方式,建立一套有效的漏洞管理工作流程,并通过漏洞管理类的自动化产品辅助执行漏洞管理的过程。自动化工具能够提高整个过程的准确性、缩短漏洞识别和修补的周期。漏洞管理流程一个较为完善的漏洞管理过程至少应该包括漏洞预警、漏洞检测、漏洞分析、漏洞修补与安全策略和修补跟踪几个阶段,同时在实际过程中,时刻要将
9、漏洞的风险和资产相关联。表 3 漏洞管理过程1)漏洞预警:能够及时获得最新的漏洞通告信息,对于没有补丁程序的漏洞要给出临时的解决方案,要求提供漏洞管理产品的厂商应该有基础的漏洞研究和跟踪能力,能够及时准确的将最新漏洞信息传达给网管人员。该过程可以通过定制专业的安全服务厂商的安全通告来获得。2)漏洞检测:检测之前需要对网络中的资产进行发现和跟踪,并且通过简便的方式展示,以便更快、更准确地识别、修补漏洞。必须周期性地对用户的网络中的所有网络资产进行检测,要求漏洞管理工具在保证一定的检测速度的前提下,要有较高的准确性,这里需要注意的是并不是检测到的漏洞越多越好,有些产品的误报率很高,要对漏洞的有效性
10、进行验证和分析,必须支持国际上大多数的漏洞标准(CVE、CERT、BugTraq 等)。基于软件的解决方案大多需要人工进行维护,自动化能力较差。该过程可以通过购买专业的漏洞管理设备或专业的安全服务来完成。3)漏洞分析:在漏洞检测之后需要通过具体的报告和数据来对资产的风险进行统计分析,清楚地显示漏洞的分布情况、详细描述和解决方案。其中特别需要注意的是要对网络中的资产的风险进行分类,以便对后续的漏洞修补工作进行优先级的划分。该过程可以通过漏洞管理设备或专业安全服务来自动完成。4)漏洞修补与安全策略:通过统计分析的结果制定切实可行的漏洞修补方案并通知终端用户,可以通过文件服务器来提供最新的漏洞修补程
11、序供终端用户下载和安装。特别需要注意的就是从合法的来源获取补丁程序,并且要对补丁进行测试,来保证安装补丁不会影响业务系统正常运行,还要有补丁回滚能力。该过程可以通过操作系统厂商或者第三方厂商的补丁管理软件或专业安全服务来完成。安全策略:为整个企业的网络安全设备、服务器、网络设备、应用程序和终端主机制定严格的安全策略,并保证这些策略能够强制配置和下发。其中大多数需要手工进行配置,一些能够通过部署终端安全产品来自动完成。5)漏洞审计:在每次漏洞修补之后监控终端用户是否及时地安装了漏洞修补程序。该过程能够通过漏洞管理设备或专业安全服务完成。网络管理人员在制定漏洞管理工作流程的时候,要根据自己实际需求
12、情况将上述过程进行细化或者裁减,为了使整个流程更有效,需要注意以下几点:第一,管理层的支持、工作流程的标准化对整个漏洞管理很重要;第二,尽量使用专业的、自动化的漏洞管理工具,尽量避免人工操作;第三,尽量不要中断企业的业务流程,保证业务系统正常运行;第四,尽量保持整个网络环境的配置简单,最好对同样的系统采用类似的配置,并且能够进行集中管理。要补的不只是漏洞本身现实生活中人们对补丁这个东西都已经是不太陌生了,大多数情况下,厂商公布了补丁之后也都会及时地将补丁及时安装。对于绝大多数网络管理人员来说,打补丁其实已经是日常工作中的家常便饭了,而且整个打补丁的过程大多数都遵循这样一个非正式的通用模式,这个
13、模式大致包括以下几个过程:(1)专业安全研究人员或者组织研究并发现一个漏洞;(2)该漏洞被提交给相关厂商,等待确认并为开发补丁争取时间;(3)厂商对漏洞进行确认并且发布补丁程序;(4)网络管理人员通过安全厂商或者软件厂商通告知晓该漏洞;(5)网络管理人员寻找、下载并且安装补丁;(6)网络管理人员将该漏洞和补丁尽可能通告相关人员;(7)假定该漏洞已经被补丁修补。从个人用户的角度来说,采取这些措施应该能够有效地降低因漏洞带来的安全风险,打补丁在终端用户的安全防护方面起到了重要的作用。但是对于企业级用户而言,尤其是当他们的网络拥有了一定规模,同时网络中又有关键业务流存在时,这样的过程和方法是否依然能
14、够奏效呢?事实证明,这种传统的方法在对付企业中漏洞带来的安全风险时,还存在着很多局限性。打补丁不能解决所有漏洞问题打补丁不能解决所有的漏洞问题。没有一个规范的过程来对漏洞进行监控,企业就不会清楚网络环境中的漏洞是否被清除或者规避。一些漏洞是由配置不当或者配置错误导致的,这在前面的漏洞的概念中已经明确指出,没有补丁能够清除由配置导致的漏洞。前面提到的传统补丁方法想要成为企业补丁管理方法还缺乏一定的规范性,更何况补丁管理也只是漏洞管理的一部分而已。普遍的看法是将补丁管理过程看成一种生命周期模型,一个封闭的循环。借用微软的补丁管理模型说明补丁管理过程。在这种模型中,一个循环的完成意味着新的循环的开始
15、,新的循环继承了前一个循环的成果并在这个基础上有所提高。循环的过程分成评估、识别、计划和部署 4 个部分,对每一个新的漏洞以及相应的补丁都要放在这个循环里面进行考察。评估阶段收集漏洞、补丁信息,收集企业资产信息并确定其价值,然后,在这个基础上,评估漏洞对企业的威胁,还要对前一次的执行结果进行评估,给出修补漏洞的要求以及其他防护措施建议。识别阶段这个阶段的工作依赖于评估阶段收集的信息作为基础,主要工作有下列内容:寻找补丁,并确定其来源可靠;测试补丁,以确定其能与企业 IT 环境兼容;计划阶段给出在企业网络部署补丁的详细计划安排; 部署阶段根据计划,在企业网络内部署补丁并进行确认。上面这个划分适合
16、企业从宏观的角度把握补丁管理。但及时部署补丁还是需要依靠自动化的工具来完成才有可能。有效管理资产当企业网络中的资产数量较多的时候,传统的方法不可能有效地将网络中所有资产存在的漏洞进行修补。在评估之前要对企业中资产要有明确的清单,企业网络中的资产不同于个人终端,有网络设备、网络安全设备、服务器、数据库等资产,其硬件、软件的复杂度要远远高于个人终端,并且网络设备、服务器等承载企业重要业务的资产的重要性也要远高于个人终端,同样一个漏洞对于不同的资产的威胁程度是不一样的,也就是说不同的资产存在的风险是不一样的。据权威统计,企业 90%的风险来自于 10%的重要资产,传统的方法没有对威胁和风险进行等级划分,这也是它和漏洞管理较为不同的一点。传统的方法倾向于从纯技术角度看问题,如果有补丁我们就要打补丁,只是从眼前的角度去看一个问题,没有从长远角度去看这类问题,因此要对企业中的资产信息尽可能全面地进行收集,并且根据资产在企业业务流程中的角色进行合理分类,方便网络管理人员对企业中资产存在的风险有明确的
