大部分普通電腦使用者最關心哪家公司的漏洞補丁?答案一定是微軟了。由於微軟的補丁量很大,為此他們指定了乙個周二補丁日,也就是所謂的「patch tuesday」來統一發放補丁。之所以選擇星期二,是為了避開繁忙的星期一。當然,非常緊急的補丁還是可以隨時發布的。那這些補丁的作用是什麼呢?當然是修補哪些0day了。
2023年6月9日,微軟開始發布自2023年10月以來數量最大的一次安全更新。也是涵蓋系統範圍最廣的一次。包括windows 2000/2003/2008、windows xp、windows vista在內,包含了10個新的安全更新,修補了31個漏洞。連微軟非常倚重的ie8,也沒有逃過此劫。雖然這次的大規模補丁修補了ie、office等很多漏洞,但仍然有一些諸如direct show這類的漏洞沒有得到修補。那些掌握著0day的駭客們,已經開始在網路上展開了熱火朝天的掛馬和入侵活動。必須搶在補丁發布之前攻擊更多的計算機,他們的目的很明確。
零日威脅(0day)的危害,已經成為各大安全公司頭疼的主要因素。調查顯示,在來自美國、歐洲及亞太地區的250名cio、cso、it經理及網路管理員中,有54%的人將零日威脅視為最大的安全隱患;其次是黑客威脅,其關注度為35%;惡意軟體和間諜軟體則緊隨其後,以34%的關注度排在第三。
如何解決0day攻擊的困擾
一、 防毒軟體和防火牆
對於大多數個人使用者來說,防毒軟體和防火強已經成為他們防範黑客攻擊的必備**,很多pc銷售商都會在自己賣出的品牌機中預裝mcafee或諾頓之類的防毒軟體。通過及時的公升級病毒庫和使用者自己對防火牆的靈活控制,大部分威脅和一部分0day將被阻擋在外。但是誤操作和對安全軟體的不正當使用,仍然會造成計算機被攻擊。一些比較厲害的0day,會在獲得系統許可權後乾掉防毒軟體和防火牆,使使用者失去保護。
二、路由策略和管理
一些朋友可能會比較奇怪,路由和0day又有什麼關係呢?這個要從一些0day的攻擊特性談起。早在2023年「衝擊波」病毒(曾在一年之內感染1600萬計算機)氾濫之時,就有很多網路管理員以路由器為陣地和病毒做了較量。由於「衝擊波」病毒的主要使用埠是135、137、139、445、4444等,所以只要管理員在路由上拒絕掉這些埠,「衝擊波」之類的病毒便無法侵入內網了。如果這些埠在工作中要用到,不能拒絕。管理員也可以根據特徵碼來判定哪些非法資料不可進入,哪些可以進入。
不過這個方案的前提是,您要有經驗豐富、認真負責的網路管理員。而且您也必須有相關的路由裝置和嚴格的管理條例。缺點是時效性差,必須得到第一時間的預警。如果您的網路首先遭受0day攻擊,那這些防禦方法就無從談起了。
三、入侵防護系統(ips)
入侵防護系統(ips)是企業下一代安全系統的趨勢。它不僅可以進行檢測,還能在攻擊造成損失之前自動阻斷它們。目前,有些廠商已經可以在他們的產品中提前增加數字簽名和攻擊行為描述,或者發布虛擬補丁。
這「提前」二字,又是怎麼個說法呢?在通過公司內部技術人員挖掘(如:mcafee邁克菲公司300多人的技術團隊)和外部購買等各種方法獲取0day之後,再把所研究得出的防禦方法整合到ips中,這樣便可以在0day攻擊之前預先做好防護。這樣,防禦也便提前了。
怎樣才算一款好的ips?
一、 實時監測、主動防護
這一點是最基本的,如果這點做不到,也算不上ips了。
二、預先攔截、及時修復漏洞
要想料敵先機,必須得在攻擊發動之前,把敵人的進攻方法了解清楚。在微軟或其他廠商沒發補丁,0day又打過來的時候預先在ips中做好防護措施,這個對小型ips安全廠商來說不太容易,需要深厚的技術實力和財力。及時修復漏洞還算簡單,為內網的計算機檢測漏洞並為其打上補丁。
三、 可管理、可擴充套件
有很多單位是跨國或跨省的企業,伺服器和分公司到處都有,他們需要易於管理和控制的產品,從而降低安裝和維護大型安全產品的成本。在網路越來越複雜和龐大的時候,產品也必須可以跨越企業核心網路,企業邊界網路,以及分支機構的網路以保持可管理和可擴充套件性。
四、 效能可靠穩定 流量巨大也不怕
對於一些網路結構複雜,流量負荷非常重的企業和資料中心來說,效能又是他們必須考慮的重點了。
目前市面上很多ips產品在大流量的網路環境下表現一般,很多還沒開始支援10g網路。還有一些產品,在開啟部分保護的情況下,網路效能下降很多,保護全部開啟,網路效能就慘不忍睹了。這確實是很多ips使用者目前關心的問題。
mcafee北亞太網路安全產品總監jason yuan曾說過:乙個好的ips產品,必須要在流量巨大的情況下依然保持較好的防護狀態。現在10g的網路越來越多,但支援10g網路的ips卻並不多。在流量巨大的網路環境中依然可以準確攔截各種威脅,才是一款好的ips。
結語
如何選擇一款好的ips,除了以上說的幾點之外,也一定要符合自己實際的網路環境。比如乙個奧運訂票系統,肯定不能隨便找個千兆ips就湊合了。對於網路流量和威脅都不大的公司來說,可以選擇一些低成本的ips產品,等業務量增大和經濟條件許可的時候再購買高效能的ips。一些開源的輕量級解決方案也可以考慮,只是部署起來不怎麼容易,需要考慮人力成本。有條件的公司,還是盡量選擇一些大品牌的高品質商業產品比較穩妥。這樣方便維護,服務和質量也更有保障。
Adobe仿效微軟 實施「周二補丁日」
近期發生了很多利用adobe reader和acrobat中的安全漏洞實施攻擊行為的事件,更有安全研究人員建議使用者放棄使用reader和acrobat選擇其它pdf閱讀器,面對嚴峻的局面,adobe公司決定改變其補丁修復的操作方式。今天adobe表示,公司計畫更頻繁地對系統進行安全公升級,並即時發...
2023年8月微軟「周二補丁日」
2017年8月8日,微軟在補丁日為48個cve漏洞發布了補丁。相對於7月來說,本次發布的補丁涉及到的漏洞相對較輕微。在48個cve漏洞中,總共有26個cve被評為 關鍵 21評分為 重要 和1評級為 中等 在所有這些漏洞中,軟體和服務的 安全更新包括 26個cve中的18個評級為 嚴重 影響micr...
微軟下周二補丁日將發7個補丁修復23個普通安全漏洞
微軟周四稱,它下週的補丁星期二將發布7個補丁修復windows office silverlight和.net開發平台中的23個安全漏洞。在這7個補丁之中有3個是 嚴重 等級的補丁。這是微軟四級威脅系統中最高的威脅等級。其餘4個補丁是 重要 等級的補丁,這是排在第二位威脅等級。有4個補丁修復wind...