信息化觀察網(wǎng)

本文來(lái)自安全牛。

在大數(shù)據(jù)分析、人工智能等新一代網(wǎng)絡(luò)安全技術(shù)大量應(yīng)用的時(shí)代，漏洞修補(bǔ)和補(bǔ)丁更新這項(xiàng)傳統(tǒng)而基礎(chǔ)的安全工作并沒(méi)有變得微不足道，它仍然是企業(yè)整體網(wǎng)絡(luò)安全計(jì)劃中不可或缺的重要組成部分。而且，隨著企業(yè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的擴(kuò)展和數(shù)字化建設(shè)的深入，今天的漏洞修復(fù)工作所面臨的困難和挑戰(zhàn)正在呈指數(shù)級(jí)快速增長(zhǎng)，做好補(bǔ)丁管理對(duì)企業(yè)組織來(lái)說(shuō)并不是一件容易的事情。

漏洞修復(fù)的困難與挑戰(zhàn)

相關(guān)研究報(bào)告顯示，企業(yè)組織目前發(fā)現(xiàn)漏洞后的平均修復(fù)時(shí)間（即安全更新缺口）為60.3天。這給了攻擊者60天的時(shí)間來(lái)查找和利用存在該漏洞的系統(tǒng)?？上ВS多企業(yè)組織卻不會(huì)有這么長(zhǎng)的時(shí)間來(lái)修復(fù)漏洞。一旦相關(guān)安全漏洞信息通過(guò)網(wǎng)絡(luò)被公之于眾，利用它的惡意軟件通常會(huì)在48小時(shí)內(nèi)出現(xiàn)，企業(yè)組織往往疲于應(yīng)對(duì)。研究人員還發(fā)現(xiàn)，有許多漏洞在被發(fā)現(xiàn)后根本沒(méi)有得到修復(fù)，有很多最新的惡意軟件和勒索軟件變種實(shí)際上還是在利用5年或更久前的CVE漏洞。

造成漏洞修復(fù)工作遲緩或有遺漏的影響因素有很多，主要包括：

•漏洞的數(shù)量太多并在增長(zhǎng)不斷，這對(duì)經(jīng)常升級(jí)IT基礎(chǔ)架構(gòu)的企業(yè)更是如此，因?yàn)檫@會(huì)帶來(lái)更多的漏洞需要修補(bǔ)；

•企業(yè)IT治理能力不足。隨著網(wǎng)絡(luò)設(shè)施和業(yè)務(wù)系統(tǒng)越來(lái)越復(fù)雜，大部分企業(yè)的IT體系架構(gòu)零散，缺乏標(biāo)準(zhǔn)化，包含不同的操作系統(tǒng)、中間件和數(shù)據(jù)庫(kù)等。當(dāng)企業(yè)收到相關(guān)廠商分析和修復(fù)漏洞后提供的修補(bǔ)版本時(shí)，由于要嚴(yán)格測(cè)試更新之后，才可以部署到生產(chǎn)系統(tǒng)，這個(gè)過(guò)程可能將歷時(shí)數(shù)周甚至數(shù)月；

•擔(dān)心影響業(yè)務(wù)的持續(xù)性。很多企業(yè)包括業(yè)務(wù)人員都認(rèn)為業(yè)務(wù)比安全更重要。企業(yè)之所以常常拒絕關(guān)閉運(yùn)行中程序以重啟系統(tǒng)、打上漏洞補(bǔ)丁，不是因?yàn)樗麄儾幌脒@么做，而是認(rèn)為修補(bǔ)的工作耗時(shí)太長(zhǎng)，必然會(huì)影響業(yè)務(wù)，消耗公司成本，因此往往會(huì)將此項(xiàng)工作延后，甚至?xí)贿z忘；

•超過(guò)生命周期的及無(wú)法修補(bǔ)漏洞的系統(tǒng)，很多已經(jīng)被廠商停止更新的系統(tǒng)和應(yīng)用程序無(wú)法獲得更新，大部分企業(yè)現(xiàn)在仍然有很多關(guān)鍵核心的業(yè)務(wù)運(yùn)行在這種操作系統(tǒng)和應(yīng)用上。

微補(bǔ)丁的應(yīng)用價(jià)值

以上因素讓攻擊者有了可乘之機(jī)，這也表明企業(yè)組織需要采用更有效的補(bǔ)丁模式來(lái)進(jìn)行漏洞修補(bǔ)工作。

在此背景下，一種可以縮短漏洞修復(fù)時(shí)間的可行方法出現(xiàn)了，這種方式被稱(chēng)為“微補(bǔ)?。╩icropatching）”，即使用一小段代碼來(lái)修復(fù)單個(gè)漏洞，無(wú)需重啟系統(tǒng)，這將大大降低補(bǔ)丁更新的工作量，同時(shí)避免了業(yè)務(wù)應(yīng)用的中斷。

但相比傳統(tǒng)的熱修復(fù)程序更新通常解決諸多問(wèn)題，甚至可以添加新功能來(lái)說(shuō)，微補(bǔ)丁只使用盡可能少的代碼來(lái)修復(fù)針對(duì)性的安全漏洞問(wèn)題，旨在盡量減少可能影響基準(zhǔn)功能的副作用。這意味著補(bǔ)丁本身很小巧，它的使用只會(huì)涉及最小范圍中的幾個(gè)因素：補(bǔ)丁、易受攻擊的應(yīng)用程序、打補(bǔ)丁的位置以及補(bǔ)丁代碼本身。

微補(bǔ)丁的優(yōu)勢(shì)主要體現(xiàn)在以下幾方面：

•快捷。由于在測(cè)試補(bǔ)丁是否會(huì)干擾基準(zhǔn)功能方面所花的時(shí)間少很多，微補(bǔ)丁可以在數(shù)小時(shí)內(nèi)完成部署。

•簡(jiǎn)單。可以在本地或遠(yuǎn)程快速部署和刪除微補(bǔ)丁，這也簡(jiǎn)化了生產(chǎn)環(huán)境測(cè)試流程。

•盡量延長(zhǎng)正常運(yùn)行時(shí)間。微補(bǔ)丁不需要停機(jī)，因?yàn)樗⒉惶鎿Q或修改可執(zhí)行文件和運(yùn)行中文件。微補(bǔ)丁部署在內(nèi)存中，無(wú)需重啟軟件或系統(tǒng)即可完成，因此用戶(hù)和關(guān)鍵系統(tǒng)能夠繼續(xù)不受干擾地工作。這種技術(shù)名為函數(shù)掛鉤（function hooking），存在已有一段時(shí)日。以微補(bǔ)丁為例，函數(shù)掛鉤用于在運(yùn)行中進(jìn)程的某個(gè)點(diǎn)注入補(bǔ)丁代碼，以便軟件繞過(guò)易受攻擊的代碼。

一些支持者還聲稱(chēng)，微補(bǔ)丁可以保護(hù)遺留的、報(bào)廢的、不受支持的產(chǎn)品，比如Office 2010、Java Runtime Environment、Windows 7和Server 2008 R2，并且使它們可以安全使用，盡管相應(yīng)的廠商不再支持它們?？傊⒀a(bǔ)丁在速度、易用性和非干擾性方面，可以幫助用戶(hù)縮小安全更新缺口。這反過(guò)來(lái)使黑客更難利用流行的攻擊途徑實(shí)施非法活動(dòng)，比如緩沖區(qū)溢出和動(dòng)態(tài)鏈接庫(kù)注入等。

微補(bǔ)丁的挑戰(zhàn)與發(fā)展

目前，微補(bǔ)丁還無(wú)法修復(fù)應(yīng)用程序設(shè)計(jì)中的邏輯缺陷或腳本代碼中的漏洞（比如PHP和Python），原因是代碼僅在運(yùn)行時(shí)被解釋。

雖然微補(bǔ)丁使廠商和開(kāi)發(fā)人員能夠快速、自動(dòng)地向用戶(hù)交付修復(fù)程序，但安全團(tuán)隊(duì)需要在驗(yàn)證補(bǔ)丁的可信度之后才能部署。通常，傳統(tǒng)廠商補(bǔ)丁來(lái)自可信賴(lài)、安全的服務(wù)器。但是如果沒(méi)有類(lèi)似的可信賴(lài)基礎(chǔ)設(shè)施，用戶(hù)就無(wú)法確保來(lái)自第三方提供商的微補(bǔ)丁安全性，不能確定其是否被添加了惡意代碼或?yàn)樵L問(wèn)敏感的API和數(shù)據(jù)提供便利。

此外，由于許多軟件廠商目前認(rèn)為微補(bǔ)丁是未經(jīng)批準(zhǔn)的帶外補(bǔ)丁，微補(bǔ)丁可能還存在違反許可條款和條件的風(fēng)險(xiǎn)。

微補(bǔ)丁在成為主流選擇之前還有一段路要走，但很多研究機(jī)構(gòu)已經(jīng)在關(guān)注并積極嘗試。目前，美國(guó)國(guó)防高級(jí)研究計(jì)劃局已經(jīng)啟動(dòng)可靠微補(bǔ)?。ˋMP）研究計(jì)劃。該項(xiàng)目團(tuán)隊(duì)與亞利桑那州立大學(xué)網(wǎng)絡(luò)安全和數(shù)字取證中心等組織的研究人員合作，旨在支持對(duì)關(guān)鍵任務(wù)型系統(tǒng)中的遺留二進(jìn)制代碼打上補(bǔ)丁。

安全研究人員認(rèn)為，未來(lái)的安全微補(bǔ)丁服務(wù)將主要從第三方供應(yīng)商處獲得，而非原始軟件供應(yīng)商。如果一套可信賴(lài)的安全漏洞管理微補(bǔ)丁生態(tài)系統(tǒng)發(fā)展起來(lái)，并能夠?yàn)樗兄髁鞯牟僮飨到y(tǒng)和軟件產(chǎn)品及時(shí)、可靠地創(chuàng)建微補(bǔ)丁，那么，企業(yè)組織就可以實(shí)現(xiàn)更加快捷、靈活的補(bǔ)丁管理策略，將漏洞隱患控制在最小的范圍內(nèi)。

據(jù)了解，目前已經(jīng)有一些創(chuàng)新性安全公司開(kāi)始專(zhuān)門(mén)為某些操作系統(tǒng)提供修補(bǔ)漏洞的微補(bǔ)丁程序，并作為一項(xiàng)服務(wù)對(duì)外出售，訂閱此類(lèi)服務(wù)的系統(tǒng)應(yīng)用和網(wǎng)絡(luò)設(shè)備可以第一時(shí)間獲取并應(yīng)用最新發(fā)布的微補(bǔ)丁。

參考鏈接：

https://www.techtarget.com/searchsecurity/tip/How-micropatching-could-help-close-the-security-update-gap?&web_view=true