亚信安全专家：云端出现漏洞 如何正确掌握打补丁的“时机”？

人们对“安全补丁”并不陌生，也大都有过给自己的电脑操作系统和各种软件打补丁的经历，但对于采用虚拟化与云计算的企业用户而言，补丁管理却不是一件易事。前不久，Gartner发布一份研究报告，内容重点是如何保障 Amazon Web Services 云端安全的最佳实务原则，其中重点强调了补丁管理中的“时机”概念。

让我们把时间回溯到2014 年 4 月 1 日，也就是Heartbleed (心脏出血)被揭露的那天。此漏洞可让黑客利用 OpenSSL 链接库当中的 SSL 协议 (handshake)，直接从服务器内存中窃取敏感的信息。

在随后的几天里，众多企业用户开始了各种手忙脚乱的“打补丁”、OpenSSL库组件重新编译、弱点扫描，这不可避免的导致了Web服务、内部私有云的核心业务等大量业务陷入停顿。对于这种看似正常的漏洞修补方式，Gartner 专家与亚信安全工程师却不谋而合的给出了一个违背大多数企业做法的意见，那就是：别修补。没错!不要修补运营中的系统!

其实，我们的观点并不是视而不见，让服务器一直暴露在危险当中，一旦遇到可能中断业务的修补程序，用户就可以采用动态的方式进行部署、尽量降低系统修补造成运营中断的机率。我们建议用户建立‘静态’和‘动态’两种方法打造新的服务器，以及前期规范的测试、安装检测流程和自动化工具。其中的重点在于自动化，因为这样才能确保您有一套可快速建立及测试新应用程序环境的操作流程。

那么，漏洞该怎么办?时间正一分一秒流逝……

此时就是Virtual Patching(虚拟补丁)解决方案派上用场的时候，此项技术通过控制受影响应用程序的输入或输出，直接切断数据外泄和系统入侵的路径。它的好处有两点：一是，可以在不影响应用程序、相关库以及为其提供运行环境的操作系统的情况下，为应用程序安装补丁;二是，如果一个应用程序的早期版本已不再获得供应商支持(如Windows XP)，虚拟补丁几乎是支持该早期版本的唯一方法。

在云端环境当中，不论遇到多么紧急的情况，都可以先让虚拟补丁程序来保护生产环境，然后在另外一个测试环境当中同步测试厂商提供的修补程序。实际上，使用亚信安全服务器深度安全防护系统(Deep Security)、防毒墙(OfficeScan)等产品的用户，已经利用虚拟补丁在多次高危漏洞(如Heartbleed)出现时为自己赢得了大量时间，有效防止了服务器数据泄露事件的发生。

在云计算时代，安全运营模式将彻底改观，因为云端服务器是可随时抛弃的，数据才是重点。所以，传统的劳动密集型IT补丁流程必须得到改善，因为手工修补的方式不能快速地修补漏洞，甚至会导致核心业务宕机，这一缺陷在黑客利用零日(0day)漏洞大规模攻击时，会变得尤为致命。

关于亚信安全

亚信安全是亚信集团“领航产业互联网”版图中的重要业务板块，于2015年由亚信科技对全球最大的独立网络安全软件提供商趋势科技中国区业务进行收购重组，专注于产业互联网安全服务领域，是中国领先的云与大数据安全技术、产品、方案和服务供应商。亚信安全在中国北京和南京设有独立研发中心，拥有超过2000人的专业安全团队，以“护航产业互联网”为使命，以“云与大数据的安全技术领导者”为战略愿景，亚信安全坚持“产品、服务、运营三位一体”的经营模式 ,助力客户构建“立体化主动防御体系”，为国家提供网络安全与云产业安全保障，推动实施自主可控战略。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友