虚拟补丁


首席技术官Mark Webb-Johnson 网络盒

从宣布漏洞开始,就在开发,测试,发布和安装修补程序之间进行了竞争。攻击者开发其攻击以利用。虚拟补丁旨在部署早期补丁‘virtually.’有时在受影响的设备本身上,但更经常在网关上,可以发布或安装正式补丁之前,以及在攻击者可以破坏受保护的系统之前。

技术

虚拟补丁程序以尝试利​​用已知漏洞的网络流量为目标。它们通常从签名开始,以检测漏​​洞或利用行为,然后主动中断流量并在其影响目标系统之前将其阻止。他们是一个‘quick-and-dirty’解决复杂问题的方法,因为它们通常可以在不重新启动或不中断服务的情况下进行部署。由于技术固有的局限性,它们通常只是短期的漏洞,为正式补丁的部署赢得了时间。

考虑一下类似于泄漏管道的漏洞,漏洞利用就是导致的洪水泛滥,而虚拟补丁则是用于修复泄漏的临时磁带。永久性解决方案是更换折断的那部分管道,但是虚拟补丁可以节省您的时间并避免洪水可能造成的损坏。这肯定比必须关水更好。

虚拟补丁程序使用户可以保持自己的补丁程序周期,而不必依赖于所运行的设备,系统和应用程序的各种制造商。它们通常更容易安装,因为它们通常仅安装在少数几个集中/网关位置,而不是安装在每个可能受影响的设备上。

Limitations of 虚拟补丁Technology

  • 虚拟补丁程序必须部署在攻击者与被攻击设备或服务之间。

为了使其有效,此保护必须是内联的,或者至少能够以极少的延迟来阻止恶意流量。加密的流量可能需要特殊处理才能被准确分析以进行利用。

  • 虚拟补丁程序必须准确。

它必须在不影响合法流量的情况下检测漏洞的利用,同时又要足够广泛和全面,以检测新出现的利用漏洞的变种(而不仅仅是最初的特定漏洞)。在漏洞利用不平凡的情况下,尤其是在网络流量会话中涉及多个请求的情况下,这可能是不可能的,并且虚拟补丁程序仅部分有效。

  • 误报可能是一个问题。

由于需要快速部署虚拟补丁,因此可能没有足够的时间进行测试。根据漏洞的严重性和影响,在可以部署正式补丁之前,可以选择关闭所有服务,这是可以接受的风险。制造商补丁的部署也不是没有风险的。虚拟补丁程序不是一个完美的解决方案,不能保护每个漏洞免受各种可能的利用。但是,这是一个很好的解决方案,在大多数情况下都是有效的,尤其是那些确定为高严重性的情况。该技术确实提供了针对网络攻击的全面而有效的第一道防线,并且是您军火库中众多工具中的一种,非常有价值。


马克·韦伯·约翰逊(Mark Webb-Johnson)是该公司的联合创始人兼首席技术官 网络盒。是Mark的技术天才推动Network Box的网络安全创新。他和他的团队不断提出解决方案,使Network Box领先于其他公司。多年来,Mark承担了许多项目和极其棘手的技术问题,并始终提出一个优雅的解决方案。难怪他赢得了哈尔舍姆勋爵计算机科学奖。


Follow 华晨安全杂志 上 推特, 脸书领英 以确保您收到有关最新安全和网络安全新闻和信息的警报。