漏洞修复面面观--精.doc

近几年来，令网络管理人员谈虎色变的网络安全问题莫过于蠕虫。蠕虫的爆发不仅导致个人电脑或服务器系统无法正常工作，还会造成网络系统的瘫痪。而系统漏洞作为网络安全的头号大敌，可谓万恶的根本。但要想在第一时间把每个漏洞都被及时修补好，基本是不可能的，即便可能做到，所需要的各种资源也是企业无法承受的。 打补丁不能盲目，不是每个补丁都需要在第一时间修补；不是每个补丁都可以随便打上。因为，漏洞的修补是需要策略的。 明确漏洞真相 漏洞所造成的安全问题具备一定的时效性，也具备很强的规律性。通过分析漏洞的生命周期，我们方可把握漏洞法则，寻找漏洞真相。从信息安全这个层面看，是先有漏洞和对漏洞进行攻击的可能性，才有补丁。漏洞是攻击者攻击的目标，而打补丁正是对漏洞的修补过程。 对于漏洞的定义，英汉双解计算机词典的解释如下：在计算机安全学中，漏洞是存在于一个系统内的弱点或缺陷，系统对一个特定的威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。操作系统厂商微软对漏洞也给出了明确的定义：漏洞是可以在攻击过程中利用的弱点，可以是软件、硬件、程序缺点、功能设计或者配置不当。 由于漏洞所造成安全问题具备一定的时效性，也就是说，每一个漏洞都存在一个和产品类似的生命周期的概念。只有我们对漏洞生命周期的概念进行研究并且分析出其内在的一些规律，才能真正达到解决漏洞危害的目的。漏洞生命周期：简单而言，漏洞从客观存在到被发现、利用，再到大规模危害和之后的逐渐消失，这期间存在一个时间周期，这个周期称之为是漏洞生命周期。漏洞生命周期对于漏洞的管理有着极其重要的意义，下图是一个大家都较为熟悉的漏洞生命周期示意图。 图1 漏洞生命周期示意图 自2002年以来，国外知名漏洞管理厂商Qualys对大量真实的企业用户漏洞数据进行了长期的跟踪和分析，每年都会公布一些有关漏洞宏观规律的研究成果。该研究目前仍在进行中，本文中引用的数据是2005年的最新结果。‘ 表1 2005年漏洞研究结果(点击图片看大图) 基于大量真实数据的研究得到了漏洞存在和发展的一些内在的规律，就是所说的漏洞法则。漏洞法则中每条法则都和漏洞生命周期有着密不可分的关系，漏洞生命周期的概念定性地对漏洞的时效性进行了说明，漏洞法则对漏洞的时效性进行了定量的分析，并且给出了具体的统计数据进行说明。下面我们就介绍几条通用的漏洞法则，并阐述该法则带给我们的启示。 半衰期：在某一范围内，某一漏洞影响到的主机的数量减少为一半的时间。 图2 漏洞半衰期 表2 2003年至2005年半衰期变化结果统计表 半衰期法则带来的一些启示： ◆ 漏洞是从外部网络逐渐渗透到内部网络的，并且在内部网络的存活和危害时间较长，网络管理人员对内部网络的漏洞修补速度还需要进一步提高，这对漏洞的自动修补提出了较高的要求。 ◆ 对于企业级网络，不可能一次把所有资产的所有漏洞立即修补，即使做到了，付出的成本也将相当可观，而收效却甚微。 ◆ 尽量在半衰期内将高危漏洞修补，要对网络中的资产按照重要性列出清单并进行分类处理，把精力集中在与企业业务相关的重要资产，对于不同的资产采用不同防护措施进行处理。 ◆ 2006年内部网络用户需要将漏洞半衰期降到48天以下，才能有效降低内部网络存在的漏洞风险。 流行性：50%的最流行的高危漏洞的影响力会流行一年左右，一年后这些漏洞将被一些新的流行高危漏洞所替代。 流行性法则启示录： ◆ 漏洞流行期在一年左右，并且新的漏洞不断增加，需要对漏洞进行持续评估与审计，今天安全并不代表明天依然安全，安全是动态的、相对的，因此我们对漏洞的管理也必须是一个动态的过程，整个的过程需要自动化工具的辅助来提高工作效率。 ◆ 一半漏洞在一年之后仍然在网络中存在，说明有些漏洞被检测出来之后并没有被修补或者规避，未修补的漏洞将导致整体安全性的下降。 ◆ 漏洞管理的是一个循环、永无止境的过程，随着漏洞增加的趋势不断调整漏洞评估和审计的频率，尤其是涉及企业业务的重要资产。 持续性：4%的高危漏洞的寿命很长，其影响会持续很长一段时间；尤其是对于企业的内部网络来说，某些漏洞的影响甚至是无限期的。 图3 漏洞寿命走势图 持续性法则启示录： ◆ 某些漏洞很难被彻底根除，需要重点检测、确认、尽可能消除这些漏洞，有时可能需要通过专业安全服务人员的协助来完成。 ◆ 网络中引入新设备、安装新应用软件等，均可能引入一些旧的漏洞，因此，网络中的任何资产变更，都需要重新进行漏洞评估和审计工作。 ◆ 要特别警惕那些潜伏在应用程序的代码中的漏洞，比如一些内嵌Microsoft database engine（MSDE）的应用程序可能导致SQL Slammer蠕虫在内部网络的再次爆发。 可利用性：80%的利用漏洞的攻击发生在前两个半衰期内，85%的破坏来自于漏洞攻击开始的