日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

想了解更多關(guān)于虛擬補(bǔ)丁的信息嗎?查看下本文，我們將討論什么是虛擬補(bǔ)丁，它的類(lèi)型以及它可以為您的應(yīng)用程序做什么。

成都創(chuàng)新互聯(lián)自2013年起，是專(zhuān)業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目成都網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)、外貿(mào)營(yíng)銷(xiāo)網(wǎng)站建設(shè)網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元文昌做網(wǎng)站,已為上家服務(wù),為文昌各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話(huà):028-86922220

美國(guó)個(gè)人信用評(píng)估機(jī)構(gòu)Equifax估計(jì)其與2017信息泄漏事件相關(guān)的損失將超過(guò)6億美元。不僅僅是Equifax遭受了巨大的經(jīng)濟(jì)打擊。事實(shí)上,由于過(guò)時(shí)的軟件，在過(guò)去的一年中有數(shù)十家其他組織的收入損失超過(guò)了1億美元。

根據(jù)Gartner的數(shù)據(jù)，99%的漏洞都不是零日漏洞。相反，它們大多是已知至少一年的漏洞。事實(shí)上，大多數(shù)IT基礎(chǔ)設(shè)施都同時(shí)包括了遺留平臺(tái)、未打補(bǔ)丁的軟件、過(guò)時(shí)的第三方組件和糟糕的補(bǔ)丁管理流程?？梢哉f(shuō)，壞人發(fā)現(xiàn)一個(gè)未及時(shí)修補(bǔ)漏洞的應(yīng)用程序要比發(fā)現(xiàn)一個(gè)零日漏洞容易得多。

為什么一直存在著補(bǔ)丁問(wèn)題?

大多數(shù)情況下，對(duì)最終用戶(hù)的應(yīng)用程序進(jìn)行打補(bǔ)丁可能非常簡(jiǎn)單。然而，對(duì)于企業(yè)軟件來(lái)說(shuō)，這就是一個(gè)完全不同的故事了。這是因?yàn)槠髽I(yè)軟件在本質(zhì)上更加復(fù)雜。在大多數(shù)情況下，為企業(yè)軟件安裝補(bǔ)丁是一個(gè)昂貴的手工過(guò)程，它由幾個(gè)嚴(yán)格的步驟組成，而且這些步驟不能總是在正常的工作時(shí)間內(nèi)完成，通常需要關(guān)鍵系統(tǒng)的離線。

但是停機(jī)對(duì)于企業(yè)來(lái)說(shuō)通常會(huì)造成極大的損失，為了避免停機(jī)，已經(jīng)有了一些策略和技術(shù)，比如滾動(dòng)更新、blue-green部署和canary發(fā)布。但這些策略通常非常復(fù)雜，極易出錯(cuò)，而且耗時(shí)，需要仔細(xì)的規(guī)劃以及進(jìn)行平臺(tái)和基礎(chǔ)設(shè)施的更改。此外，軟件的新版本還經(jīng)常附帶不向后兼容的新功能，并且有可能中斷應(yīng)用程序的正常運(yùn)行。

打補(bǔ)丁終究是一場(chǎng)必?cái)〉膽?zhàn)斗

根據(jù)Sonatype的說(shuō)法，每天都有超過(guò)10000個(gè)開(kāi)源組件的新版本發(fā)布，并提供了新的特性、bug修復(fù)和安全補(bǔ)丁。然而更令人吃驚的是，據(jù)Mitre統(tǒng)計(jì)，2017年出現(xiàn)了近15，000個(gè)新的漏洞。平均每天有41個(gè)新漏洞被揭露，或者每30分鐘就有一個(gè)新漏洞被揭露。

在攻擊者利用其固有優(yōu)勢(shì)進(jìn)行攻擊之前，根本沒(méi)有足夠的時(shí)間或資源及時(shí)地解決這些缺陷。因此，補(bǔ)丁工作向來(lái)是IT部門(mén)面臨的一個(gè)重大挑戰(zhàn)。顯然，與未修復(fù)的軟件風(fēng)險(xiǎn)相比，當(dāng)下的組織更看重截止日期，而不是降低生產(chǎn)力。通常情況下，團(tuán)隊(duì)會(huì)接受風(fēng)險(xiǎn)，并選擇在更“方便”的時(shí)間進(jìn)行修補(bǔ)，通常是每季度才會(huì)開(kāi)展一次修復(fù)工作甚至等待更長(zhǎng)的時(shí)間。然而，這種做法為別有用心的人創(chuàng)造了機(jī)會(huì)。

每當(dāng)有新補(bǔ)丁被發(fā)布來(lái)修復(fù)漏洞時(shí)，惡意行為者就會(huì)爭(zhēng)分奪秒地尋找那些沒(méi)有對(duì)系統(tǒng)進(jìn)行修補(bǔ)的組織并利用該漏洞。在安全警報(bào)公開(kāi)發(fā)布幾小時(shí)后就看到惡意活動(dòng)已經(jīng)成為一種常見(jiàn)的情況。根據(jù)Ponemon最近的研究，攻擊者成功利用漏洞平均需要三到六天的時(shí)間，而發(fā)現(xiàn)攻擊的時(shí)間要超過(guò)250天，另外還需要82天才可以控制攻擊。這就提出了一個(gè)關(guān)鍵的問(wèn)題:組織如何才能在延遲系統(tǒng)修復(fù)時(shí)間的同時(shí)保護(hù)他們的資產(chǎn)?

虛擬修補(bǔ)才是關(guān)鍵

虛擬補(bǔ)丁是指在不修改應(yīng)用程序源代碼、修改二進(jìn)制代碼或重新啟動(dòng)應(yīng)用程序的情況下，能夠即時(shí)建立的一個(gè)安全策略實(shí)施層，用來(lái)防止對(duì)已知漏洞的攻擊。使用虛擬補(bǔ)丁策略，組織可以在大幅減少補(bǔ)丁所需的成本、時(shí)間和工作之間取得很好的平衡，同時(shí)保持服務(wù)的可用性和正常的補(bǔ)丁周期。

虛擬補(bǔ)丁可用于臨時(shí)添加保護(hù)，使DevSecOps團(tuán)隊(duì)有時(shí)間根據(jù)自己的更新計(jì)劃部署物理補(bǔ)丁。虛擬修補(bǔ)程序也可以永久用于可能無(wú)法修補(bǔ)的遺留系統(tǒng)。

此外，由于沒(méi)有在磁盤(pán)上更改應(yīng)用程序文件，因此引入沖突或不兼容的可能性也較小。

另外，軟件供應(yīng)商通常以捆綁的方式發(fā)布其安全修復(fù)程序，這些修補(bǔ)程序只能選擇全部安裝或者全部不安裝。當(dāng)其中一個(gè)修復(fù)程序?qū)е聭?yīng)用程序出現(xiàn)功能問(wèn)題時(shí)，就必須卸載整個(gè)安全包。

但虛擬補(bǔ)丁能夠允許組織挑選對(duì)其環(huán)境重要的補(bǔ)丁，并允許它們回滾與應(yīng)用程序功能不兼容的特定補(bǔ)丁。

虛擬補(bǔ)丁的類(lèi)型

虛擬補(bǔ)丁最初是幾年前由IPS/IDS社區(qū)首創(chuàng)的。后來(lái)，虛擬補(bǔ)丁被引入WAF領(lǐng)域，最近，RASP產(chǎn)品也提供了類(lèi)似的功能。

不過(guò)，有必要說(shuō)明的是，并非所有的虛擬補(bǔ)丁解決方案都是一樣的。一般來(lái)說(shuō)，我們可以根據(jù)能夠交付的補(bǔ)丁質(zhì)量對(duì)虛擬補(bǔ)丁進(jìn)行分類(lèi)。

第一種類(lèi)型的虛擬補(bǔ)丁完全基于對(duì)網(wǎng)絡(luò)流量的分析。提供這種類(lèi)型的虛擬補(bǔ)丁的系統(tǒng)使用簽名、正則表達(dá)式和模式匹配來(lái)識(shí)別惡意活動(dòng)并阻止相應(yīng)的請(qǐng)求。

第二種類(lèi)型的虛擬修補(bǔ)基于相同的原理;但是，它提供了一種更健壯的方式來(lái)指定阻止請(qǐng)求的標(biāo)準(zhǔn)，可以使用規(guī)則語(yǔ)言和狀態(tài)管理等功能。ModSecurity就是這種虛擬補(bǔ)丁解決方案的一個(gè)例子。

這些類(lèi)型的虛擬修補(bǔ)有幾個(gè)缺點(diǎn)。由于它們?nèi)狈ι舷挛母兄哪芰?，這些虛擬補(bǔ)丁技術(shù)會(huì)產(chǎn)生大量的誤報(bào)和漏報(bào)。因?yàn)楹灻湍Ｊ狡ヅ涫菃l(fā)式的方法，不能提供高效所需的準(zhǔn)確性。所以,這類(lèi)寫(xiě)得不好的虛擬補(bǔ)丁可能會(huì)阻塞合法的流量，干擾應(yīng)用程序的正常執(zhí)行，給必須過(guò)濾掉錯(cuò)誤警報(bào)的安全團(tuán)隊(duì)增加額外的工作量。因此使用這種類(lèi)型的虛擬補(bǔ)丁，并不能帶來(lái)安全上的質(zhì)的提升。好的補(bǔ)丁修復(fù)程序不應(yīng)該依賴(lài)于工程師的技能和他們編寫(xiě)虛擬補(bǔ)丁簽名的能力。

此外，這種類(lèi)型的補(bǔ)丁需要經(jīng)常修改。對(duì)于Web應(yīng)用程序來(lái)說(shuō)，只要易受攻擊的URL或HTTP參數(shù)進(jìn)行了更改，虛擬修補(bǔ)程序就會(huì)失效并需要進(jìn)行重新配置。

更重要的是，這些方法事實(shí)上只是保護(hù)了特定的輸入，沒(méi)有保護(hù)易受攻擊的組件。如果有多個(gè)入口點(diǎn)導(dǎo)致了相同的受攻擊組件，虛擬補(bǔ)丁則無(wú)能為力。

所以說(shuō)上述方法提供了“修補(bǔ)”功能是言過(guò)其實(shí)的，因?yàn)榧词乖趹?yīng)用了虛擬修補(bǔ)程序之后，代碼仍然容易受到攻擊。這就是為什么有些人將這些方法稱(chēng)為“漏洞屏蔽”，而不是修復(fù)的原因了。

第三種類(lèi)型是虛擬補(bǔ)丁的自然演變，它利用了當(dāng)代運(yùn)行時(shí)平臺(tái)(如Java虛擬機(jī)和公共語(yǔ)言運(yùn)行時(shí))的即時(shí)編譯器。在應(yīng)用程序內(nèi)部，只要能夠在執(zhí)行每條指令之前控制它，就可以實(shí)現(xiàn)真正的虛擬補(bǔ)丁?，F(xiàn)在，在不修改應(yīng)用程序的源代碼或二進(jìn)制文件的情況下，交付一個(gè)在功能上與供應(yīng)商的物理補(bǔ)丁相同的虛擬補(bǔ)丁是可行的，同時(shí)又能確保組件得到適當(dāng)?shù)男扪a(bǔ)，不再容易受到攻擊。

運(yùn)行時(shí)編譯管道中的虛擬補(bǔ)丁是社區(qū)從一開(kāi)始就渴望實(shí)現(xiàn)的虛擬補(bǔ)丁類(lèi)型。WAF/IDS工程師們雖然預(yù)見(jiàn)到了虛擬修補(bǔ)的吸引力，但是由于缺乏對(duì)運(yùn)行時(shí)平臺(tái)的控制以及將這種解決方案置于應(yīng)用程序之外的架構(gòu)限制，迫使虛擬修補(bǔ)或多或少成為了一種復(fù)雜的輸入/輸出驗(yàn)證解決方案。

但這并不意味著這些類(lèi)型的虛擬補(bǔ)丁沒(méi)有用處。相反，在某些情況下，應(yīng)用輸入驗(yàn)證型虛擬補(bǔ)丁是有意義的。比如，考慮到那些遺留系統(tǒng)和生命周期結(jié)束系統(tǒng)的情況，或者供應(yīng)商沒(méi)有發(fā)布安全修復(fù)程序的情況。最近，Sonatype發(fā)現(xiàn)，84%的開(kāi)源項(xiàng)目沒(méi)有修復(fù)已知的安全缺陷。對(duì)于這種情況，基于輸入驗(yàn)證類(lèi)型的虛擬補(bǔ)丁的補(bǔ)償控制可能是保護(hù)這種系統(tǒng)的唯一方法。

虛擬補(bǔ)丁已經(jīng)發(fā)展到了這樣的一個(gè)程度，它可以是一個(gè)自動(dòng)化的過(guò)程，幾乎不需要人工干預(yù)，并且與物理補(bǔ)丁一樣有效，甚至更健壯。隨著法規(guī)遵從性方案要求更嚴(yán)格的補(bǔ)丁程序管理流程，安全團(tuán)隊(duì)在漏洞和補(bǔ)丁程序管理程序中采用虛擬補(bǔ)丁策略的時(shí)機(jī)已經(jīng)到來(lái)了。

虛擬修補(bǔ)有多種類(lèi)型，每種類(lèi)型都有自己的優(yōu)勢(shì)。當(dāng)團(tuán)隊(duì)評(píng)估他們的補(bǔ)丁需求時(shí)，他們必須確保自己心中有一個(gè)明確的目標(biāo)，那就是他們?yōu)槭裁匆蜓a(bǔ)丁，以及他們想要實(shí)現(xiàn)怎樣的目標(biāo)。對(duì)未修復(fù)的底層軟件缺陷的已知簽名的屏蔽是否已經(jīng)足夠?還是說(shuō)需要的是一個(gè)在功能上等同于物理補(bǔ)丁并能夠修復(fù)所需軟件缺陷的虛擬補(bǔ)丁?

原文地址：Overview and Evolution of Virtual Patching，作者：Apostolos Giannakidis

【譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為.com】

新聞名稱(chēng)：虛擬補(bǔ)丁技術(shù)的概念介紹及其發(fā)展演變
標(biāo)題URL：http://m.5511xx.com/article/dpcgohe.html