上週我們探討關於安全性弱點的懸賞計畫,也就是Bug Bounty,並且製作了887期封面故事《化被動為主動,企業開始懸賞抓漏》,接下來我們談談「修補」,不過,這裡想討論的議題並不是關於安裝「安全性補充程式」,而是虛擬修補(Virtual Patching)。

之所以要剖析這個議題,源自於今年趨勢CloudSec企業資安高峰論壇的一場演講,我們的技術編輯周峻佑撰寫了〈免於不斷執行修補的情況重複發生,IPS虛擬修補重新浮上檯面〉,無獨有偶,前一週,他剛好追蹤了一篇關於漏洞重複遭到濫用的外電新聞,寫成了〈修補完成馬上就破功,駭客多次針對VBScript發動零時差攻擊〉,這兩件事的出現,讓我們驚覺過往的資安漏洞修補過程,並不如大家認知的那般理想,而且這些都屬於已知漏洞的管理,如果用戶按部就班的處理,也設法落實修補程式的全面部署,尚且不能徹底、完全修補已知漏洞,那麼,問題可大了!

既然無法單純仰賴漏洞修補程式,我們還有其他方法嗎?的確,有識之士可能會先想到的,是網路入侵防禦系統(IPS)所強調的虛擬修補,不過,現在還有其他資安產品,也能應用這樣的概念來抵禦濫用漏洞的各種行為,像是網站應用程式防火牆(WAF)就是很典型的例子,如果我們目前在網路上搜尋「Virtual Patching」,也經常會看到相關的技術是用於網站的防護。

然而,虛擬修補的概念很抽象,不太容易跟一般人解釋,這讓我想起金庸小說裡面,應該有類似場景,可以借鏡。

像是在《笑傲江湖》裡面,對於弱點的防護,也提出了一些令人佩服的見解。對於書中人人爭欲得知的辟邪劍法或葵花寶典,習得眾多破招祕訣的令狐沖也無可奈何,他觀察到關鍵在於「對方劍招太快,破綻一現即逝,難加攻擊。」這是因為,對方「身如電閃,快得無與倫比,雖然身法與招數之中仍有破綻,但這破綻瞬息即逝,待得見到破綻,破綻已然不知去向,決計無法批亢搗虛,攻敵之弱。」

重點在於你必須比敵人更快!或許不能根治這些無法及時修復的問題,但你仍然要同時應用其他各種可行的手段,而不是坐以待斃。簡而言之,雖然攻擊者在掌握已知漏洞之後,已經很快找出濫用、滲透的方法,並且發起了行動,但身為防守端的企業,還是有辦法借助具有相關識別與控制能力的網路資安設備、主機防護系統,設法阻絕這些非法、可疑的存取行為,爭取到更多緩衝時間,而不是在這段期間毫無設防,只能提心吊膽,等待廠商發布修補程式。

除此之外,在探討這個議題的過程中,我們也發現有人開始發展新的做法,稱為應用程式執行時期自我防護(Runtime Application Self-Protection,RASP)。在今年的DevOps Day Taipei大會上,也有一場「DevOps: Security 干我何事?」提到這個概念,有些廠商已經開始利用RASP,從程式碼的層級來實作虛擬修補的概念,後勢可期。

在此同時,市面上還出現一些有別於修補概念的端點防護系統,也能延伸到漏洞濫用行為的抵禦功能,例如,運用隨機化、動態變形處理技術作為主要訴求的產品。

總體而言,無論採取何種方法來抵禦漏洞濫用攻擊,有效性和周延性當然是不可或缺,但就周星馳的電影「功夫」所言,「天下武功,無堅不摧,唯快不破」,我們必須盡可能地快速填補漏洞,快到讓駭客抓不住行蹤,也許就少了一些被攻擊的機會。

作者簡介


Advertisement

更多 iThome相關內容