Stuxnet攻击引发了对零日(zero-day)弱点漏洞的关注。它震撼了IT安全管理人的信心,迫使安全专业人员做出解决方案。不过就如同Raimund Genes在最近一次的视频博客中所指出的,零日弱点漏洞被过度夸大了,原因如下:
首先,该四个被Stuxnet利用的零日弱点漏洞皆非常昂贵。受利益趋使的网络犯罪份子在正常状况下,不会在一次的攻击中利用到这么多个弱点漏洞。
第二,未经修补的系统已有大量的受害者让攻击者乘胜追击。
第三,发送恶意链接让接受者点击是一个更加简明的入侵途径,而总是有人会掉入此陷阱中。
Raimund Genes敦促大家将焦点放在常在网络间受入侵的已知弱点漏洞上。
Raimund的谈话强调了修补的重要性。大型公司设有修补政策与系统,在程序应用前皆需事先进行完整的修补测试。这会延误防护(有时修补程序经过数周后才会发布),也表示执行重要任务的服务器会暴露在受入侵的风险中。
这套程序也需考虑到第三者的应用程序也成了黑客最常使用的攻击路径。过去Adobe的Acrobat/Reader和Flash Player程序是最大的第三者目标,最近的发展则渐趋向利用Java的弱点漏洞。
IT安全管理员可采用深入的防御策略来保护自己。他们应该:
·布署弱点漏洞扫瞄器,扫瞄系统中未经修补,易受入侵的应用程序。并随之辨识问题所在即刻予以解决处理。
·在每一个系统中布署端点防护(如防病毒软件),并经常进行强制扫瞄。
·使用一套可在系统管理者完成测试并推出修补程序前,提供“虚拟修补”的入侵防护系统。
·了解在公司内部的网络中有些什么。系统管理员应谨慎地管理安装在服务器和终端用户计算机上的操作系统与应用程序。随时更新软件以确保这些软件不会带来额外的风险。如果可行,使用中央化的下载服务器,并避免使用者直接安装从外部而来的(压缩的)可执行文件。
尽管有完善的修补流程,仍然会有某些挑战的存在,如:
·虚拟机由于是长时间脱机储存(例如没有运作),因此在扫瞄弱点漏洞和恶意软件时相当具挑战性。不过这些VMs虚拟机在进行修补前需要先进行运作。选择备有VM虚拟机功能的IPS入侵防护系统将会对此有所帮助。
·以长远发展来看,需考虑在手持装置如iPod、iPhones及BlackBerry黑莓机上设置应用程序的防护。
网络上多数的入侵皆针对已知的弱点漏洞,而不是新发现的零日弱点漏洞。我们曾看过客户几乎10年以来未曾对有弱点的应用程序进行更新。下一次当你听到入侵破坏时,请自问:“我最近修补过所有的系统了吗?”