Slammer、SoBig、Blaster等蠕虫病毒的共同特点就是攻击系统漏洞,造成大规模的网络中断。尽管在这些病毒爆发之前,阻挡它们的补丁程序已经问世,然而依然不能有效扼制病毒的蔓延,造成这一现象的主要原因在于修补系统不得力。
修补系统之所以艰巨,原因有两点:一是从安全漏洞被披露到黑客利用漏洞发起攻击,时间间隔越来越短,用户没有足够的时间去修补系统;二是大量客户机成为病毒攻击的目标和帮凶,使病毒传播得更广泛、更迅速。除了Windows外,路由器、交换机、防火墙、Unix以及Linux也成为病毒攻击的目标。专家们认为,修补系统是一项长期工程,人们需要做好长期战斗的准备。
修补前的准备
International Network Services公司的高级系统咨询师Nicastro认为,修补系统是一个控制过程,许多用户忽略了这一点,没有对补丁程序进行持之以恒的监视、评估、测试、部署和验证。同时,修补系统不是一个人就能完成的,而是需要安全小组、运营小组和开发人员的共同努力。
网络的无序扩展是网络安全的头号大敌。用户必须实时掌握网络资产的现况,建立网络资产清单,了解网络资产的变化,认真整理各项记录,计算修补成本,确立优先修补计划。以上环节缺少任何一环,系统修补工作就难以进行。
编制资产清单即弄清什么机器运行什么应用,需要用户进行大量工作。编制资产清单常常需要花费一定的时间。资产清单与资产管理和配置管理紧密相连,需要专人负责。修补系统是一个物理过程,人们必须利用有效的组织结构来保障实施这一过程,成立安全事件响应小组就是最好的办法。安全事件响应小组可以有组织地管理系统漏洞,针对每一漏洞迅速做出响应,对照资产清单中的每一种设备,查找安全漏洞的所在位置,每周更新一次资产清单。
如何修补
修补系统的流程可以归纳四步:密切跟踪漏洞的变化;反复测试补丁程序;由点到面分发部署补丁程序;验证修补后的设备是否完整和正常运行。
修补系统的过程开始于监视安全漏洞和为资产清单中的设备寻找补丁程序。一旦某种安全漏洞被确定为威胁,安全小组应立即开始着手测试补丁程序。如果用户缺少建立实验环境的资金,用户至少应当设法模拟关键业务系统的环境。测试补丁程序之后,用户需要完成补丁的分发、部署、例外处理、跟踪、报告等工作。修补系统与消防灭火有些类似,在必要时用户应该将蠕虫或病毒隔离在网段上,然后再启动修补流程。
Rackspace公司的CTO Engates先生认为,修补路由器和防火墙与升级软件的版本非常相似。该公司由一名网络工程师专职负责跟踪防火墙和路由器的漏洞信息。在确定一个补丁程序后,该工程师通知IT主管,如果补丁是用于修补某个关键缺陷的,相关信息被直接发送给负责工程的副总裁,由副总裁亲自组织实施修补系统。补丁程序在Rackspace公司的实验室中进行测试,实验室设有一个按比例缩小的企业网络模型。测试时间取决于补丁程序的大小。补丁程序在预先安排的维护窗口中进行部署,安全小组评估修补过程。
Engates认为,修补服务器与修补防火墙略有不同。Linux是一种独特的平台,Rackspace公司没有正规的Linux配置管理工具,更多地需要借助手工操作。好在Linux出现问题的概率要小于Windows。当Engates确定Windows服务器上存在安全漏洞时,立即执行一个类似修补防火墙的流程,补丁测试至少进行48小时,以保证不出现问题。如果出现问题,Engates就会暂停部署补丁程序,请求微软提供技术支持,尽管这项服务是收费服务,但Engates认为与微软保持密切关系非常重要。
修补客户机
确定修补范围是许多用户面临的一个挑战。在过去四个月里,攻击不再仅限于服务器,而指向了客户机。以前修补客户机是一种周期性的自然升级,而现在这种作法不再有效。
蠕虫的传播速度十分迅速,人们往往来不及关闭客户机的网络端口。在Blaster发作初期,微软建议关闭135端口来阻止蠕虫传播,但是Pitney Bowes公司安全经理Giambruno先生认为关闭这个端口实际上是一种拒绝服务攻击。目前,Pitney Bowes公司开始将自动修补服务器的过程扩展到客户机。在Blaster爆发之后,Pitney Bowes公司部署了BigFix管理软件,这种软件可以全面观察Pitney Bowes公司跨越18个国家的广域网络。如果有人关闭桌面系统上的防病毒软件,BigFix就会重新启动防病毒软件,如果客户端没有安装防病毒软件,BigFix就会自动安装它。
修补系统的“五必须”和“四不要”
■ 必须建立补丁管理小组以跟踪系统漏洞的变化。
■ 必须建立评估、测试、部署补丁的流程。
■ 必须选择一套支持补丁管理的工具软件。
■ 必须制定检验补丁运行效果的流程。
■ 必须在发生紧急情况时,首先将隐患或蠕虫隔离起来。
■ 不要在没有创建资产清单的情况下就开始修补。
■ 不要认为一种补丁管理工具就可以解决所有问题。
■ 不要推迟部署已被确认是十分重要的补丁程序。
■ 不要认为攻击只来自外部而不来自内部,事实上由受感染的内部客户机发起的攻击已经普遍存在。