从周二补丁日和0Day谈杀软和IPS

【.com 独家特稿】大部分普通电脑用户最关心哪家公司的漏洞补丁？答案一定是微软了。由于微软的补丁量很大，为此他们指定了一个周二补丁日，也就是所谓的“Patch Tuesday”来统一发放补丁。之所以选择星期二，是为了避开繁忙的星期一。当然，非常紧急的补丁还是可以随时发布的。那这些补丁的作用是什么呢?当然是修补哪些0day了。 

2009年6月9日，微软开始发布自2003年10月以来数量最大的一次安全更新。也是涵盖系统范围最广的一次。包括Windows 2000/2003/2008、Windows XP、Windows Vista在内，包含了10个新的安全更新，修补了31个漏洞。连微软非常倚重的IE8，也没有逃过此劫。虽然这次的大规模补丁修补了IE、Office等很多漏洞，但仍然有一些诸如Direct Show这类的漏洞没有得到修补。那些掌握着0day的骇客们，已经开始在网络上展开了热火朝天的挂马和入侵活动。必须抢在补丁发布之前攻击更多的计算机，他们的目的很明确。 

零日威胁（0day）的危害，已经成为各大安全公司头疼的主要因素。调查显示，在来自美国、欧洲及亚太地区的250名CIO、CSO、IT经理及网络管理员中，有54%的人将零日威胁视为最大的安全隐患；其次是黑客威胁，其关注度为35%；恶意软件和间谍软件则紧随其后，以34%的关注度排在第三。 

虽然很多厂商可以加入类似MAPP这样的微软漏洞分享组织，但在地下流动的那些尚未公布的漏洞，连微软自己也很受困扰。它们有的成为“愚人飞客”（Conficker）这样的蠕虫传播媒介，有的则成为挂马者获取肉鸡的邪恶武器。 

 （编者注：微软MAPP计划全称为Microsoft Active Protections Program，它致力于为互联网反病毒环境提供一个漏洞信息的共享平台，可以让合作伙伴及时获知有关漏洞的相关信息。） 

面对那些未公布的0day攻击，安全厂商们一般怎么做？ 

据笔者了解，很多厂商都会部署“蜜罐”系统来做第一时间的0day样本收集。 

（编者注：“蜜罐”（或称Honeypot）就是一台不采取任何安全防范措施而且连接着网络的计算机，这就像狙击手为了试探敌方狙击手的实力而用枪支撑起的钢盔，蜜罐通过被入侵而记录下入侵者的一举一动，目的是为了使管理员能更好地分析入侵者的攻击方法和所用漏洞，今后才好加强防御。同样，病毒“蜜罐”除了具有安全措施不完备的特点外，还需要有完备的记录程序来记录病毒或黑客的种种“恶行”。）

包括McAfee、卡巴斯基这样的厂商，他们会在世界各地放置很多这样的机器，用来截获样本，制作反病毒疫苗等等。当然，“蜜罐”机器的数量，取决于厂商的实力。

另外一种获取0day的方法，和安全厂商的产品覆盖面有一点关系。

一个安全产品要想识别出更多的网络威胁，它的覆盖面一定得广。简单的说，国内外各种各样的骇客和病毒，多少得与之较量过。久经沙场、见识渊博的安全产品，面对威胁的处理方式会更成熟有效一些。特别是加上云计算的协助，会使威胁再度降低。举个例子来说吧，在美国发现一个0day，马上就能截获并传送到云端服务器中，然后云端服务器经过计算和处理之后，将该0day攻击特征传送到各大洲的用户终端，这样中国及其他国家的用户就不会再受此0day的威胁了。

据笔者了解，McAfee应该算目前国际上用户量相当大的一个安全厂商了。DELL、联想、HP这三家巨头在售出的PC中大量预装了McAfee。这给他们获取大量0day样本，快速制作疫苗提供了便利。

但是，杀毒软件再怎么说也是终端安全的一种防御工具。在面对与日俱增的零日威胁和越来越狡猾的骇客手段，被动防护的防火墙、入侵检测系统，已经无法阻止攻击者的脚步，网关级的安全又要怎么做才更有效呢？

这个时候，IPS开始走进人们的视野。这种倾向于提供主动防护、主动拦截和告警的产品，弥补了深层防御和即时更新的不足，有效遏制了零日威胁和骇客的进攻。在很多要求严格、架构复杂的网络中，开始越来越多的出现IPS的身影。

对用户来说，IPS的安全性和性能保持很重要

目前市面上很多IPS产品在大流量的网络环境下表现一般，很多还没开始支持10G网络。还有一些产品，在打开部分保护的情况下，网络性能下降很多，保护全部打开，网络性能就惨不忍睹了。这确实是很多IPS用户目前关心的问题。

带着这个疑问，笔者采访了McAfee北亚太网络安全产品总监Jason Yuan先生。

听完笔者的问题之后，Jason Yuan先生笑了笑说，“其实我们McAfee的IPS产品，很早就支持10G网络了。而且保护全部打开后，网络性能依然会保持在较好的范围内，用户可放心使用。”

看到笔者略带疑惑的表情，Jason Yuan拿出了一张印有McAfee和同类IPS技术对比的图表，仔细的向笔者做了介绍。和其他厂商的产品有所不同，McAfee的IPS在面对已知或未知的网络攻击之前，会在很短的时间内从服务器获得攻击的特征签名，这样，类似的攻击过来，只要特征一致就会全部挡住。而其他一些厂商是不停的给自己的IPS打虚拟补丁，这样既浪费了带宽，又降低了效率。

那面对TippingPoint提出的“零日计划（ZDI）”，McAfee是否有相似的活动或计划呢？

面对笔者的追问，Jason Yuan先生耐心的回答道：“McAfee公司目前有300多人的漏洞挖掘团队，遍布世界各地多个国家，他们都是这一行非常优秀的技术人员。大量未公布的0day，会被他们找出并在产品中加以控制。所以，我们不需要向其他一些厂商那样去购买漏洞。而且，这种购买漏洞的行为，似乎会给黑客一种攻击是可以得到奖励的错误暗示，社会影响也不太好。”

听完Jason Yuan先生的一席话，笔者对网络威胁、0day、杀毒软件和IPS的世界又有了进一步的认识。但由于时间的关系，笔者不能和Jason Yuan先生做更多的交流。不过在看过了安全威胁、杀毒软件、IPS等一系列安全产品之后，笔者又有了个新的疑问，到底是终端安全产品重要呢？还是网关安全产品重要？也许，这应该是我下次遇到这位安全专家时，值得一问的问题。

（编者注：零时差项目(ZDI)是一个旨在负责任地披露漏洞信息的对安全研究人员实施奖励的项目。以前该项计划一直专注于欧美地区，近年来也渐渐加大了面向中国地区的关注。）

【.COM 独家特稿，转载请注明出处及作者！】

【责任编辑：王文文 TEL：（010）68476606】