从微补丁应用看漏洞修复技术的发展与挑战
日期:2022年06月16日 阅:98
在大数据分析、人工智能等新一代网络安全技术大量应用的时代,漏洞修补和补丁更新这项传统而基础的安全工作并没有变得微不足道,它仍然是企业整体网络安全计划中不可或缺的重要组成部分。而且,随着企业网络基础架构的扩展和数字化建设的深入,今天的漏洞修复工作所面临的困难和挑战正在呈指数级快速增长,做好补丁管理对企业组织来说并不是一件容易的事情。
漏洞修复的困难与挑战
相关研究报告显示,企业组织目前发现漏洞后的平均修复时间(即安全更新缺口)为60.3天。这给了攻击者60天的时间来查找和利用存在该漏洞的系统。可惜,许多企业组织却不会有这么长的时间来修复漏洞。一旦相关安全漏洞信息通过网络被公之于众,利用它的恶意软件通常会在48小时内出现,企业组织往往疲于应对。研究人员还发现,有许多漏洞在被发现后根本没有得到修复,有很多最新的恶意软件和勒索软件变种实际上还是在利用5年或更久前的CVE漏洞。
造成漏洞修复工作迟缓或有遗漏的影响因素有很多,主要包括:
• 漏洞的数量太多并在增长不断,这对经常升级IT基础架构的企业更是如此,因为这会带来更多的漏洞需要修补;
• 企业IT治理能力不足。随着网络设施和业务系统越来越复杂,大部分企业的IT体系架构零散,缺乏标准化,包含不同的操作系统、中间件和数据库等。当企业收到相关厂商分析和修复漏洞后提供的修补版本时,由于要严格测试更新之后,才可以部署到生产系统,这个过程可能将历时数周甚至数月;
• 担心影响业务的持续性。很多企业包括业务人员都认为业务比安全更重要。企业之所以常常拒绝关闭运行中程序以重启系统、打上漏洞补丁,不是因为他们不想这么做,而是认为修补的工作耗时太长,必然会影响业务,消耗公司成本,因此往往会将此项工作延后,甚至会被遗忘;
• 超过生命周期的及无法修补漏洞的系统,很多已经被厂商停止更新的系统和应用程序无法获得更新,大部分企业现在仍然有很多关键核心的业务运行在这种操作系统和应用上。
微补丁的应用价值
以上因素让攻击者有了可乘之机,这也表明企业组织需要采用更有效的补丁模式来进行漏洞修补工作。
在此背景下,一种可以缩短漏洞修复时间的可行方法出现了,这种方式被称为“微补丁(micropatching)”,即使用一小段代码来修复单个漏洞,无需重启系统,这将大大降低补丁更新的工作量,同时避免了业务应用的中断。
但相比传统的热修复程序更新通常解决诸多问题,甚至可以添加新功能来说,微补丁只使用尽可能少的代码来修复针对性的安全漏洞问题,旨在尽量减少可能影响基准功能的副作用。这意味着补丁本身很小巧,它的使用只会涉及最小范围中的几个因素:补丁、易受攻击的应用程序、打补丁的位置以及补丁代码本身。
微补丁的优势主要体现在以下几方面:
•快捷。由于在测试补丁是否会干扰基准功能方面所花的时间少很多,微补丁可以在数小时内完成部署。
•简单。可以在本地或远程快速部署和删除微补丁,这也简化了生产环境测试流程。
•尽量延长正常运行时间。微补丁不需要停机,因为它并不替换或修改可执行文件和运行中文件。微补丁部署在内存中,无需重启软件或系统即可完成,因此用户和关键系统能够继续不受干扰地工作。这种技术名为函数挂钩(function hooking),存在已有一段时日。以微补丁为例,函数挂钩用于在运行中进程的某个点注入补丁代码,以便软件绕过易受攻击的代码。
一些支持者还声称,微补丁可以保护遗留的、报废的、不受支持的产品,比如Office 2010、Java Runtime Environment、Windows 7和Server 2008 R2,并且使它们可以安全使用,尽管相应的厂商不再支持它们。总之,微补丁在速度、易用性和非干扰性方面,可以帮助用户缩小安全更新缺口。这反过来使黑客更难利用流行的攻击途径实施非法活动,比如缓冲区溢出和动态链接库注入等。
微补丁的挑战与发展
目前,微补丁还无法修复应用程序设计中的逻辑缺陷或脚本代码中的漏洞(比如PHP和Python),原因是代码仅在运行时被解释。
虽然微补丁使厂商和开发人员能够快速、自动地向用户交付修复程序,但安全团队需要在验证补丁的可信度之后才能部署。通常,传统厂商补丁来自可信赖、安全的服务器。但是如果没有类似的可信赖基础设施,用户就无法确保来自第三方提供商的微补丁安全性,不能确定其是否被添加了恶意代码或为访问敏感的API和数据提供便利。
此外,由于许多软件厂商目前认为微补丁是未经批准的带外补丁,微补丁可能还存在违反许可条款和条件的风险。
微补丁在成为主流选择之前还有一段路要走,但很多研究机构已经在关注并积极尝试。目前,美国国防高级研究计划局已经启动可靠微补丁(AMP)研究计划。该项目团队与亚利桑那州立大学网络安全和数字取证中心等组织的研究人员合作,旨在支持对关键任务型系统中的遗留二进制代码打上补丁。
安全研究人员认为,未来的安全微补丁服务将主要从第三方供应商处获得,而非原始软件供应商。如果一套可信赖的安全漏洞管理微补丁生态系统发展起来,并能够为所有主流的操作系统和软件产品及时、可靠地创建微补丁,那么,企业组织就可以实现更加快捷、灵活的补丁管理策略,将漏洞隐患控制在最小的范围内。
据了解,目前已经有一些创新性安全公司开始专门为某些操作系统提供修补漏洞的微补丁程序,并作为一项服务对外出售,订阅此类服务的系统应用和网络设备可以第一时间获取并应用最新发布的微补丁。