教你打造個人無敵系統全攻略

Slammer、SoBig、Blaster等蠕蟲病毒的共同特點就是攻擊系統漏洞,造成大規模的網路中斷。儘管在這些病毒爆發之前,阻擋它們的補丁程式已經問世,然而依然不能有效扼制病毒的蔓延,造成這一現象的主要原因在於修補系統不得力。

修補系統之所以艱鉅,原因有兩點:一是從安全漏洞被披露到黑客利用漏洞發起攻擊,時間間隔越來越短,使用者沒有足夠的時間去修補系統;二是大量客戶機成為病毒攻擊的目標和幫凶,使病毒傳播得更廣泛、更迅速。除了Windows外,路由器、交換機、防火牆、Unix以及Linux也成為病毒攻擊的目標。專家們認為,修補系統是一項長期工程,人們需要做好長期戰鬥的準備。

修補前的準備

International Network Services公司的高階系統諮詢師Nicastro認為,修補系統是一個控制過程,許多使用者忽略了這一點,沒有對補丁程式進行持之以恆的監視、評估、測試、部署和驗證。同時,修補系統不是一個人就能完成的,而是需要安全小組、運營小組和開發人員的共同努力。

網路的無序擴充套件是網路安全的頭號大敵。使用者必須實時掌握網路資產的現況,建立網路資產清單,瞭解網路資產的變化,認真整理各項記錄,計算修補成本,確立優先修補計劃。以上環節缺少任何一環,系統修補工作就難以進行。

編制資產清單即弄清什麼機器執行什麼應用,需要使用者進行大量工作。編制資產清單常常需要花費一定的時間。資產清單與資產管理和配置管理緊密相連,需要專人負責。修補系統是一個物理過程,人們必須利用有效的組織結構來保障實施這一過程,成立安全事件響應小組就是最好的辦法。安全事件響應小組可以有組織地管理系統漏洞,針對每一漏洞迅速做出響應,對照資產清單中的每一種裝置,查詢安全漏洞的所在位置,每週更新一次資產清單。

如何修補

修補系統的流程可以歸納四步:密切跟蹤漏洞的變化;反覆測試補丁程式;由點到面分發部署補丁程式;驗證修補後的裝置是否完整和正常執行。

修補系統的過程開始於監視安全漏洞和為資產清單中的裝置尋找補丁程式。一旦某種安全漏洞被確定為威脅,安全小組應立即開始著手測試補丁程式。如果使用者缺少建立實驗環境的資金,使用者至少應當設法模擬關鍵業務系統的環境。測試補丁程式之後,使用者需要完成補丁的分發、部署、例外處理、跟蹤、報告等工作。修補系統與消防滅火有些類似,在必要時使用者應該將蠕蟲或病毒隔離在網段上,然後再啟動修補流程。

Rackspace公司的CTO Engates先生認為,修補路由器和防火牆與升級軟體的版本非常相似。該公司由一名網路工程師專職負責跟蹤防火牆和路由器的漏洞資訊。在確定一個補丁程式後,該工程師通知IT主管,如果補丁是用於修補某個關鍵缺陷的,相關資訊被直接傳送給負責工程的副總裁,由副總裁親自組織實施修補系統。補丁程式在 Rackspace公司的實驗室中進行測試,實驗室設有一個按比例縮小的企業網路模型。測試時間取決於補丁程式的大小。補丁程式在預先安排的維護視窗中進行部署,安全小組評估修補過程。 

Engates認為,修補伺服器與修補防火牆略有不同。Linux是一種獨特的平臺,Rackspace公司沒有正規的Linux配置管理工具,更多地需要藉助手工操作。好在Linux出現問題的概率要小於Windows。當 Engates確定Windows伺服器上存在安全漏洞時,立即執行一個類似修補防火牆的流程,補丁測試至少進行48小時,以保證不出現問題。如果出現問題,Engates就會暫停部署補丁程式,請求微軟提供技術支援,儘管這項服務是收費服務,但Engates認為與微軟保持密切關係非常重要。

修補客戶機

確定修補範圍是許多使用者面臨的一個挑戰。在過去四個月裡,攻擊不再僅限於伺服器,而指向了客戶機。以前修補客戶機是一種週期性的自然升級,而現在這種作法不再有效。

蠕蟲的傳播速度十分迅速,人們往往來不及關閉客戶機的網路埠。在Blaster發作初期,微軟建議關閉135埠來阻止蠕蟲傳播,但是Pitney Bowes公司安全經理Giambruno先生認為關閉這個埠實際上是一種拒絕服務攻擊。目前,Pitney Bowes公司開始將自動修補伺服器的過程擴充套件到客戶機。在Blaster爆發之後,Pitney Bowes公司部署了BigFix管理軟體,這種軟體可以全面觀察Pitney Bowes公司跨越18個國家的廣域網路。如果有人關閉桌面系統上的防病毒軟體,BigFix就會重新啟動防病毒軟體,如果客戶端沒有安裝防病毒軟體,BigFix就會自動安裝它。

修補系統的“五必須”和“四不要”

必須建立補丁管理小組以跟蹤系統漏洞的變化。

必須建立評估、測試、部署補丁的流程。

必須選擇一套支援補丁管理的工具軟體。

必須制定檢驗補丁執行效果的流程。

必須在發生緊急情況時,首先將隱患或蠕蟲隔離起來。

不要在沒有建立資產清單的情況下就開始修補。

不要認為一種補丁管理工具就可以解決所有問題。

不要推遲部署已被確認是十分重要的補丁程式。

不要認為攻擊只來自外部而不來自內部,事實上由受感染的內部客戶機發起的攻擊已經普遍存在