IPS虚拟补丁虽好 企业网管员可不要贪用

    RSA 2010大会上安全专家称虚拟补丁修复对网络漏洞来说可能是种有效的短期修复方式，但它不能替代对系统和应用适当地修复部署工作。

　　在有关网络安全发展的小组讨论会上，汽车制造商戴姆勒公司的基础设施安全经理Peter J. Kunz很赞成使用IPS(入侵防御系统)和漏洞管理产品来对应用和系统中的漏洞进行虚拟修复，并试图阻止潜在的恶意网络流量到达那些网络的位置。

　　Kunz说Daimler正考虑通过其IPS系统来实施虚拟补丁修复，它将3Com公司的TippingPoint和Redwood Shores的技术融合起来形成一种单项优势软件(best-of-breed)。

　　他说，Daimler的环境中有许多旧系统的IT资产，不能简单地通过传统方式来修复其中的漏洞，所以在合适的位置设置网络补丁来阻止已知攻击，可以有效地缓解短期漏洞带来的威胁。

　　Kunz说：“对我们来说，如果你有使用内嵌Windows 98或XP的自动机来组装汽车，为什么还要将这一自动机连上网络呢?它只需要访问一个来源——它的控制器，所以现在我们正考虑关闭网络连接。”

　　Qualys的CTO(首席技术官)和小组成员Wolfgang Kandek称，使用他们公司的漏洞管理产品来编制网络目录的用户通常会发现超出预期量的问题。虽然最好的方式是对每个系统或应用分别进行修复，但许多企业缺乏可以同时修复多个不同问题的资源。

　　Kandek说：“桌面上的问题也许能得到快速解决，但其他更为严重的问题可能还会存在，你无法很快地修复完。再或者你的软件版本很旧，很难进行更新。”

　　TippingPoint的产品线管理副总裁Paul Arceneaux称，从企业内的其他部门集结开发资源来修复应用程序的漏洞可能会是另一种挑战，它将拖慢补丁修复进程。

　　Arceneaux说：“如果你能通过在其上设置虚拟补丁的方式来减轻风险，会带来很大的帮助。”

　　然而，Kunz称虚拟补丁也会带来一定的风险，因为虽然这么做减轻了安全漏洞带来的风险，但它们并没有真正修复这些漏洞。人们很容易设置完了就高枕无忧，虽然部署了虚拟补丁，但没有采取行动来解决问题的根源。

　　另外，Kandek说，对网络拓扑结构的任何改变或配置上的任何小改动都可能会导致虚拟补丁失效，从而导致网络风险再次出现。

　　Kunz说，“问题在于应当怎样将这一信息传达给管理层。从长远来看，我们仍然需要关注固有风险。” 不能仅仅因为虚拟补丁导致IPS网络状态面板显示的是检查通过的标记就放松警惕，这个时候做好后台的修复工作同样很重要。

　　Kunz说，“问题在于应当怎样将这一信息传达给管理层。从长远来看，我们仍然需要关注固有风险。” 不能仅仅因为虚拟补丁导致IPS网络状态面板显示的是检查通过的标记就放松警惕，这个时候做好后台的修复工作同样很重要。

　　Kunz说，“虚拟补丁只是为你赚到了一些时间，并不能因此增强网络环境的安全性。”