漏洞防護的思考
在上文中,我們提到了面對漏洞威脅和黑客的攻擊時(shí),云計算用戶(hù)和云服務(wù)提供商的安全團隊是一個(gè)整體。這是一場(chǎng)關(guān)乎生死的大戰,也是一場(chǎng)與時(shí)間的賽跑。從時(shí)間角度上講,有兩個(gè)關(guān)鍵的因素:什么時(shí)候獲得漏洞的資訊以及什么時(shí)候完成漏洞的修復。
首先,當一個(gè)漏洞被曝光出來(lái)時(shí),能否在第一時(shí)間獲得漏洞的資訊是一個(gè)關(guān)鍵。在第一時(shí)間獲取漏洞的情報可以保證和絕大多數的攻擊者至少保持在同一個(gè)起跑線(xiàn)上。越晚獲得漏洞的信息就意味著(zhù)起跑時(shí)間的延后。第二,即便在第一時(shí)間獲取了漏洞信息,能否及時(shí)修復也是成敗的關(guān)鍵。
對于云計算服務(wù)提供商來(lái)說(shuō),安全團隊不僅是一個(gè)運行和維護團隊,還需要有專(zhuān)業(yè)的安全研究小組,負責跟蹤和獲取最新的漏洞情報。當一個(gè)漏洞被曝光出來(lái)時(shí),安全研究人員會(huì )迅速對漏洞進(jìn)行分析,獲取漏洞攻擊的手段并研究防護的策略。當確認漏洞的攻擊手段后,用戶(hù)運營(yíng)團隊需要通過(guò)微博、論壇、官方網(wǎng)站等諸多手段發(fā)布漏洞預警信息,提醒云計算用戶(hù)關(guān)注該漏洞的存在。與此同時(shí),為了驗證漏洞在云計算平臺上的存在和分布狀況,還需要對全體云計算用戶(hù)進(jìn)行全網(wǎng)掃描,發(fā)現存在該漏洞的用戶(hù)。
依照阿里云云盾的運營(yíng)經(jīng)驗,接下來(lái)的處理可以分成兩個(gè)場(chǎng)景來(lái)進(jìn)行。
第一個(gè)場(chǎng)景,云端防護。如果漏洞防護可以通過(guò)云平臺的Web防護系統實(shí)現攻擊行為的阻斷,那么運營(yíng)團隊就必須要在第一時(shí)間更新Web防護系統的防護規則,實(shí)現漏洞在云平臺層面的防護。在這個(gè)場(chǎng)景下,即便用戶(hù)系統中存在該漏洞,但是由于云端防護系統已經(jīng)可以防護利用該漏洞的攻擊行為,用戶(hù)系統可以仍得到有效防護。必須要注意的是,安全團隊還需要通過(guò)監控檢驗防護的效果,確保對該漏洞利用行為的阻斷。
第二個(gè)場(chǎng)景,用戶(hù)端防護。如果漏洞的防護必須需要用戶(hù)通過(guò)升級補丁才可以實(shí)現,則用戶(hù)運營(yíng)團隊需要通過(guò)電子郵件和短信的方式對存在該漏洞的用戶(hù)進(jìn)行一對一的漏洞預警信息推送。接收到信息的用戶(hù)可以依據預警信息中的指導完成漏洞的修復。對于后一種情況,為了保證漏洞的及時(shí)有效修復,運營(yíng)團隊還要在預警信息發(fā)布后的一段時(shí)間內再次進(jìn)行漏洞的掃描,確認漏洞已被有效修復。
因此,不管對于哪一種場(chǎng)景,對于一個(gè)提供云計算安全防護的平臺來(lái)說(shuō),漏洞的防護都必須是一個(gè)快速和閉環(huán)的過(guò)程。
