用虚拟补丁修补安全漏洞是种什么体验？

云计算时代依然需要考虑安全问题，不过具体需要考虑的可能和以往有所不同。例如大家熟悉的“打补丁”，在云时代也许就已经演变为一种全新的方式，因为现在我们有了虚拟补丁。

发现并报告与一个软件有关的漏洞后，软件源代码作者通常需要一段时间来开发和发布补丁。在这段时间内，就算已经部署了常规的安全解决方案，任何包含该漏洞的系统都有被利用的风险。在等待“真正”的补丁发布期间，虚拟补丁可以帮助我们更好地保护自己。

有时，软件源代码无法更改，漏洞根本无法修补。这种情况下，虚拟补丁将是确保漏洞不被利用的有效方法之一。然而此时风险依然存在，因为新的攻击载体不断出现，错误配置不断被滥用。

多年来，“虚拟补丁”一词一直与一种非常特殊的解决方案联系在一起。这个术语本身是由入侵防御系统（IPS）供应商创造的，他们当时销售的是基于网络的解决方案，其操作类似于网络应用防火墙（WAF）。

这些基于网络的解决方案通过分析传入流量中的恶意活动、异常流量或预定义策略，提供了额外的安全策略执行层。虽然随后很快还出现了基于主机的IPS解决方案，但这意味着要在每台主机上安装新软件。在紧急情况下，这不仅需要大量资源，而且扩展性不强。

基于网络的解决方案：优势和不足之处

基于网络的解决方案具有多种优势，包括：

• 速度：在不修改源代码的情况下，提供快速解决漏洞的方案，也能为IT栈中可能遗留的其他传统技术提供保护。
• 成本：不需要在典型的发布时间表之外进行任何形式的紧急修补，从而减少了时间和金钱支出。
• 保护：保护关键业务系统，而无需将其下线。

不过基于网络的IPS解决方案也有缺点。缺点之一是流量分析会增加网络压力。此外，虚拟补丁可能无法顾及所有恶意流量，即使在部署后，系统的某些部分可能仍会受到攻击。

随着攻击者胆子越来越大，影响广泛的供应链漏洞影响也越来越明显，我们应该开始挑战长期以来关于“需要哪些安全解决方案”以及“这些解决方案应该是什么样子”的观念。思考实现相同安全目标的多种替代方法可以促进创新，帮助我们即便面对最新威胁也能保持领先。

利用微分段为系统漏洞打上虚拟补丁

应对这些挑战的方法之一，是通过基于主机的微分段解决方案实现快速有效的虚拟修补。

是的，没有看错。如果使用Akamai Guardicore Segmentation为网络资产创建微分段，那么也可以使用它来为系统漏洞安装虚拟补丁。这是Akamai Hunt的主要用例之一。

利用Akamai Hunt收集和关联数据

如果是Akamai Guardicore Segmentation客户，那么你的网络中应该已经部署了代理，该代理负责执行安全策略，并针对可疑或未经授权的流量发出警报和采取补救措施。Akamai Hunt是一项托管服务，可利用从网络分段中收集的数据，由Akamai威胁情报和分析团队的安全专家进行分析。

在人工智能（AI）的帮助下，Akamai Hunt可以从你的环境和Akamai全球平台中收集并关联数据，从而揭示可疑活动。如果出现异常，Akamai的专家会向你发送警报，并分享缓解措施所需的所有见解和信息。他们还协助事件响应，指导修复过程。

Akamai Hunt实操：研究和修补Log4j

那么这和虚拟补丁有什么关系？让我们看看近期最臭名昭著的漏洞之一Log4Shell（因其影响的软件而被称为Log4j），以及Akamai Hunt客户在此期间遇到的情况。

当Log4j漏洞于2021年12月初被披露时，专家们已经知道其潜在的安全影响规模是惊人的。全球有数百万台设备运行这种日志软件，攻击者正在积极利用该漏洞：安全监控公司Arctic Wolf发现，利用该漏洞的尝试影响了该公司约25%的客户群。

Akamai Hunt团队将工作重点放在了研究和修复上。该团队知道，我们基于主机的分段解决方案可用于监控和阻止与受影响资产的通信。但是问题随之而来：该如何检测哪些客户资产确实存在此漏洞？

简单四步为脆弱的资产提供保护

他们的答案很简单：使用Akamai解决方案，通过以下四个简单步骤检测并保护易受攻击的资产。

1. 利用Akamai Guardicore Segmentation的Insight功能（基于osquery），Hunt团队建立了独特的查询，以定位客户环境中所有易受攻击的已安装软件包，并扫描他们的进程内存，以检测不必要通信所带来的风险（图1）。

图1：用于检测客户环境中易受攻击系统的Insights查询

2. 将Insight提供的信息输入Akamai Guardicore Segmentation的检测引擎，确定哪些机器容易受到攻击。然后创建两个标签来区分易受攻击和不易受攻击的机器。这样，Reveal地图就可以显示客户的易受攻击机器，以及这些机器和互联网之间的流量（图2）。

图2：在Reveal地图中可视化来自易受攻击机器的流量

3. 通过分析，Hunt专家确定了哪些易受攻击的机器已经被利用，哪些存在被利用的严重风险（图3）。

图3：显示主动利用Log4Shell漏洞所产生流量的Reveal地图

4. 由于这是一场全球性危机，因此Hunt团队向所有Akamai Guardicore Segmentation客户发送了一份详细的Log4j状态报告，说明他们是处于易受攻击、主动攻击还是相对安全的状态。团队还对存在漏洞或受到主动攻击的客户进行了跟踪，并帮助客户快速建立和实施虚拟补丁策略（图4）。

图4：图3所示受影响机器的虚拟修补策略

加强防御

正如从Log4j示例中看到的那样，Akamai Guardicore Segmentation与Akamai Hunt能够识别易受攻击的资产，并在出现大范围关键漏洞时充当虚拟补丁。该功能无需安装额外的代理或购买其他解决方案。

这只是一个例子，证明了现有的Akamai Guardicore Segmentation如何能够解决超出解决方案范围的其他问题。有了Hunt专家的帮助，该产品将成为企业安全团队的扩展，从而增强防御能力，使新漏洞更易于应对。