【在避免影響營運之下防堵弱點，能預防變種漏洞攻擊】虛擬修補大幅縮減攻擊與防守的落差

隨著攻擊與守備的差距變得極為懸殊，駭客濫用漏洞的現象，越來越難以防範。企業若是完全採用周延的修補措施，在籌備部署更新的期間，便處於漏洞大開的空窗期，駭客便能利用已經公開的弱點，進行滲透。因此，在防堵漏洞的策略上，使用如虛擬修補（Virtual Patching）的方式，雖是屬於治標的手法，但卻能夠應急，且能夠避免更新軟體帶來的衝擊。

虛擬修補的做法，其實在網路入侵防禦系統（IPS）中，已經行之有年，而且，不光是專屬的防護設備，具備IPS功能的UTM和次世代防火牆，同樣擁有虛擬修補的能力。不過，一般來說，在UTM與次世代防火牆設備中，很多人可能無法將IPS與虛擬修補連結在一起。

顧名思義，虛擬修補並非實際修正軟體漏洞，而是透過對於指定的異常行為特徵，攔截攻擊行為，藉此達到保護弱點不受濫用的目的。這樣的概念，有點像是在傷口貼上膠布，雖然膠布本身沒有治療的功能，但能阻止外部的細菌，隨意從傷口長驅直入。基本上，由於虛擬修補沒有更動出現漏洞的軟體，軟體與系統之間的相容性，通常也不會受到影響，而上述特性，正是一般軟體更新的過程中，企業往往需要花費長達數個月的主要原因。基於可能會對於生產力造成的衝擊，部署軟體修正檔之前，企業必須加以謹慎評估，並且進行測試，然而，即使是嚴謹的前置程序，還是很難確保安裝之後，不會出現問題。

虛擬修補的機制，最早出現在入侵防禦系統，而後來在網站應用程式防火牆（WAF）中，也提供了這樣的功能。隨著開發流程與維運之間的緊密整合，在網站應用程式中，虛擬修補的機制則是更進一步，從開發時就加入相關的防護措施，稱做應用程式執行期間的自我防護（Runtime Application Self-Protection，RASP），企業無須額外修改程式碼，就能以此避免採用的函式庫太舊，造成網站暴露在安全風險之中。

從防護來自外部威脅的角度，採用網路入侵防禦系統，效果顯而易見，然而，其守備的範圍，便是必須經過這套系統的流量，才能得到保護，對於在內部網路橫向感染的病毒，就可能無法發揮作用。因此，有些廠商提供執行在端點電腦的防護產品，也就是主機入侵防禦系統（HIPS），從電腦端提供保護。

圖片來源／Imperva

網站應用程式防火牆納入虛擬修補機制

對於需要全時間上線運作的網路應用程式，企業透過網頁應用程式防火牆（WAF）過濾惡意流量，其中的檢測條件，主要包含了防火牆的政策，以及虛擬修補措施，後者從弱點防禦的角度出發，因此強調找出漏洞，以及動態監控威脅等能力。

虛擬修補機制最早出現在IPS，後續也廣泛應用在次世代防火牆

論及虛擬修補的機制，首先便要提到網路入侵防禦系統，也是最能廣泛以虛擬修補防護多數裝置的設備。最早是彌補網路防火牆與防毒軟體之間的不足──前者保護層面涵蓋了網路第1至第4層，後者則是防範第5層到第7層的部分，而入侵防禦系統的出發點，就是針對網路第4層和第5層之間，提供保護。

但在約2005年以前，考量到網路頻寬沒有那麼充足，於是這種型態的防護設備，又再區分為只有提供偵測功能，不具備攔截能力的入侵偵測系統（IDS）。直到2005年之後，市場上才以入侵防禦系統為主。

以往企業採用意願不高的原因，包含了設備本身的價格高昂，再者，則是在於誤報（False Positives）的比例偏高，使得不少企業擔心部署了以後，會影響內部網路的整體運作。

後來大約是2011年開始，出現的次世代入侵防禦系統（NGIPS），強調對於攻擊流量的情境感知能力、應用程式的可視性，以及內容識別等，換言之，更著重檢測到應用程式層的能力，以及彙整出事件的樣貌。

隨著時代的演進，從整合多功能威脅防禦的UTM，發展而來的次世代防火牆，由於最近的2到3年以來，效能也能因應設備全功能啟動需求，成為許多企業優先採用的網路防護設備。而次世代防火牆所整合的防護機制中，也納入了前述的入侵防禦系統的模組，因此，在這類系統中所提供的虛擬修補機制，次世代防火牆也一樣具備。

雖然，次世代防火牆標榜具備入侵防禦系統的功能，但專屬設備產品仍有其適用之處，若是企業想要分散風險，由多臺網路設備執行個別的防護，便會購買專用的入侵防禦系統，因此，雖然次世代防火牆是目前市場上的當紅炸子雞，但專屬的NGIPS設備，始終不乏廠商提供相關產品。

藉由分析網路可疑行為特徵，虛擬修補強調可防範變種攻擊

依據偵測方式的不同，在網路入侵防禦系統所提供的虛擬修補，大致可區分為2種，分別是類似防毒軟體使用的特徵碼，以及利用情境規則判別的做法。由於特徵碼識別惡意內容的方式，很容易出現所謂的誤判與誤報，也難以因應變種攻擊，現在專屬的入侵防禦系統中，採用後者已是普遍的趨勢。

那麼，這種防護的作法，究竟如何運作呢？簡單來說，虛擬修補是透過一連串的行為特徵，來辨別是否為已知的攻擊。例如，以早期知名的變種攻擊疾風病毒而言，入侵防禦系統會依據下列特徵，封鎖這種型態攻擊的網路流量──包含了建立在135埠上的TCP連線、綑綁了特定的RPC介面，以及發現的伺服器名稱非常長等情況。

當然，這樣的行為特徵識別，也需要環境的配合。在以往剛採用這種方式分析流量的虛擬修補機制，便可能會面臨網路負載偏高的情形。而現在，隨著網路流量頻寬較為充足，這種做法已普遍是入侵防禦系統攔阻弱點攻擊的常態。

但要能夠透過網路流量的行為分析，得知是攻擊行為，入侵防禦系統廠商要對弱點擁有相當程度的了解，也就是說，他們必須徹底解析漏洞的完整樣貌為何，製作出來的虛擬修補特徵檔案，才能防範使用相同漏洞的變種攻擊。

這樣的概念，我們可以把漏洞的樣貌，以一塊有凹凸形狀的拼圖舉例，第一種攻擊採用上述弱點的其中部分，在實體修補的過程，軟體業者可能只對前述攻擊顯露的樣貌，進行處理。一旦第2種攻擊中，駭客開採這片拼圖的另一角落，軟體業者便需再次製作對應的修補軟體。而虛擬修補透過行為特徵所描繪出的漏洞，由於相對完整、全面，便能採用相同的特徵，防範上述2種攻擊手法。因此，即使是從未出現的漏洞，在IPS廠商提供了解析的政策之後，通常就能攔截後續的變種攻擊。

一般對於虛擬修補的認知，便是能夠防範已經列管的漏洞，未知弱點不在其防禦的範圍。不過，我們詢問了趨勢科技、McAfee、FireEye等廠商，他們不約而同強調，在專屬入侵防禦設備上，防範已知的CVE漏洞，是虛擬修補的基本功能，但是，這些業者也統整自家的威脅情資，甚至是結合挖掘零時差弱點的能力。像是McAfee和FireEye，他們的入侵防禦產品，便分別與自有的威脅情資結合，也就是McAfee Threat Intelligence Exchange（TIE），以及FireEye iSIGHT Threat Intelligence。

而趨勢科技的TippingPoint，則與零時差漏洞獎勵計畫（Zero Day Initiative，ZDI）合作，經由這個獎勵計畫組織，收集更多尚未公開的漏洞，製作虛擬修補的特徵碼，讓採用該廠牌IPS設備的用戶，能夠防範更多未知弱點的攻擊，該公司宣稱，透過上述組織收集的漏洞，他們的設備，能較同類型產品早於57天前，提供防護。

這些進階的結合措施，都顯示能夠提供IPS產品的廠商，他們對於漏洞的了解程度，必須極為徹底，甚至還要發現更多未知的漏洞，才能讓IPS設備防護的範圍更為全面。

網站應用程式普及，WAF與RASP從執行時無縫納入虛擬修補

雖然，網路入侵防禦系統能提供的虛擬修補範圍最廣，而且能適用於多種型態的網路設備與端點裝置，不過，架設公司的網站，或者提供網頁應用程式，也是企業常見的重要設施，而且這些系統可能牽涉公司整體的營運，若是想要執行實體弱點修補，便相形更加困難，因為，企業難以容許上述網站伺服器服務中斷的情況。

因此，在網站應用程式防火牆設備中，後來也像IPS一樣，開始納入了虛擬修補的做法，藉此協助企業保護網站，免於未知威脅，或是暫時不能修補弱點，所造成的危機。而與IPS相同的是，網站伺服器雖然已由WAF攔截惡意流量，但是，駭客一旦繞過了網站應用程式防火牆，便能為所欲為，利用尚未修補的弱點進行滲透，因此，現在有廠商開始提出，從程式碼執行時，就提供虛擬修補的防護機制，名為應用程式執行期間的自我防護措施。

這樣的保護方法，採用的是在程式碼轉譯成機器語言時，在其中以即時編譯（Just-In-Time Compilation）的方式，加入虛擬修補程式碼，同時自動清理某些有缺陷的程式碼。因此，提供這種新興型態防護措施的廠商，像是Waratek，便訴求這種做法，更能保護採用舊版Java虛擬機器、.NET Framework等函式庫的網站，而且，網站開發者也不需為了部署，大幅修改現有的程式碼。

不過，無論企業開發網站的節奏快慢，在研究機構SANS去年10月推出的報告中指出，企業想要控管網站應用程式的安全性，上述的虛擬修補或是RSAP，都算是進階保護措施，需要開發者、維護人員，以及防護工具供應廠商之間，密切合作。

圖片來源／CA

從應用程式執行時期提供防護

在應用程式的本身，開發者也可採取類似虛擬修補的防護措施，稱為應用程式執行期間的自我防護（RASP），這樣的機制會與應用程式一同執行，若是出現攻擊者的探測弱點的行為，便會加以攔截，以免後端的資料庫受到攻擊。

各型態端點是未來延伸保護的目標

端點電腦的防護，雖然企業在建置網路IPS或次世代防火牆之後，就能防範來自外部的漏洞弱點攻擊，但相對而言，難以阻絕內部的漏洞滲透行為。像我們前面提到的台積電，他們雖然對外部入侵擁有極為完善的保護措施，然而，在合作廠商更換機臺時，因為沒有遵照標準作業程序上線，導致勒索軟體在多個網路串連的工廠裡，快速的蔓延。

針對上述的情況，企業除了要進行網路的分割，減少攻擊爆發時擴散的速度，面臨這種在內部發作的漏洞攻擊，資安業者也推出了在端點電腦上部署的IPS產品，藉由從端點上的代理程式，提供更進一步的防護措施。

雖然，推出獨立HIPS產品的廠商並不多，但不代表這樣的功能不再重要，事實上，許多廠商的端點防護平臺（EPP），已經將HIPS納入其中。

除了端點電腦和伺服器，Check Point也指出，工業控制系統（SCADA），關鍵基礎設施的系統（ICS）中，普遍存在難以落實實體修補的現象，因此，勢必相當需要倚賴虛擬修補的方式，強化整體系統的安全性。而應用日益普及的物聯網裝置，也同樣存在類似的現象，相關暴露或濫用弱點的事件不斷發生，所幸，我們看到有物聯網裝置廠商開始重視這種防護措施，與資安廠商結盟，像是晶睿通訊（Vivotek），就與趨勢科技合作，採用其IoT虛擬修補的防護措施，防護旗下的監控設備。

專屬IPS提供弱點的進階管理功能

入侵防禦系統的功能，已經是UTM或次世代防火牆的標準配備，因此，這些網路設備也同樣具備虛擬修補的能力。不過，在專屬IPS設備中，對於弱點的防護，提供了詳盡的列管功能，並能自訂對於特定漏洞的執行策略，這些進階功能，一般防火牆設備IPS模組沒有提供。

基本上，次世代防火牆訴求功能涵蓋的層面較廣，能一機多用，因此，相較於專屬IPS設備，IPS模組在次世代防火牆的定位，是一項可以開關的防護功能，除此之外，大多專屬設備的進階功能，幾乎都沒有提供。其中，最顯著的不同，就是缺乏對於已知弱點的控管政策，因此，若是要對於漏洞進一步管理，除了購置偏重控管實體修補的弱點管理工具，從專屬IPS設備的管理功能與報表，企業便能得知現從的虛擬修補特徵檔案，是否已經能夠攔截攻擊，或是需要等待設備廠商的更新，才能因應新的漏洞。

圖片來源／趨勢科技

結合威脅情勢分析

對於現在市面上的網路入侵防禦系統（IPS）而言，在漏洞的虛擬修補的功能之外，也分析了企業面臨的攻擊，以圖中趨勢科技TippingPoint設備SMS儀表板來說，便整合了攻擊的主要來源、地理位置，以及好發時段等圖表，由於該廠牌設備具備多臺堆疊使用，以此增加能夠乘載的網路吞吐量，因此，這個儀表板也訴求能同時提供多臺IPS設備的執行情況，讓管理者可以直接了解整體環境的態勢。

圖片來源／FireEye

過濾攔截事件的類型與數量

針對虛擬修補的執行，網路入侵防禦系統具備詳細的執行記錄，以供管理者後續調查運用。以圖中的FireEye NX系統的儀表板而言，包含了攻擊的來源與目的地IP位址，以及相符的CVE編號與影響程度等資訊，再者，這裡也能得知，利用相同漏洞攻擊，且重覆發生在特定來源與目的IP位址事件次數的資訊，藉著上述各種面向的資訊，管理者可進一步評估事件需要處理的優先順序。

圖片來源／McAfee

列管漏洞的處理方式

對於漏洞的因應政策，企業能依據不同的弱點，在網路入侵防禦系統配置指定的防堵政策，以圖中McAfee的管理平臺而言，管理者可調整單一漏洞的虛擬修補機制開關，或是設定發現攻擊時，通知管理者進一步處置。從左側IPS的設定選單中，不只入侵防禦機制的政策，還包含了其他進階檢測項目，像是惡意軟體偵測、流量的檢測規則與限制，以及防火牆和服務品質（QoS）等。

 相關報導  快速因應弱點濫用攻擊，虛擬修補再度興起