標籤: Virtual Patching

當應用程式或企業 IT 基礎架構含有未修補漏洞會如何？以下說明虛擬修補如何協助企業解決漏洞與修補管理的困境。

從去集中化到導入雲端、行動裝置及物聯網 (IoT) 技術，隨著企業網路基礎架構日益複雜，修補管理的工作也更加耗時費事、消耗更多企業資源。

不過，應用程式的修補工作一旦有所延誤或甚至擱置，將為企業帶來莫大風險。2017 年 Equifax 資料外洩事件就是最好的例子，該事件洩漏了數百萬名客戶的個人身分識別資訊，而這起事件追根究柢的原因，就是該機構的某個網站應用程式含有未修補的漏洞。在一切都塵埃落定之後，Equifax 表示該事件造成了高達 4.39 億美元的財務損失，此外還要加上英國資訊委員會 (ICO) 針對該事件所做出的處分：50 萬英鎊 (約 66 萬美元) 的罰鍰。

[趨勢科技年度資安總評：Notable Vulnerabilities Disclosed and Exploited in 2018]

為何漏洞修補會成為企業的一項挑戰？

以下是企業在漏洞修補與修補管理上所面臨的一些挑戰：

• 影響業務永續性。儘管定期安裝修補更新是一項良好的資安實務原則，但許多企業卻覺得修補作業太過冗長，而且會中斷營運、耗費成本，因此選擇將這些工作延後 (或者乾脆捨棄) 以免影響業務。
• 需要修補的漏洞數量過多。這樣的情況對經常升級 IT 基礎架構的企業來說尤其如此，因為他們會有更多漏洞需要修補。根據趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫 (目前有 3,500 多名外部獨立研究人員參加) 所累的資料顯示，從 2017 至 2018 年，該計畫所發現並通報的漏洞數量增加了 34%。
• 掌握度不夠。網路基礎架構越龐大，更新流程就越複雜。再加上如果 IT 基礎架構零散，包含各種不同作業系統或應用程式版本，甚至分散多個不同地理位置，那問題將更麻煩。
• 修補更新過於頻繁。這使得修補管理變得缺乏效率，特別是難以整理出哪些才是最重要、非修補不可的漏洞。
• 老舊及無法修補的系統。有些已經終止支援的系統和應用程式已無法再獲得更新，即使目前仍有一些營運關鍵作業可能會用到這類系統和應用程式。此外，還有一些內嵌式系統的軟體或元件通常也無法修補，例如：銷售櫃台系統 (POS) 終端機、IoT 裝置以及工業控制系統。

漏洞可能會對企業造成難以預料的影響。一但被攻擊也會危害到個人身份資料（PII）隱私，帶來嚴重的後果。它們不僅會損害公司信譽 – 還損害了儲存管理這些敏感資料基礎設施的完整性。

Equifax資料外洩事件就是個很好的例子。攻擊者藉由入侵其應用程式框架內的漏洞（CVE-2017-5638）來取得其網路和系統的控制能力。這次攻擊讓1.455億份美國公民及1520萬份英國客戶的PII被外洩，造成的財務損失估計達到4.39億美元。

是的，只需要一個有漏洞的端點、網路、伺服器或應用程式，就可能會造成百萬倍的影響。Shellshock、Heartbleed、Poodle和EternalBlue都是惡名昭彰的安全漏洞之一，為資料竊取病毒及其他攻擊打開大門。但還有其他更多更多 – 事實上，在2017年有1,522個被公開報告的漏洞。這些漏洞有929個透過趨勢科技的零時差計畫（ZDI）披露，嚴重程度被評為「嚴重」或「高」。

[年中資安綜合報告：2018年上半年所披露的202個資料採集與監控系統（SCADA）漏洞]

更新修補程式可以協助企業有效地降低這些威脅。但對許多組織來說，這仍然是個常見的問題。事實上，被訪談的組織平均需要197天來識別資料外洩。而監視物聯網（IoT）設備和工業物聯網（IIoT）系統的新增任務更加劇了防止資料外洩的難度。IT和安全團隊也可能會發現要在所有漏洞遭受攻擊前完成下載、測試和部署修補程式，同時還要保持系統、網路和伺服器正常運行幾乎是件不可能的任務。

零時差攻擊對企業造成的影響越來越大。但緊急/非常態更新以及虛擬化等緊急措施可能會造成運作停擺和額外的成本。此外還有法規遵循的問題，如歐盟一般資料保護法規（GDPR）所可能帶來的巨額罰款或支付卡產業（PCI）嚴格的修補要求。

繼續閱讀