漏洞防护的思考
在上文中,我们提到了面对漏洞威胁和黑客的攻击时,云计算用户和云服务提供商的安全团队是一个整体。这是一场关乎生死的大战,也是一场与时间的赛跑。从时间角度上讲,有两个关键的因素:什么时候获得漏洞的资讯以及什么时候完成漏洞的修复。
首先,当一个漏洞被曝光出来时,能否在第一时间获得漏洞的资讯是一个关键。在第一时间获取漏洞的情报可以保证和绝大多数的攻击者至少保持在同一个起跑线上。越晚获得漏洞的信息就意味着起跑时间的延后。第二,即便在第一时间获取了漏洞信息,能否及时修复也是成败的关键。
对于云计算服务提供商来说,安全团队不仅是一个运行和维护团队,还需要有专业的安全研究小组,负责跟踪和获取最新的漏洞情报。当一个漏洞被曝光出来时,安全研究人员会迅速对漏洞进行分析,获取漏洞攻击的手段并研究防护的策略。当确认漏洞的攻击手段后,用户运营团队需要通过微博、论坛、官方网站等诸多手段发布漏洞预警信息,提醒云计算用户关注该漏洞的存在。与此同时,为了验证漏洞在云计算平台上的存在和分布状况,还需要对全体云计算用户进行全网扫描,发现存在该漏洞的用户。
依照阿里云云盾的运营经验,接下来的处理可以分成两个场景来进行。
第一个场景,云端防护。如果漏洞防护可以通过云平台的Web防护系统实现攻击行为的阻断,那么运营团队就必须要在第一时间更新Web防护系统的防护规则,实现漏洞在云平台层面的防护。在这个场景下,即便用户系统中存在该漏洞,但是由于云端防护系统已经可以防护利用该漏洞的攻击行为,用户系统可以仍得到有效防护。必须要注意的是,安全团队还需要通过监控检验防护的效果,确保对该漏洞利用行为的阻断。
第二个场景,用户端防护。如果漏洞的防护必须需要用户通过升级补丁才可以实现,则用户运营团队需要通过电子邮件和短信的方式对存在该漏洞的用户进行一对一的漏洞预警信息推送。接收到信息的用户可以依据预警信息中的指导完成漏洞的修复。对于后一种情况,为了保证漏洞的及时有效修复,运营团队还要在预警信息发布后的一段时间内再次进行漏洞的扫描,确认漏洞已被有效修复。
因此,不管对于哪一种场景,对于一个提供云计算安全防护的平台来说,漏洞的防护都必须是一个快速和闭环的过程。
