漏洞防護(hù)的思考

　　在上文中，我們提到了面對漏洞威脅和黑客的攻擊時，云計算用戶和云服務(wù)提供商的安全團(tuán)隊是一個整體。這是一場關(guān)乎生死的大戰(zhàn)，也是一場與時間的賽跑。從時間角度上講，有兩個關(guān)鍵的因素：什么時候獲得漏洞的資訊以及什么時候完成漏洞的修復(fù)。

　　首先，當(dāng)一個漏洞被曝光出來時，能否在第一時間獲得漏洞的資訊是一個關(guān)鍵。在第一時間獲取漏洞的情報可以保證和絕大多數(shù)的攻擊者至少保持在同一個起跑線上。越晚獲得漏洞的信息就意味著起跑時間的延后。第二，即便在第一時間獲取了漏洞信息，能否及時修復(fù)也是成敗的關(guān)鍵。

　　對于云計算服務(wù)提供商來說，安全團(tuán)隊不僅是一個運行和維護(hù)團(tuán)隊，還需要有專業(yè)的安全研究小組，負(fù)責(zé)跟蹤和獲取最新的漏洞情報。當(dāng)一個漏洞被曝光出來時，安全研究人員會迅速對漏洞進(jìn)行分析，獲取漏洞攻擊的手段并研究防護(hù)的策略。當(dāng)確認(rèn)漏洞的攻擊手段后，用戶運營團(tuán)隊需要通過微博、論壇、官方網(wǎng)站等諸多手段發(fā)布漏洞預(yù)警信息，提醒云計算用戶關(guān)注該漏洞的存在。與此同時，為了驗證漏洞在云計算平臺上的存在和分布狀況，還需要對全體云計算用戶進(jìn)行全網(wǎng)掃描，發(fā)現(xiàn)存在該漏洞的用戶。

　　依照阿里云云盾的運營經(jīng)驗，接下來的處理可以分成兩個場景來進(jìn)行。

　　第一個場景，云端防護(hù)。如果漏洞防護(hù)可以通過云平臺的Web防護(hù)系統(tǒng)實現(xiàn)攻擊行為的阻斷，那么運營團(tuán)隊就必須要在第一時間更新Web防護(hù)系統(tǒng)的防護(hù)規(guī)則，實現(xiàn)漏洞在云平臺層面的防護(hù)。在這個場景下，即便用戶系統(tǒng)中存在該漏洞，但是由于云端防護(hù)系統(tǒng)已經(jīng)可以防護(hù)利用該漏洞的攻擊行為，用戶系統(tǒng)可以仍得到有效防護(hù)。必須要注意的是，安全團(tuán)隊還需要通過監(jiān)控檢驗防護(hù)的效果，確保對該漏洞利用行為的阻斷。

　　第二個場景，用戶端防護(hù)。如果漏洞的防護(hù)必須需要用戶通過升級補丁才可以實現(xiàn)，則用戶運營團(tuán)隊需要通過電子郵件和短信的方式對存在該漏洞的用戶進(jìn)行一對一的漏洞預(yù)警信息推送。接收到信息的用戶可以依據(jù)預(yù)警信息中的指導(dǎo)完成漏洞的修復(fù)。對于后一種情況，為了保證漏洞的及時有效修復(fù)，運營團(tuán)隊還要在預(yù)警信息發(fā)布后的一段時間內(nèi)再次進(jìn)行漏洞的掃描，確認(rèn)漏洞已被有效修復(fù)。

　　因此，不管對于哪一種場景，對于一個提供云計算安全防護(hù)的平臺來說，漏洞的防護(hù)都必須是一個快速和閉環(huán)的過程。