漏洞防護的思考

　　在上文中，我們提到了面對漏洞威脅和黑客的攻擊時，云計算用戶和云服務提供商的安全團隊是一個整體。這是一場關(guān)乎生死的大戰(zhàn)，也是一場與時間的賽跑。從時間角度上講，有兩個關(guān)鍵的因素：什么時候獲得漏洞的資訊以及什么時候完成漏洞的修復。

　　首先，當一個漏洞被曝光出來時，能否在第一時間獲得漏洞的資訊是一個關(guān)鍵。在第一時間獲取漏洞的情報可以保證和絕大多數(shù)的攻擊者至少保持在同一個起跑線上。越晚獲得漏洞的信息就意味著起跑時間的延后。第二，即便在第一時間獲取了漏洞信息，能否及時修復也是成敗的關(guān)鍵。

　　對于云計算服務提供商來說，安全團隊不僅是一個運行和維護團隊，還需要有專業(yè)的安全研究小組，負責跟蹤和獲取最新的漏洞情報。當一個漏洞被曝光出來時，安全研究人員會迅速對漏洞進行分析，獲取漏洞攻擊的手段并研究防護的策略。當確認漏洞的攻擊手段后，用戶運營團隊需要通過微博、論壇、官方網(wǎng)站等諸多手段發(fā)布漏洞預警信息，提醒云計算用戶關(guān)注該漏洞的存在。與此同時，為了驗證漏洞在云計算平臺上的存在和分布狀況，還需要對全體云計算用戶進行全網(wǎng)掃描，發(fā)現(xiàn)存在該漏洞的用戶。

　　依照阿里云云盾的運營經(jīng)驗，接下來的處理可以分成兩個場景來進行。

　　第一個場景，云端防護。如果漏洞防護可以通過云平臺的Web防護系統(tǒng)實現(xiàn)攻擊行為的阻斷，那么運營團隊就必須要在第一時間更新Web防護系統(tǒng)的防護規(guī)則，實現(xiàn)漏洞在云平臺層面的防護。在這個場景下，即便用戶系統(tǒng)中存在該漏洞，但是由于云端防護系統(tǒng)已經(jīng)可以防護利用該漏洞的攻擊行為，用戶系統(tǒng)可以仍得到有效防護。必須要注意的是，安全團隊還需要通過監(jiān)控檢驗防護的效果，確保對該漏洞利用行為的阻斷。

　　第二個場景，用戶端防護。如果漏洞的防護必須需要用戶通過升級補丁才可以實現(xiàn)，則用戶運營團隊需要通過電子郵件和短信的方式對存在該漏洞的用戶進行一對一的漏洞預警信息推送。接收到信息的用戶可以依據(jù)預警信息中的指導完成漏洞的修復。對于后一種情況，為了保證漏洞的及時有效修復，運營團隊還要在預警信息發(fā)布后的一段時間內(nèi)再次進行漏洞的掃描，確認漏洞已被有效修復。

　　因此，不管對于哪一種場景，對于一個提供云計算安全防護的平臺來說，漏洞的防護都必須是一個快速和閉環(huán)的過程。