免于不断执行修补的情况重复发生，IPS虚拟修补重新浮上台面

随着骇客攻击手法不断推陈出新，对于变种弱点，软件厂商往往疲于奔命修补，却是补了东墙，又破了西墙，而企业想要掌握弱点，追踪CVE列管条目，以及软件厂商提供的更新档案，也要进行一连串的评估，才能上线，旷日费时。趋势科技技术顾问范扬堃认为，想要保护网络安全，企业要先知己知彼，才能在入侵侦测防护系统（IPS）等资安设备中，配置合宜的政策，并善用虚拟修补，免于软件更新漫长的上线过程，所衍生的资安风险，因此，在今年8月23日举办的CloudSec大会中，他强调若是透过资安研究，了解入侵侦测防护系统厂商提供的虚拟修补特征资料，更能以此减少企业的攻击面。

范扬堃指出，在网络的防护措施上，因应弱点是企业最大的挑战之一。而对于漏洞攻击的风险，透过软件厂商的修补档案，企业也需要评估是否会影响生产力，才能正式安装到环境中的设备，因此，他认为应善用IPS的虚拟修补功能，先行处置，减少软件修补的空窗期，以免只是看到单一弱点造成的某些影响，就盲目的修补，因为，这样的方式，不单仅仅是针对现况处理，甚至还会由于倚靠特征码比对，造成误判的可能性。

范扬堃以一块拼图的形状，比喻知名的疾风病毒，由于这个蠕虫后来出现了许多变种，他表示，若是透过标准的软件弱点修补，便是只有对于所发现的部分样貌，进行弱点的识别和处理，一旦变种病毒的特征码改变，原先的修补作业便不再有效，而需要另行由软件厂商重新提供修补档案，再度经由修补流程处理。而实际上，这样的使用相同漏洞，而出现大量变种的情况，去年的WannaCry等一系列利用永恒之蓝（EternalBlue）的攻击中，在前述的蠕虫之后，接着出现的Petya也是采用相同的弱点，范扬堃认为，如今这样的情况仍然相当严重。

而以趋势自家IPS产品TippingPoint中，所采用的Digital Vaccine Filter虚拟修补方式而言，范扬堃说，他们这样的做法，相较于一般的弱点侦测方式，对于前述病毒的RPC DCOM范例而言，他们会先经由一连串的行为特征检测，例如，建立在135埠上的TCP连线、捆绑了特定的RPC界面，以及出现非常长的服务器名称等情况。

范扬堃认为，使用虚拟修补的优点，便有可能在相同漏洞被再次利用之前，就提供相关防护，侦测也较为准确，但相对来说，也需要对于应用程序与网络连接埠相当深入的了解，才能如此提供防护。他也举出自家去年9月接获的CVE-2017-9805通报为例，这是一个重复利用在Apache Struts上弱点的变种攻击。该厂商表示，他们的Digital Vaccine Filter，早于在7月的虚拟修补过滤规则中，就能在网络上拦截这个在9月出现的弱点，因此，TippingPoint用户无须再设定额外的规则。而前述采用永恒之蓝的攻击手法，在这套虚拟修补系统中，企业便只要针对CVE-2017-0144处理，Petya等其他变种就不致对内部网络造成影响。