Виртуальные патчи

УДК 004.056.53

Термин «виртуальный патч» изначально предложен производителями систем предотвращения вторжений (англ. Intrusion Prevention System - IPS). Виртуальный патч –  это механизм, который исключает возможность использования уязвимости в ПО и не требует внесения изменений в исходный код ПО. Реализуется этот механизм в слое обеспечения безопасности, который осуществляют анализ и фильтрацию входящего трафика.

Информация о найденных уязвимостях, публикуется в Интернете  на открытых ресурсах. С одной стороны это позволяет учитывать их при разработке нового ПО. С другой стороны позволяет менее опытным пользователям использовать, описанные уязвимости, и проводить атаки.

Поддерживание актуального состояния IT-инфраструктуры предприятия, в плане защиты от уязвимостей и угроз,  требует временных и экономических затрат. Десятки критических уязвимостей и обновлений появляется каждую неделю.

Но применение патчей  возникает ряд трудностей. Внесение изменений патчем в работающую систему, например СУБД, требует простоя системы. При этом простой может оказаться дорогостоящим. С учетом стремления к обеспечению доступности системы 24 x 7 простой системы неприемлем. После успешного обновления требуется проверить работоспособность и совместимость всех приложений СУБД. При выявлении проблем в установке потребуется проводить процедуру восстановление резервной копии. Также, некоторые производители ПО сертифицируют свои приложения для конкретной версии СУБД, что может задержать установку свежих патчей.

По данным Positive Technologies - одной из ведущих Российских компаний в области информационной безопасности, по состоянию на 2011 год 37% обнаруженных уязвимостей остаются не исправленными. По заключению к отчету «Статистика уязвимостей веб-приложений 2012» сообщается, что 45% рассмотренных систем содержат уязвимости, отнесенные к высокой степени риска. Кроме того, на 9 из 10 ресурсов обнаружены уязвимости среднего уровня риска, что близко к результатам прошлых двух лет.

Рис.1.Наиболее распространённые уязвимости среди веб-сайтов за 2012 год

Частично избавить от перечисленных возможных проблем позволяет механизм виртуальных патчей, перечислим некоторые его преимущества:

• реализация на нескольких узлах, вместо установки на каждой отдельной машине
• уменьшает вероятность введения новых конфликтов, т.к. не требуется внесения изменений 
• сокращает временные и денежные затраты на исправления
• стратегии управления патчами включает сокращения временного периода между первоначальной обнаружением уязвимости и началом мероприятий по устранению
• позволяет выиграть время на принятие мер, по исправлению уязвимости, уже тогда, когда патчи не ещё не доступны
• обеспечивает защиту  критических узлов, для которых простой не допустим.
• помогает смягчить высокую альтернативную стоимость незапланированного простоя, который может легко обернуться ощутимыми убытками

Механизм виртуальных патчей можно реализовать посредством IPS-систем, либо в случае веб-приложений Web Application Firewall(WAF) или с помощью модуля к веб-серверу.

Коммерческие решения по организации механизма виртуальных патчей, доступные на рынке IT-безопасности:

• IBM Security Intrusion Protection System
• McAfee Virtual Patching for Databases
• Trendmicro Deep Security 9
• Hedgehog vPatch
• ModSecurity
• Imperva WAF Testing Framework

Организациям следует внимательно рассмотреть возможности виртуальных патчей в дополнение своей системы управлениями патчами и эффективного управлениями угрозами.