【末日救星?】2021新漏洞數量破紀錄 微修補可解燃眉之急
修補漏洞 (patching) 可說是 IT 部門最怕遇到的問題,不過單在 2021 年,NationalVulnerability Database 便錄得約 22,000 個新漏洞,而更大的問題是,供應商平均需要 60 日才能提供安全修補檔案!要減少空窗期的風險,微修補 (micropatching) 會是唯一出路?
有關漏洞的新聞已報導過很多,例如去年 Adobe 的 log4j 漏洞便對業界影響深遠,尤其是大部分軟硬件或服務供應商都未能像 Adobe 或其他科技龍頭公司一樣,能在最短時間內推出安全修補檔案,大大增加企業客戶遭受攻擊的風險。另一方面,現實情況是不少企業就算明知供應商已推出修補檔案,但仍遲遲未能進行更新,主要是因為更新過程往往需要重啟系統,所有業務營運都被迫中斷,而且隨時要中斷多個小時,在一拖再拖下便有上述情況出現。其他原因還包括企業未必會直接使用修補檔案,IT 部門首先要測試安裝後有可能出現的狀況,同樣會導致延遲更新。
為了解決上述問題,微修補概念應運而生。Micropatching 的概念是只以最簡單的程式碼修補一個漏洞,好處是毋須重新啟動系統,不會影響企業正常運作,能夠快速堵塞安全風險,其次是因為編碼內容較單純,因此IT部門未必需要進行複雜測試就可使用。此外,對於供應商已停止支援的產品或服務,微修補服務更是企業堵塞漏洞的必要助力。
雖然微修補好處多多,但仍有一定限制,例如無法用於 PHP、Python 這類執行時才轉換編碼的 scriptedcode 之上。安全性方面亦成疑,因為現時主要是第三方提供微修補檔案,缺乏一個可信的交付途徑,因此下載時有可能被混入惡意內容,而且相關修補亦有可能違反原廠的版權使用許可條款,有可能得不到其他售後服務。
現時 micropatching-as-a-service 仍在起步階段,是否有可能成為供應商認可的急救措施亦是未知之數,暫時企業要堵塞漏洞,還是要寄望供應商爭氣。