操作系統與應用程序的漏洞從來就不會消失。許多公司都在為系統打補丁的工作付出超額的人力成本，但等待安裝重要安全補丁的維護時段，則是一段艱難和危險的過程。況且，傳統的勞動密集型IT補丁流程尚未得到改善，不能足夠快地修補漏洞，這與黑客多次利用零日(0day)漏洞大規模攻擊形成鮮明對比。

趨勢科技作為全球服務器安全、虛擬化及云計算安全領導廠商，在服務器深度安全防護系統(Deep Security)和防毒墻網絡版(Office Scan)內置了虛擬補丁技術(Virtual Patching)，其用戶將可以用更低的成本構建動態安全的數據中心，全面提升企業安全管理的效率。同時，安全主管們也正在利用這種創新的補丁維護技術打破了僵局，使用虛擬補丁來保護服務器和桌面系統免受日益嚴峻的網絡威脅。

風險日益逼近 補丁管理成本消耗巨大

趨勢科技(中國區)資深產品經理張明臺舉例談到：“以微軟近期緊急通知的‘MS12-020遠程桌面的漏洞可能會允許遠端執行程序碼’為例，這包括了“遠程桌面通訊協議”中兩項未公開報告的信息安全風險，如果攻擊者將蓄意制作的 RDP封包序列傳送至受影響的系統，將允許攻擊者遠程執行程序代碼。在該漏洞發布當天，趨勢科技的客戶就收到了針對該漏洞的虛擬補丁更新。但與使用低成本、快時效、更簡便的虛擬補丁用戶相反，很多采用傳統的補丁管理方式用戶則需要在今后的一段時間里，仍然為這一類信息安全更新的等級為“重大”的補丁繼續疲憊的應付，并且他們很有可能將面臨大規模的零日(0day)漏洞攻擊。“

趨勢科技認為，在一般情況下，一旦漏洞公布之后，網絡攻擊會在一天之后就會遍地開花。自動攻擊帶來的大多數損害發生在消息發布后的前15天內，而80%的攻擊出現在60天內。曾有機構統計，現在網絡用戶使用的操作系統和應用程序，每一千行代碼中就有可能存在四至五個編碼漏洞。由于系統和應用程序的開發商不可能對所有的代碼進行嚴格的檢查，在許多情況下，調查、測試和將補丁程序部署到操作系統可能需要30天或更多時間，對于應用程序來說，通常需要更久。而且，可能遭遇的情況就是，上一個嚴重漏洞還還沒有修補，新的補丁更新程序卻已經來到。應該說，在任何一個補丁的“空檔期”，企業的安全架構都脆弱的。

與此同時，趨勢科技還發現，幾乎每個月都有數百個軟件漏洞被發現，而即時的修補不但耗費大量的人力成本，還會因為兼容性問題出現“死機”狀況，這都讓服務器隨時要做好“回滾”的準備。而且，通常對于尚在服役的舊版操作系統而言，由于需要單獨付出費用，很多服務器和終端幾乎是“赤裸”工作。許多網絡管理員、系統管理員、數據庫管理員也都對打補丁工作十分抵觸，因為這已經占據了他們日常工作中的大量時間，而安全主管則需要隨時提防數據泄露事件的發生。為了不在業務集中時段重新啟動服務器，或者調整防火墻等安全策略，“打補丁”已經成為了IT運維工程師“加班”的代名詞。

虛擬補丁——成為“安全減壓”的最佳途徑

談到解決方案，趨勢科技(中國區)資深產品經理張明臺說：“趨勢科技針對上述安全管理的難題，利用獨有的云安全技術與入侵檢測防火墻插件(HIPS plug-in)技術相結合，在服務器深度安全防護系統(DeepSecurity)和防毒墻網絡版(OfficeScan)等多項安全產品都提供了配套的虛擬補丁Virtual Patching(虛擬補丁)解決方案。“

虛擬補丁是一種基于主機的安全功能，在未對漏洞進行永久補丁修復之前，其工作原理不是修改可執行程序，而是針對網絡數據流的深層分析，檢測入站流量并保護應用程序免受攻擊。同時，趨勢科技的虛擬補丁技術整合了全球(例如 CERT、SANS、Bugtraq、VulnWatch、PacketStorm和Securiteam)第一時間公布的漏洞防護和補丁通知，并可以通過深度包檢測模塊，在流量和系統的實時監控過程中，自動發現應用程序和操作系統中的漏洞。趨勢科技為企業提供了適用于服務器和終端的完整虛擬補丁修復覆蓋范圍，作為趨勢科技服務器深度安全防護系統(DeepSecurity)產品內的一個模塊，以及防毒墻網絡版(OfficeScan)產品的一個入侵防御防火墻插件。這樣，企業安全團隊便能通過一致的管理和報告界面，將虛擬補丁部署到企業組織內的服務器和桌面。尤其是當終端的維護數量達到上百臺的規模之后，企業環境中的防毒墻網絡版用戶可通過入侵檢測防火墻插件，可、接受使用統一的安全策略，阻止訪問社交網站和掛馬網站中針對最新漏洞的攻擊代碼和流量。

近期，根據國際知名的調研機構Ogren Group 的報告顯示：“趨勢科技虛擬補丁方案，可以讓IT 部門以有序方式安排補丁工作的部署，這為安排補丁優先級、永久補丁修復和軟件源代碼修正都爭取了時間。在應對零日(0day)攻擊方面，這項技術在廠商未推出正式補丁之前，以及不再提供商業支持的舊版軟件(或許永久都不會出現補丁)最佳方案。”同時，Ogren Group 還建議企業利用虛擬補丁所帶來的成本節省優勢。尤其是虛擬補丁技術可為IT人員提供簡便的補丁管理流程，這將極大的延長了許多舊版應用系統的生命周期，讓投資回報率成倍增長。例如，使用Windows 2000Server的支持合同起價為每季度五萬美金，而Oracle 10.1、Red Hat 3 和 Solaris 8也都有按補丁付費的計劃。

虛擬補丁——提供數據中心的持久動力

虛擬化技術以其便捷性、靈活性、擴展性的特點，已經滲透到了數據中心的每個角落。企業投入有限資源來實現IT價值最大化、追求高回報率、提供最佳的服務水平，以及永不停機的神話，這是虛擬化技術的最強優勢。趨勢科技虛擬補丁方案除了為舊版應用服務器提供的最小維護成本之前，還避免了因為打補丁所必須要進行的重新啟動，或者因為兼容性問題造成的業務中斷。

對于哪些需要符合服務水平協議(SLA)的關鍵業務，用戶在使用Deep Security產品時，都可以在不停機的狀況下得到補丁修正，這為履行簽訂的“服務器在線運行時長、可用率”提供了兌現的可能。由于降低對操作系統與應用程序的干擾，虛擬補丁會根據主機導向的規則來檢查漏洞，同時攔截攻擊的流量，因此對于哪些“不可隨意亂碰”、“敏感”的Oracle、SAP與定制化應用程序，當出現兼容性問題時，用戶只需要關閉規則，而不是大費周折的進行“回滾”操作。

此外，趨勢科技虛擬補丁方案可以通過一個補丁實例可以保護多臺虛擬機，Deep Security通過自動保護服務器上所有虛擬機的應用程序漏洞，為IT人員節省時間和精力，而大部分時間內，這都是一項自動化的運維工作。例如：之前ASP.NET中存在的高危漏洞 (CVE-2011-3414)，安裝了趨勢科技Deep Security的用戶，則可以不用擔心此類的拒絕服務威脅。

傳統的勞動密集型 IT 補丁流程已經不在適應與大型計算中心、私有云、虛擬化，因此，在虛擬化平臺上采用自動補丁管理來替代手工操作的需求已經十分明顯。相信，隨著數據整合時代的到來，虛擬補丁能夠以更低的成本、更快時效、更簡便的流程，有效封堵黑客與惡意代碼攻擊，這已經成為云計算和虛擬化的進程中不可或缺的安全工具。