青藤NPatch今日发布，超强人气吸引3万+人在线围观咨询

6月29日，以“漏洞无效·安全有道”为主题的青藤云幕·漏洞无效化新产品发布会成功举办。会上青藤云安全流量产品事业部总经理焦东辉正式发布青藤漏洞无效化新产品，并做了详细介绍。同时，本次新品发布会非常荣幸邀请到了南京公路发展集团信息中心副主任陈庆、中国中医科学院西苑医院信息管理中心主任陈海强、和睦家医疗信息安全负责人楚春鹏等重量级行业客户及专家，分享和探讨应对漏洞难题的挑战和方案。

传统漏洞修复面临的挑战

漏洞是数字资产的命门，是攻防双方争夺的要塞，是攻防对抗中最不可控、最危险的X因素，也是组织面临的“老大难”问题。

漏洞多如牛毛，能修复的却很少

• 漏洞不可避免、越积越多

根据国家信息安全漏洞共享平台（CNVD）数据显示，每年新检测出的漏洞数量正不断增加，平均每天都能发现50个新漏洞。旧漏洞未解决，新漏洞层出不穷，使得漏洞越积越多，整个系统“风雨飘摇”，越来越难以防御。

• 漏洞修复风险大、过程慢如牛

新增漏洞不断增多，但是能修复、已修复的漏洞却很少，如供应商停更了、老旧系统不敢打补丁等。最令人担忧的是，组织漏洞修复周期长。根据发布的 Security Navigator 报告显示，组织需要约200天修复一个报告的漏洞，这期间IT基础设施很可能遭受攻击。

打补丁修复，难以解决漏洞难题

• 常规打补丁“难当大任”

传统依赖漏洞扫描发现漏洞，然后打补丁的方式，并不能解决当前漏洞引发的安全问题，而且漏洞修复率偏低，主要原因如下：

漏洞真实优先级与实际不匹配：目前大部分基于理论危害性进行漏洞优先级评估，这与真实情况并不匹配，导致投入大量资源在“不必要修复”的漏洞上，却忽略了真正有威胁的漏洞。

老旧系统不再维护补丁：目前有超过50%的已知漏洞并没有可修复的补丁，很多停更的应用程序和操作系统不再提供漏洞修复的补丁，例如XP操作系统。

修复漏洞可能引发潜在风险：关键业务系统漏洞修复，可能导致业务系统宕机，这种潜在风险会让漏洞修复受阻。

修复漏洞成本高：漏洞修复需要投入大量人力资源和时间资源，成本极高。

• 虚拟补丁存在“先天不足”

针对漏洞问题，除了升级官方补丁外，当前主流的方案是主机虚拟补丁。但该产品无法防护漏洞探测行为，且在架构上会对现有业务系统造成影响，主要表现在以下两方面：

产品架构方面：主机虚拟补丁需要安装一个绑定在网卡上的驱动，通过DPI技术对所有进出主机的流量进行分析过滤，才能对漏洞攻击流量进行阻断。但是，改动系统驱动有可能导致系统崩溃或影响现有业务，而且基于流量的深度报文检测（DPI）技术会消耗服务器大量的性能资源。

产品能力方面：主机虚拟补丁只能对有特征的漏洞利用行为起到防护效果，但是在漏洞探测阶段，大部分流量都是没有特征的版本请求包，主机虚拟补丁在这个阶段无法发挥有效作用。

一键屏蔽漏洞的安全神器—青藤云幕

颠覆式新思路打造的漏洞无效化新产品——青藤云幕，为硬件设备，通过旁路镜像的方式部署，不需要在主机上安装驱动，流量分析也不需要占用主机资源，不会影响现有业务主机的性能和稳定性。产品同时具备防漏洞探测扫描和防漏洞攻击利用两种能力，让系统满足合规要求，兼顾无法修复的漏洞，做到修补漏洞空窗期防护，解决漏洞利用型勒索攻击等。

图1 青藤云幕产品部署图

核心功能

防御恶意漏洞探测：青藤云幕可智能识别分析网络中的漏洞探测行为，并开启对应的漏洞屏蔽方案，使黑客探测获取不到真实漏洞信息，帮助用户满足等保要求，降低因漏洞问题而被通报的风险，减少被黑客利用的机会。

图2 产品使用前后高危漏洞数量对比

防御漏洞定向攻击：青藤云幕以“安全漏洞”为视角，针对性地匹配网络资产中的漏洞信息，精准防护网络资产中真实存在的漏洞，一旦发现资产中存在真实的漏洞攻击行为，会进行针对性的屏蔽，使漏洞探测和攻击行为失效。

图3 产品防御漏洞探测和漏洞利用行为

防御病毒利用漏洞扩散：病毒可以通过漏洞在局域网中无限传播，青藤云幕通过旁路镜像的方式接入，覆盖内网流量，不但可以检测南北向流量，还可以检测东西向流量，拦截东西向的漏洞探测和攻击行为，切断利用漏洞进行病毒传播的途径。

图4 产品防止病毒扩散的三道防线

核心优势

青藤云幕颠覆传统漏洞打补丁的方式，直接简化为策略的一键应用，快速实现漏洞无效化，效率提升90%，核心优势体现在以下几个方面：

实施成本低：旁路镜像流量部署，即插即用，无需安装插件，实施简单。

覆盖范围广：不局限于主机侧漏洞，网络设备、IoT多类型漏洞均可覆盖。