青藤NPatch今日发布，超强人气吸引3万+人在线围观咨询

漏洞是数字资产的命门，是攻防双方争夺的要塞，是攻防对抗中最不可控、最危险的X因素，也是组织面临的“老大难”问题。

•  漏洞不可避免、越积越多

根据国家信息安全漏洞共享平台（CNVD）数据显示，每年新检测出的漏洞数量正不断增加，平均每天都能发现50个新漏洞。旧漏洞未解决，新漏洞层出不穷，使得漏洞越积越多，整个系统“风雨飘摇”，越来越难以防御。

•  漏洞修复风险大、过程慢如牛

新增漏洞不断增多，但是能修复、已修复的漏洞却很少，如供应商停更了、老旧系统不敢打补丁等。最令人担忧的是，组织漏洞修复周期长。根据发布的 Security Navigator 报告显示，组织需要约200天修复一个报告的漏洞，这期间IT基础设施很可能遭受攻击。

•  常规打补丁“难当大任”

传统依赖漏洞扫描发现漏洞，然后打补丁的方式，并不能解决当前漏洞引发的安全问题，而且漏洞修复率偏低，主要原因如下：

漏洞真实优先级与实际不匹配：目前大部分基于理论危害性进行漏洞优先级评估，这与真实情况并不匹配，导致投入大量资源在“不必要修复”的漏洞上，却忽略了真正有威胁的漏洞。

老旧系统不再维护补丁：目前有超过50%的已知漏洞并没有可修复的补丁，很多停更的应用程序和操作系统不再提供漏洞修复的补丁，例如XP操作系统。

修复漏洞可能引发潜在风险：关键业务系统漏洞修复，可能导致业务系统宕机，这种潜在风险会让漏洞修复受阻。

修复漏洞成本高：漏洞修复需要投入大量人力资源和时间资源，成本极高。

•  虚拟补丁存在“先天不足”

针对漏洞问题，除了升级官方补丁外，当前主流的方案是主机虚拟补丁。但该产品无法防护漏洞探测行为，且在架构上会对现有业务系统造成影响，主要表现在以下两方面：

产品架构方面：主机虚拟补丁需要安装一个绑定在网卡上的驱动，通过DPI技术对所有进出主机的流量进行分析过滤，才能对漏洞攻击流量进行阻断。但是，改动系统驱动有可能导致系统崩溃或影响现有业务，而且基于流量的深度报文检测（DPI）技术会消耗服务器大量的性能资源。

产品能力方面：主机虚拟补丁只能对有特征的漏洞利用行为起到防护效果，但是在漏洞探测阶段，大部分流量都是没有特征的版本请求包，主机虚拟补丁在这个阶段无法发挥有效作用。

颠覆式新思路打造的漏洞无效化新产品——青藤云幕，为硬件设备，通过旁路镜像的方式部署，不需要在主机上安装驱动，流量分析也不需要占用主机资源，不会影响现有业务主机的性能和稳定性。产品同时具备防漏洞探测扫描和防漏洞攻击利用两种能力，让系统满足合规要求，兼顾无法修复的漏洞，做到修补漏洞空窗期防护，解决漏洞利用型勒索攻击等。

图1  青藤云幕产品部署图

防御恶意漏洞探测：青藤云幕可智能识别分析网络中的漏洞探测行为，并开启对应的漏洞屏蔽方案，使黑客探测获取不到真实漏洞信息，帮助用户满足等保要求，降低因漏洞问题而被通报的风险，减少被黑客利用的机会。

图2  产品使用前后高危漏洞数量对比

防御漏洞定向攻击：青藤云幕以“安全漏洞”为视角，针对性地匹配网络资产中的漏洞信息，精准防护网络资产中真实存在的漏洞，一旦发现资产中存在真实的漏洞攻击行为，会进行针对性的屏蔽，使漏洞探测和攻击行为失效。

图3  产品防御漏洞探测和漏洞利用行为

防御病毒利用漏洞扩散：病毒可以通过漏洞在局域网中无限传播，青藤云幕通过旁路镜像的方式接入，覆盖内网流量，不但可以检测南北向流量，还可以检测东西向流量，拦截东西向的漏洞探测和攻击行为，切断利用漏洞进行病毒传播的途径。

图4  产品防止病毒扩散的三道防线

青藤云幕颠覆传统漏洞打补丁的方式，直接简化为策略的一键应用，快速实现漏洞无效化，效率提升90%，核心优势体现在以下几个方面：

实施成本低：旁路镜像流量部署，即插即用，无需安装插件，实施简单。

覆盖范围广：不局限于主机侧漏洞，网络设备、IoT多类型漏洞均可覆盖。

阻断效果好：自研算法优化+高性能匹配引擎，阻断足够快，精准度高。

业务影响小：无需更改业务逻辑，不占主机资源，对业务侵入性小。

通过大量客户的实际应用，青藤云幕在防御漏洞探测和漏洞利用方面效果显著，主要价值体现在如下几方面：

缓解安全运维压力：规避漏洞修复空窗期风险，降低安全运维压力及成本。

降低合规监管风险：漏洞屏蔽简单高效，满足等保、监管部门的合规要求。

减少漏洞利用机会：对漏洞防探测、防攻击、防扩散，降低漏洞利用风险。

漏洞屏蔽高效省心：对资产真实存在的漏洞针对性屏蔽，拦截精准，误报少。

青藤云幕，一款颠覆性漏洞无效化产品，一招让漏洞“隐身”，漏洞不能被探测，不能被利用，是您进行漏洞屏蔽的不二之选！

了解更多青藤云幕超能力，欢迎扫描二维码申请试用！