近年来，信息技术快速发展和普及，改变了企业运营和个人生活的方式，但也让网络安全问题变得越来越复杂。

 

根据CNVD （国家信息安全漏洞共享平台）公开数据显示，自2015年以来，信息系统安全漏洞的数量一直持续走高，年平均增长率达到了21.6%。2022 年披露出来的安全漏洞则多达23900+，其中，中高危漏洞占比近89%。安全漏洞问题空前严峻。

 

而在漏洞高发的十大企业中，微软、谷歌、苹果、三星等我们耳熟能详的企业赫然在列。这些企业的用户数量巨大，如果其漏洞被人恶意利用，那么将会给全球范围内的企业和个人带来极大的风险。

 

企业陷入漏洞管理困境

 

青藤云安全流量产品事业部总经理焦东辉向CBI记者指出，虽然很多企业都购买了漏洞扫描产品或服务，但是大部分企业仍无法修复自身的漏洞。根据Kenna Security和the Cyentia Institute统计的数据，企业漏洞修复率还不到20%。

 

而且，随着国外政府加强了对漏洞信息披露的管控，国内相关产品系统将面临获取漏洞信息滞后、甚至无法获取漏洞信息的风险，导致漏洞修复的空窗期被延长，或无法通过原厂商及时修复漏洞。

 

“青藤在做主机侧安全产品时就发现，很多企业的业务系统都存在漏洞，而且他们在日常的漏洞管理中会遇到很多困境。”焦东辉介绍，这些困境主要体现在五个方面：

其一，老旧系统补丁修复难。如Win7、XP等系统，供应商已经停止服务支持，没有补丁可以修复；还有些关键业务系统，由于业务对这类系统的依赖性太强，担心在修复漏洞的过程中会影响系统运行，进而影响到业务正常运转，所以不敢修复。

其二，漏洞修复空窗规避难。从发现漏洞，到在生产环境中全面打补丁修复，企业中通常要经过很多标准流程，会经历一个漫长的时间周期。而在此期间，漏洞风险一直暴露在外。

其三，漏洞分析处置运维难。漏洞的分析处置对安全管理人员的水平要求较高，如何选择最合理的加固措施也是一个较大的挑战。漏洞的全生命周期管理与运营是一项持续性的、长期的工作，需要强有力的团队和服务力量作为保障，但很多企业都缺少相应的人才。

其四，监管合规检查应对难。监管单位会定期做漏洞扫描，一旦扫出高危漏洞就会进行通报，并要求企业限期修复；如果扫描出来的高危漏洞不能修复，企业就不能通过等保测评；新业务系统上线前后也要进行漏洞合规性检查。但是恶意扫描、探测、利用等行为很难在第一时间识别处置。

其五，防御漏洞勒索病毒难。勒索病毒主要通过漏洞发起攻击，局域网内大量老旧系统无法修复的漏洞可能会变成病毒传播的重灾区。

 

与此同时，企业不得不面对一个现实——市场上已有的针对漏洞防护的三类安全产品都存在一定局限性：

补丁管理类产品需要等待原厂商发布补丁，往往滞后于漏洞攻击时间；而且补丁的验证和影响评估周期长，跨部门沟通成本高。

主机防护类产品由于存在兼容性问题，对业务主机的性能会有一定影响，而且覆盖不到网络设备、以及物联网终端。

NIPS/WAF类产品通常串接部署在网络边界，如果出现故障，对业务的影响很大，对横向的漏洞防护也有限；而且通用规则库类的安全产品容易出现误报，分析确认周期长，运营成本也很高。

“正是基于这些原因，青藤决定帮助企业用户解决漏洞管理的痛点。”焦东辉告诉CBI记者，“在2021年下半年，青藤就开始立项进行产品研发。”

 

如何让漏洞无效化？

 

那么，到底该如何快速有效的让漏洞无效化，减少企业用户在漏洞管理中的压力呢？

 

焦东辉表示，在青藤看来，“修复漏洞”的本质，是使漏洞无法再被恶意利用、失去利用的价值。也就是说，如果漏洞难以被外部发现，也就难以被内外部利用，那么在修复漏洞的空窗期，这个漏洞所产生的安全风险就会被极大程度的降低。

 

青藤近日发布的青藤云幕NPatch漏洞无效化解决方案（以下简称“青藤NPatch”）就是这样一款能屏蔽网络中的漏洞利用行为，实现“漏洞无效化”的网络安全设备。

 

据介绍，青藤NPatch拥有三大核心功能：

一、防御恶意漏洞探测：青藤NPatch可以智能识别分析网络中的漏洞探测行为，并开启对应的漏洞屏蔽方案，使黑客探测获取不到真实的漏洞信息，减少被黑客利用的机会，同时帮助用户满足等保要求，降低因漏洞问题而被通报的风险。

二、防御漏洞定向攻击：青藤NPatch以“安全漏洞”为视角，针对性地匹配网络资产中的漏洞信息，精准防护网络资产中真实存在的漏洞，一旦发现网络流量中存在真实的漏洞攻击行为，就会进行针对性的屏蔽，使漏洞探测和攻击行为失效。

三、防御病毒利用漏洞扩散：病毒可以通过漏洞在局域网中无限传播，青藤NPatch通过旁路镜像的方式接入，覆盖内网流量，不但可以检测南北向流量，还可以检测东西向流量，拦截东西向的漏洞探测和攻击行为，切断利用漏洞进行病毒传播的途径。

 

青藤NPatch的诞生

 

据了解，青藤NPatch是青藤成立近十年以来推出的第一款硬件安全产品，那么青藤究竟是出于什么原因推出了新的产品形态？在研发过程中又产生了哪些不同于以往的思考呢？

 

焦东辉告诉CBI记者，其实青藤研发安全产品并不局限于产品的物理形态，而是基于客户的应用场景去考虑，尽可能选择更简单、更高效的方案去解决客户的问题。所以，在了解潜在目标用户的网络管理情况后，青藤决定采用软硬一体化交互的方式，通过对硬件的选型和优化，让软件在特定的硬件平台里发挥出最大的效果。同时，为了让用户更方便、更快捷的部署这款产品，采用了可以即插即用的硬件设备。

 

焦东辉坦言，由于这是青藤第一次做硬件设备，以往青藤软件产品的研发在实现相应的功能和性能要求以外，更多的要考虑对操作系统及应用软件的兼容性以保障产品的稳定运行，但对硬件产品来说对系统的兼容性就不是主要问题了，一方面要做好硬件的选型，最大化发挥软硬结合的优势；另一方面在相对固定有限的硬件平台上还要做好硬件成本和效能的平衡，所以软件的性能优化就非常关键。产品要做减法，聚焦核心功能，减少不必要的性能开销。同时还要考虑各种网络环境的适应性和可靠性要求，降低部署的复杂度和后期的维护成本。

 

“最难的是，青藤NPatch是一款全新的产品，在业内根本没有人做过类似的产品，青藤必须从0到1去原创出这个产品。所以，在研发阶段，为了实现以客户需求为中心，打磨出更好的产品，青藤与不同行业的客户合作进行试点，希望能为不同的业务场景提供价值。” 焦东辉表示。

 

试点时，如果青藤NPatch的阻断效果没有达到预期，青藤就会安排研发人员去客户的公司，深入了解不同客户的网络情况，再不断适配和调优自己的产品，在帮助客户解决问题的同时，增强产品在不同网络环境下的适应性。遇到一些办公环境特殊、青藤人员不能驻场的情况时，青藤还会采购一些与客户相同的设备，自己搭建与客户相似的仿真环境，得出内部测试的结果，再去客户环境中调优。就这样，青藤攻克了很多不同的应用场景，并从中抽象出通用的产品功能，快速打磨出了今天的青藤NPatch。

 

据悉，为了提高青藤NPatch的漏洞分析与检测能力，青藤自有的专业的漏洞分析团队和安全攻防团队：73Lab安全实验室和吴钩实验室，为研发团队提供各种资源支撑。

 

焦东辉指出：“在这个过程中，无论是产品经理，还是负责研发、测试的同事，都投入了很多的心血和精力。这个过程帮助青藤提升了产品竞争力，也提高了竞争的门槛。”

 

立竿见影的价值和优势

 

如今，青藤NPatch已经应用在多个行业场景中，如医疗、烟草、政府、公安、互联网、金融、交通、能源、制造、电信、教育、以及一些大型央企等等。

 

焦东辉向CBI记者透露，有些客户从试点开始应用青藤NPatch，目前青藤NPatch已经在这些客户内部稳定运行一年多的时间，产品的可靠性也得到了检验。

 

通过大量客户的实际应用，可以看到，青藤NPatch在防御漏洞探测和漏洞利用等方面都取得了显著的效果：

第一，减少了黑客利用漏洞的机会：对漏洞防探测、防攻击、防扩散，增加了黑客利用漏洞的难度，减少了资产的暴露面，降低了漏洞利用的风险。

第二，缓解了安全运维的压力：通过快速屏蔽漏洞，规避了漏洞修复空窗期的风险，降低了安全运维的压力和成本。

第三，漏洞屏蔽高效省心：对资产真实存在的漏洞进行针对性的屏蔽，拦截精准度高，误报少，让漏洞管理人员更省心。

第四，降低了合规监管风险：漏洞屏蔽方式简单高效，可以帮助企业满足等保、监管部门的合规要求。

 

谈到青藤NPatch的优势时，焦东辉也总结了四个方面：

一、实施成本低：由于采用旁路镜像流量部署，青藤NPatch实施非常简单，可以即插即用，不需要在每一台服务器上安装插件，也免去了跨部门的沟通成本。

二、覆盖范围广：区别于Agent主机防护的方式，青藤NPatch不仅能屏蔽服务器侧的漏洞，还可以屏蔽各种网络设备漏洞，如摄像头、打印机、工控设备等等。

三、阻断效果好：青藤NPatch是基于青藤自研的算法深度优化，并采用了软硬件相结合的机制、高性能匹配引擎，阻断速度足够快，精准度高。在旁路部署的情况下能够实现接近串接部署的阻断效果。

四、业务影响小：无需更改业务逻辑，对业务侵入性小，不会利用服务器资源来解析流量，不占用主机资源。

“凭借这四大突出的优势，青藤NPatch可以在很大程度上减少用户实施产品和产品上线过程中不必要的开销和成本，让项目低成本推进下去。” 焦东辉谈到。

 

如何用好青藤NPatch？

 

焦东辉建议，用户在使用青藤NPatch之前，首先要对自己的网络拓扑有基本的了解，知道把设备部署在什么位置最合适。其次，要知道希望重点保护的目标应用服务器或主机网络地址段是哪些。第三，要提前对自己的漏洞扫描设备或安全设备进行一些梳理，梳理出重点防护的漏洞信息，这样会便于青藤NPatch进行更精准的屏蔽。

 

“事实上，对漏洞进行有效管理是一个综合性的、体系化的过程，青藤NPatch只是其中的一环。”焦东辉坦言，从产品层面来说，青藤NPatch刚刚走完了漏洞管理的第一步，后面还有很多场景等待青藤去挖掘和探索。未来将把青藤NPatch进一步融合到整个漏洞管理解决方案中，推出更多围绕漏洞管理的产品和解决方案。

 

“青藤希望大家可以多给我们反馈产品应用的效果；希望能帮助大家进一步提高整体的安全运营效率、化解漏洞的风险，让用户的业务系统和数据资产更加安全；也希望能在构建安全体系的过程中，和客户一起创新产品价值，从帮助客户降低风险、实现合规往前再走一步，和客户一起思考如何用安全来驱动业务增长。这是我们后续努力的方向和目标。” 焦东辉告诉CBI记者。