====== Virtual Patching ====== **Virtual Patching** (známý také jako externí patchování) je bezpečnostní mechanismus, který vytváří ochrannou bariéru kolem aplikace nebo systému. Tato bariéra zachycuje a blokuje provoz, který se pokouší zneužít známou zranitelnost, dříve než tento provoz dosáhne samotného cíle. ===== 1. Princip fungování ===== Na rozdíl od tradičního patchování, které mění binární soubory aplikace, Virtual Patching implementuje pravidla na síťových prvcích. Funguje v několika krocích: 1. **Identifikace zranitelnosti:** Je objevena chyba (např. pomocí skeneru zranitelností nebo hlášení CVE). 2. **Analýza exploitace:** Bezpečnostní experti určí, jak vypadá síťový provoz, který se tuto chybu pokouší zneužít. 3. **Vytvoření pravidla:** Do bezpečnostního nástroje (WAF, IPS) je přidáno pravidlo (signatura), které tento specifický provoz rozpozná a zahodí. 4. **Ochrana:** Systém je chráněn, i když aplikace pod ním je stále technicky zranitelná. --- ===== 2. Kdy se Virtual Patching používá? ===== Tato technika je nepostradatelná v situacích, kdy nelze aplikovat standardní opravu: * **Legacy systémy:** Staré systémy, pro které výrobce již nevydává aktualizace (End of Life). * **Critical Uptime:** Servery, které nemohou být restartovány mimo plánovanou údržbu. * **Vlastní aplikace:** Oprava chyby ve vlastním kódu může trvat týdny; virtuální patch zajistí ochranu během několika minut. * **Zero-day útoky:** Rychlá reakce na nově objevené hrozby, pro které ještě neexistuje oficiální oprava. --- ===== 3. Nástroje pro implementaci ===== Virtual Patching se nejčastěji realizuje pomocí: * **WAF (Web Application Firewall):** Specializované na HTTP/HTTPS provoz, chrání před útoky jako SQL Injection nebo XSS (např. ModSecurity, Cloudflare, F5). * **IPS (Intrusion Prevention System):** Hloubková kontrola paketů na síťové vrstvě (např. Snort, Suricata). * **NGFW (Next-Generation Firewall):** Kombinují firewall s detekcí průniků. --- ===== 4. Výhody a nevýhody ===== ^ Výhody ^ Nevýhody ^ | **Rychlost:** Ochrana může být nasazena během minut. | **Není to trvalé řešení:** Skutečná chyba v kódu stále existuje. | | **Bez restartu:** Nevyžaduje odstávku systému. | **Falešná pozitiva:** Příliš přísné pravidlo může blokovat legitimní uživatele. | | **Snížení rizika:** Překlenuje období "Window of Exposure". | **Výkon:** Kontrola provozu může mírně zvýšit latenci sítě. | --- ===== 5. Virtual Patching vs. Tradiční Patching ===== Virtual Patching by neměl být vnímán jako náhrada, ale jako **komplementární strategie**. V ideálním případě organizace nasadí virtuální patch okamžitě po zjištění hrozby a následně v rámci plánované údržby provede řádné otestování a instalaci oficiální systémové záplaty. ---- //Související články:// * [[it:sec:security_threats|Kybernetické hrozby a prevence]] * [[it:net:firewalls|WAF a síťová bezpečnost]] * [[it:dev:testing|Hledání zranitelností a QA]] //Tagy: {{tag>security virtual-patching waf ips cve exploits devops}}//