我每天被问到的问题:
我们有应用程序白名单,为什么我们需要修补漏洞?
我们有防火墙那么为什么我们需要修补漏洞?
我得到的评论是:
我们的计划是进一步加强系统。如果执行此操作,则不必更新操作系统并继续对其进行修补。没有人能够解决这些漏洞。此外,我们将修复操作系统向外的部分中的漏洞(即使它们本身没有能力修补漏洞),然后我们可以不修补非外部的漏洞。我已经详细说明了Nessus凭证扫描。我不确定如何向这些工程师传达我的观点。关于如何解释这一点有什么想法吗?
更新:正在修补系统。感谢大家的回应和帮助。
#1 楼
这种情况的麻烦(如您所报告的那样)是,有很多假设是基于很多观点。您有自己的意见,希望他们分享您的意见,但是他们有自己的意见。如果要让每个人都同意某件事,则需要找到共同点。您需要挑战并确认每个假设,并找到可靠的数据来支持您的观点或观点。一旦有了共同点,就可以一起前进。有没有解决的办法?列入白名单的应用程序是否可以损坏?
防火墙有什么作用?如何配置?防火墙表示阻止的端口,但也表示允许的端口。那些允许的港口可以滥用吗?
没有人可以访问吗?谁有权使用该设备?您是信任内部人员还是用户的无知来确保其安全?
如果有人可以本地访问设备会发生什么?
作为信息安全专业人员,您的工作不是以“最佳实践”打败人,而是进行风险分析并设计出将风险限制为最小的方法划算的门槛。您必须证明不采用最佳做法,但是如果证明是有效的,那么它就是有效的。
评论
我对此表示赞赏。我认为我以“最佳做法”殴打他人而感到内gui。我能够找到证据证明白名单可以被黑客入侵。可以访问计算机,但不能访问操作系统桌面。再次感谢。
–肯
17年12月22日在10:32
@Ken您应该在上一段之间读到的是,最佳实践并不总是最好的。
– Blfl
17年12月22日在13:16
最佳做法基于当前的知识。没有人是无所不知的,因此当前的最佳实践不会永远保持这种状态。当前的最佳做法一旦过时,则是由于新发现的一些基本缺陷。
–尼尔森
17年12月22日在16:34
最佳实践不是依靠列举的当今最佳实践,而是通过假设系统不可入侵并进行相应设计来使您的系统万无一失。
–轨道轻度竞赛
17/12/22在17:41
@Ken“可以访问计算机,但不能访问OS桌面”-我打开您的计算机,用自己的OS连接磁盘,启动它,然后对系统上的所有内容进行所需的更改。或者我只是打开它,取出磁盘,然后卖给出价最高的人。
–aroth
17年12月23日在13:02
#2 楼
如果有人告诉我他们的机器不可黑客,我应该相信他们,我会立即得出结论,该机器在诺克斯堡/高安全监狱条件下受到监视,有24 / 7个警卫和监控摄像头,
以及以下之一:
该机器不交换任何类型的信息(没有USB,以太网,火线) ,串行,并行等)
机器永久关闭。
评论
24/7后卫?好了,您刚刚有了一个完美的攻击载体!永远不要低估内部威胁的力量。
–森林
17年12月22日在13:00
唯一无法破解的系统是在保险柜内,该保险柜已被焊接关闭,并从船上推入Marianas海沟。然后船员全被枪杀以保持其位置的秘密。
– Monica辩护律师走出去
17/12/22在14:06
另外,听到“最安全的计算机是未插电的计算机”之类的消息时,我总是很生气,因为这完全违反了可用性CIA三合一原则。拔出的计算机是最终不安全的计算机,完全拒绝服务。
–森林
17年12月22日在14:14
在我们正在进行的GSS审核期间,我们的安全人员不断用“门,枪和警卫不足”来保护我们,以保护气密的媒体。顺便说一句,我们位于美国陆军基地内。
– doneal24
17年12月22日在16:12
@Adonalsium正在努力。我们都知道,唯一不可入侵的系统是跨越事件视界的系统。
–R .. GitHub停止帮助ICE
17年12月22日在18:26
#3 楼
因为您需要具有深度防御的多层安全策略。您有防火墙,但是如果防火墙中存在安全漏洞,该怎么办?如果某个应用程序利用漏洞授予用户级别的OS访问权限,然后通过未修补的OS漏洞将该漏洞升级为root访问权限,该怎么办?为了获得适当的安全性,您需要修补所有已知漏洞,而不仅仅是修补您认为可以在系统上利用的漏洞,因为未知漏洞和您认为无法利用的已知漏洞的组合可能会在以下两个位置上造成损害它本身不会,而且您也无法修补未知漏洞。评论
@KalleMP这是一个答案,并具有修补功能。风险评估从本质上就是“价值判断”,如果安全性就像“只要做所有正确的事情”一样容易,那么信息安全行业将只需要技术人员来操作按钮。正如《任择议定书》所指出的那样,现实远不止于此。
– schroeder♦
17/12/28在8:53
我一直在寻找“纵深防御”一词。对这些人来说,这是最简单的答案,通常是最好的答案。
–通配符
17年12月29日在4:06
#4 楼
原因很简单,安全性是分层应用的。例如,要连接到重要的数据库,首先需要进入数据库的网络(通过防火墙),将自己的IP地址添加到允许连接的客户端列表中,然后使用用户名和密码启动连接。任何一层都使其他两个冗余。问题是“如果”。让我们考虑一下旧Oracle的默认scott / tiger登录,或者某个员工无意间将端口转发到了公共Internet。防火墙可能仅阻止TCP,而服务器也侦听UDP,或者IPv6配置错误,并且安全性仅适用于IP4。这就是为什么良好的安全性会层层出现,监视企图并让安全专家从企图(希望失败的)攻击中学习,或者检查蜜罐上的活动的原因。此外,零日漏洞利用(甚至适用于最新补丁的漏洞)在分层环境中也不太可能成功,因为攻击者需要对每一层进行利用。只是之前没有被黑客入侵。您的设备兴趣不足和/或收益很低。零日漏洞利用可能仍然存在。此外,某些Android设备无法完全升级到特定版本之外。知道对手是否拥有这样的设备是黑客的公开邀请,因为设备名称/品牌带有如何黑客的确切方法。从功能角度讲。我不知道您的设备正在运行的上下文,但是鉴于您所写的内容,它可能容易受到防火墙内部已有人员的攻击。<br />
#5 楼
没有不可破解的系统。对于那些提到气隙的人,有很多关于气隙系统的实际黑客或潜在黑客的例子。 Stuxnet可能是最著名(也是最极端)的例子。其他一些包括van Eck吞咽,声学分析或其他旁道攻击。有一些方法可以缓解漏洞,而无需修补程序。例如,如果系统容易受到KRACK的攻击,是否可以简单地禁用WiFi?如果永久禁用了WiFi,则无需应用任何涉及WiFi的更新。同样,如果系统上存在构成漏洞的特定应用程序(如Java,.NET,Flash,浏览器等),则可以简单地卸载这些应用程序。如果尚未安装Java,则无需更新。
随着操作系统的升级,这无疑更加困难。您需要了解潜在的漏洞,然后需要缓解它们。使用受支持的操作系统的好处是(大概)已经有人在为您完成第一部分和第二部分的一半。
完全更新/升级的系统不是安全或无法破解的系统。但是,它的确可以将已知漏洞的风险降到最低。
要回应施罗德,风险分析比“强化/锁定”或盲目“升级”更为重要,并希望这两种方法可以使您更加安全。
评论
Stuxnet是违反安全政策的结果,范克(ph eck)phreaking和其他此类攻击违反了机密性,但不违反完整性。称他们为“黑客入侵”将是一个绝望。至于“没有不可破解的系统”,EAL7 +的东西就差不多了!
–森林
17/12/22在22:02
这是机密性和完整性之间的一个很好的区别。 OP没有提到系统安全性的目标,而我自己的经验更多地集中在与机密性相关的风险上。
–子午线
17年12月22日在22:25
wired.com/2017/02/malware-sends-stolen-data-drone-just-pcs-blinking-led/-再次可以说这违反了气隙政策-但仍然有点乐趣d分享。
–user81147
18年1月24日在9:54
#6 楼
没有系统是真正的“不可破解的”。但是,一旦我们确定系统足够“不可破解”,那么我们就不必维护安全补丁的渠道。举一个具体的例子,我们的“不可破解”系统控制着安全摄像机。相机的工作是看固定的位置。每个设置都是恒定的,或者系统足够智能以自行调整。系统可以流式传输视频数据,不需要用户输入任何信息。
我们可以让系统运行ssh,以便我们可以定期登录并应用安全补丁,但实际上打开了一个(非常小)安全孔。攻击者可以使用ssh入侵相机。 (祝您好运hack ssh)。
所以这是一个折衷。如果您诚实地认为您永远都不需要应用安全补丁,那么您可能会认为开放该通道是不值得的。他们为政府而建。该系统的组件是寿命短的虚拟机(通常少于一天)。每个虚拟机都是不可变的并且是一次性的。计划是,如果他们需要应用安全补丁,那么他们将仅以有序的方式处理机器并创建新机器。虚拟机没有ssh。
政府安全审核员炸掉了垫片,并安装了ssh,以便可以应用安全补丁。 ssh服务器没有提供任何安全性值,实际上是一个漏洞。
但是,考虑一下,这个(和我的相机)示例只是通过非传统渠道的安全性更新。
部署在火星上的摄像机呢...每个人都知道该摄像机,每个人都可以查看该摄像机的数据
一个秘密存在于敌人身后的摄像机线(如果敌人知道相机,他们可以轻松地拿走……我们是否想维护一个安全更新通道)。
评论
即使您希望以后再应用安全补丁,一种可行的解决方法是要求物理访问以及篡改保护。
– Nzall
17年12月22日在17:33
但是摄像机大概必须将其镜头上传到远程位置,假设攻击者通过欺骗其DNS使其上传到攻击者的服务器?并假设网络堆栈中存在缓冲区溢出,攻击者可以利用该溢出来利用格式错误的数据包?毕竟,它并不是不可破解的。
–麦克·斯科特(Mike Scott)
17年12月22日在18:36
同样,安全摄像机接受外部输入。如果图像处理软件中存在一个可利用的漏洞,该漏洞可以使某人通过相机入侵您的系统?
–Rob Watts
17年12月22日在19:52
祝您好运SSH SSH之前您从未收到过OpenSSH的报价,对吗?
–森林
17年12月22日在22:01
如果该漏洞具有本质上允许攻击者与计算机进行通信的性质该怎么办?由于它正在将数据发送到目的地,因此已连接到网络。现在,您拥有一台永久易受攻击的设备。如果您的答案是“我们将更换所有设备”,那么您实际上已指定“物理修补”方案作为您的答案。但是,关于设备的观点现在已经失去了控制。
– jpmc26
17/12/23在3:43
#7 楼
他们无法(现在)想出一种破解方法的事实,并不意味着它是“不可破解的”。这就是为什么原则上我们将应用所有安全补丁,即使该补丁位于不应访问的组件上也是如此(例如,如果攻击者甚至没有用户访问权限,为什么要修补特权升级漏洞?)。现在,它们可能是正确的,并且不打补丁实际上可能是您所要解决的正确决定。但是,我很少会为此接受所有人。而且这些工程师在执行安全审核方面可能不是专门知识。
为了说服他们,我想请他们为有兴趣的人提供访问这些设备之一的机会(例如,他们敢打赌他们的房子吗?如果他们认为这样做会泄露重要信息,则意味着他们模糊地依赖安全性。如果攻击者了解其运作的一切,那么真正的不可入侵的系统仍将是可入侵的。
#8 楼
设计原始产品的工程师认为该机器不可入侵
设计泰坦尼克号的工程师认为该机器不可沉。
IT中的问题是人们看不到需要更新系统,为什么要更改工作系统?然后,这些公司成为头条新闻:“由于x疫情而关闭了4家工厂”或“ x公司已被破坏,y百万客户的个人详细信息被暴露”。所有客户都强制使用TLS 1.1(是的,已经过时的版本),有些客户抱怨...这些客户应该为TLS 1.3做准备,我不知道他们在做什么,我不在乎他们的借口是什么,应该在任何地方运行TLS 1.2! IBM返回兜售,UNACCEPTABLE!
现在您可以告诉我,马stable中的黑色独角兽正阻止您将所有内容移至TLS 1.2,无论如何处理并与公司销售无关黑色的独角兽...作为一个行业,我们不会这样做,违反行为会成为头条新闻,在我们吸取教训之前,违反行为将继续成为头条新闻。
评论
问题是,例如马the中的黑独角兽是收入最高的最老客户。您可以停止与某些供应商的业务往来,只要他们有一个安全的竞争对手,当它是客户时,这是完全不同的事情。同样,Microsoft愚蠢的是不允许您在请求方面(甚至在站点方面)覆盖TLS协议,因此从本质上讲,它们加剧了黑独角兽问题。
– NH。
17/12/27在21:24
我敢肯定,您的客户会赞赏他损害了您和他人的安全性。新闻头条故事也是一个很好的论据。客户为王,是真的,但安全至上!
–腕骨
17年12月29日在16:27
#9 楼
认为该计算机不可入侵
感觉没关系。事实确实如此。
回到您的风险评估和/或威胁模型。查看是否对补丁程序进行修补或使软件保持最新是您的风险处理计划的一部分。看看是否过时的软件是您的风险分析或威胁模型的一部分。
基于这些事实回到工程师手中,并与他们讨论如何根据现有的风险改变风险或解决哪些威胁。软件已不再过时。
也请注意,随着发现可利用缺陷的机会增加,这种特定风险将随着时间的推移而增加。因此,请放心,直到产品的合理使用寿命结束。但这需要进行讨论,并要更新风险计划。也可能是它使今天的风险可以接受,但几年后不再可以接受。那该怎么办?
与其寻找针对工程师的争论,不如与他们讨论同一页。您至少意识到可能需要采取缓解措施。
#10 楼
“系统是无法入侵的,那么为什么要修补漏洞?”在您的问题中,您试图反对谬论和无法证明的论点(“您怎么知道这是'不可破解的'?或者您只是认为既然无法破解它,没有其他人可以?”) 。但最后,我认为将归结为关于风险可接受性以及谁愿意接受该风险的讨论。尝试以这种方式向他们解释“我们有应用程序白名单,为什么我们需要修补漏洞?”
应用程序白名单仅与白名单本身一样好,该工具可阻止不在该白名单上的应用程序,并假设应用程序白名单工具本身没有故障或漏洞。它还只能防止未知/不受信任的应用程序。如果攻击者决定“在陆地上生活”并使用系统自身的工具来对抗自己该怎么办?如果您已作为操作系统一部分列入白名单的应用程序中有一个漏洞
“我们有防火墙,那么为什么我们需要修补漏洞?”
这是有效的,与上一个参数相同。您是否肯定,肯定地,肯定地,肯定地100%地确定了网络堆栈和/或防火墙本身中没有漏洞,也没有任何可能通过该网络堆栈监听或访问的应用程序或服务中存在漏洞?
如果他们对以上问题的回答是他们对自己的选择和决定持100%的积极态度,那么我将撰写一份文件,详细说明他们对该风险的接受程度,并由领导团队直至CIO均予以批准。最终,如果(何时)系统被破坏,是他们(CxO级别)的问题所在,而在国会(或他们所要面对的任何政府监督机构)和行政人员之间被召唤的人在Equifax进行。当向执行人员解释说他们并没有尽力保持系统的更新和修补(这是许多不同的认证和监督小组/法律所要求的)并且他们(CxO)可能要承担责任时,态度通常会改变。
#11 楼
对我来说似乎很简单。回到关于如何避免不打补丁被认为不可破解的系统的争论中来的问题。如果该系统被破坏,最坏的情况是什么?假定所有适当的保护措施均失效或同样被破坏。不要因为排除后果而偏向于排除后果,因为您认为这样做不会或不会被违反。现在,以收入损失,法律/监管罚款或损害公司行业形象的形式,将最坏的情况纳入成本对业务的影响范围。
如果这种影响是严重的,那么请看着您的工程师说:“您愿意把您的工作-甚至可能是您的整个职业-置于永远不会发生的线上吗?如果确实如此,那么在解释它是如何发生的之后,继续使用和停止EOL操作系统并认为不需要修补的有意识的决定将排在榜首。
另一方面,如果业务影响没有那么大的影响,那么继续使用EOL操作系统是有意义的。但是,如何以良好的风险管理方式最好地做到这一点,是另一个主题。
#12 楼
如果您的设备具有Wi-Fi连接,则可以通过网络对其进行攻击。攻击会成功吗?攻击设备的好处与所需的工作量有关。基于过时且不受支持的OS绝对可以简化攻击方法。应用程序白名单没有保护,只是一个小障碍。您认为黑客无法开发伪装成应用白名单中一个的应用吗?当然,他们可以...如果第一次尝试失败,他们可能会寻找一些东西。
Equifax配备了相当多的防火墙。并没有阻止黑客利用一个端口打开的漏洞,该漏洞是Equifax IT经理无法修补的Struts漏洞。防火墙只是阻止了一些较早的明显攻击。
回想一下Target的黑客事件-CEO和CIO在那一次的工作中失去了工作,而这是由内部人员实施的,而Target使用了较旧的Windows版本,不再进行更新,并且销售点设备上的较旧的非安全连接方法。毫无疑问,CIO得出结论认为,在其POS设备上更新Win版本太昂贵,这一判断被证明是非常错误的。
认为嵌入式固件可以免受黑客攻击吗?考虑一下HP打印机黑客。惠普有一个聪明的想法,可以通过打印作业更新打印机固件-易于启动。直到……有人想出了将打印机变成垃圾邮件中继器的固件版本,并通过恶意软件打印作业将其交付。
如何更新固件?通过wi-fi?是的,如果他们有足够的理由,黑客可以复制它。
可以将网络设备黑客化为僵尸网络的一部分,这是发动DOS攻击的一种常用方法。黑客可以找到该漏洞,并且知道它会损害公司声誉,因此在他们做空您公司股票的同时发起攻击。那已经发生了……窃取PII和CC信息并不是从黑客中获利的唯一途径。
现在,问问自己-您个人面临的风险是什么?如果要对您的系统进行黑客攻击,您是否可以向公司的管理人员证明您在识别和缓解潜在威胁方面进行了尽职调查,尤其是因为您将系统基于不再更新的OS上?提示:用工程师的话说该系统“不可入侵”可能不符合尽职调查的条件。
就此而言,如果您的工程师说这是不可破解的,那么他们甚至可能根本没有在寻找潜在的漏洞,更不用说缓解这些漏洞了。
任何人都说系统不可入侵只是不现实的。不在这个时代。
评论
您已经引用了很多历史示例。一些链接会很好。
–通配符
17年12月29日在4:11
#13 楼
这可能根本不是技术决定。通常,使用任何外部来源的组件都意味着您必须严格按照其制造商的指导方针使用该组件,否则可能会因其可能引起的任何故障而蒙受所有后果和责任。因此,如果设备行为异常,并且有人受伤(或承担其他责任),那么原始的OS制造商会说“不受支持的软件-不是我们的问题”。而且您公司的保险公司会说“使用不支持的过时软件-这是过失的,所以不是我们的问题”。要使用过时的,不受支持的组件:已经显示出它们正在这样做(并且您已经书面表示)
肯定地认为不需要升级(并且他们已经以书面形式提出来了)。
人们说“我们不需要进行此升级”和“我个人承担不进行此升级的责任”之间存在很大的差距。
在实践中,即使没有实际的技术需求,通常也会对因EOL而终止的组件进行升级。这是设计复杂产品的必要部分。
#14 楼
根据为您提供的资源,“万无一失”(在充分尊重您的同事的情况下)的方式将是向他们证明该系统可黑客攻击。雇用可以做到的人,并让他或她证明系统的弱点。我的猜测是,使用WLAN应该不会非常困难。 WLAN和防火墙?这在形容词上是矛盾的。事后思考:也许有可能就成功付款达成共识(我的词典中称这是“应急费用”);这样,(黑客)服务将永远物有所值。
评论
然后他们只需缓解这些弱点,而无需升级操作系统...
– schroeder♦
17/12/26在16:25
@schroeder其中一些将在操作系统中(IP堆栈,加密等)
–彼得-恢复莫妮卡
17年12月26日在16:28
是的...它们可以缓解...
– schroeder♦
17/12/26在16:29
@schroeder好,您可以开始重写操作系统,是的。您还可以减少功能,例如限制连接。
–彼得-恢复莫妮卡
17/12/26在16:31
#15 楼
我们每天都有头条新闻说某些系统被黑了。这不是因为它们既不是最新的,也不是没有被机枪保护的,而是因为有人在投入时间来入侵它们。最重要的是,表现出色的人不是靠IQ力量来完成的,而是简单的社会工程学。因此,我们被告知要使系统保持最新状态,因为如果我们不知何故掉进了那个坑中,我们会提供不利于他们的信息。
评论
这不能回答问题。工程师正在缓解这些问题。如果是,为什么将操作系统更新到更高版本?
– schroeder♦
17/12/22在19:52
@schroeder正如我之前提到的,我们确实要保护硬件免受内部和外部入侵,正如前面提到的那样,面向外部的补丁程序可以保护外部人员,因为他们不知道什么是补丁程序,但管理员知道已采取了哪些措施来保护它以及是否他他本人想要给雇主一个容易的办法,这就是为什么要进行第三方安全检查以避免此类灾难的原因
– Sampath Madala
17/12/22在20:44
减轻完全未知的风险是不可能的。
–烧烤
17年12月24日在23:53
因提及社会工程学攻击而受到赞誉。漏洞可以是社会攻击,也可以是自动攻击。
–烧烤
17 Dec 25'0:31
评论
“设计原始产品的工程师认为该机器不可入侵”。我既不认识工程师,也不了解机器,但我知道他/她错了。“系统无法破解”,这是您大笑的地方。任何认为系统不可入侵的人都不会理解攻击者的机灵程度和能力。只要有足够的时间和资源,所有系统都是可黑客攻击的。安全的目标是使成功攻击所需的投资高于攻击的收益。
问客户是个好主意。只需考虑一下,如果声誉实际上是您的主要关注点,而您的客户甚至只是远程熟悉IT主题,那么当您问客户时,我不会向他们提及您的工程师认为这是不可破解的。这样的主张理所当然会极大地损害声誉。
很快就会出现在您附近的DailyWTF文章中……“但是系统无法入侵!这怎么可能发生?!一定是KEN的错!那个笨拙的混蛋用他的补丁打破了防火墙白名单!”
尽管有人对系统的安全性有何看法,但在我看来,您还是想尝试修补每个已知的漏洞,或者至少有一个很好的理由无法解决该漏洞。因为如果您最终遭到黑客攻击,那么“在我们随后的任何调查中,“我们都不会因为认为它不可入侵而打扰任何补丁”。