我该如何反对：“系统不可入侵，那么为什么要修补漏洞？”

#1 楼

这种情况的麻烦（如您所报告的那样）是，有很多假设是基于很多观点。您有自己的意见，希望他们分享您的意见，但是他们有自己的意见。

如果要让每个人都同意某件事，则需要找到共同点。您需要挑战并确认每个假设，并找到可靠的数据来支持您的观点或观点。一旦有了共同点，就可以一起前进。有没有解决的办法？列入白名单的应用程序是否可以损坏？
防火墙有什么作用？如何配置？防火墙表示阻止的端口，但也表示允许的端口。那些允许的港口可以滥用吗？
没有人可以访问吗？谁有权使用该设备？您是信任内部人员还是用户的无知来确保其安全？
如果有人可以本地访问设备会发生什么？

作为信息安全专业人员，您的工作不是以“最佳实践”打败人，而是进行风险分析并设计出将风险限制为最小的方法划算的门槛。您必须证明不采用最佳做法，但是如果证明是有效的，那么它就是有效的。

#2 楼

如果有人告诉我他们的机器不可黑客，我应该相信他们，我会立即得出结论，


该机器在诺克斯堡/高安全监狱条件下受到监视，有24 / 7个警卫和监控摄像头，

以及以下之一：


该机器不交换任何类型的信息（没有USB，以太网，火线） ，串行，并行等）
机器永久关闭。

#3 楼

因为您需要具有深度防御的多层安全策略。您有防火墙，但是如果防火墙中存在安全漏洞，该怎么办？如果某个应用程序利用漏洞授予用户级别的OS访问权限，然后通过未修补的OS漏洞将该漏洞升级为root访问权限，该怎么办？为了获得适当的安全性，您需要修补所有已知漏洞，而不仅仅是修补您认为可以在系统上利用的漏洞，因为未知漏洞和您认为无法利用的已知漏洞的组合可能会在以下两个位置上造成损害它本身不会，而且您也无法修补未知漏洞。

#4 楼

原因很简单，安全性是分层应用的。例如，要连接到重要的数据库，首先需要进入数据库的网络（通过防火墙），将自己的IP地址添加到允许连接的客户端列表中，然后使用用户名和密码启动连接。任何一层都使其他两个冗余。问题是“如果”。让我们考虑一下旧Oracle的默认scott / tiger登录，或者某个员工无意间将端口转发到了公共Internet。防火墙可能仅阻止TCP，而服务器也侦听UDP，或者IPv6配置错误，并且安全性仅适用于IP4。这就是为什么良好的安全性会层层出现，监视企图并让安全专家从企图（希望失败的）攻击中学习，或者检查蜜罐上的活动的原因。此外，零日漏洞利用（甚至适用于最新补丁的漏洞）在分层环境中也不太可能成功，因为攻击者需要对每一层进行利用。只是之前没有被黑客入侵。您的设备兴趣不足和/或收益很低。零日漏洞利用可能仍然存在。

此外，某些Android设备无法完全升级到特定版本之外。知道对手是否拥有这样的设备是黑客的公开邀请，因为设备名称/品牌带有如何黑客的确切方法。从功能角度讲。我不知道您的设备正在运行的上下文，但是鉴于您所写的内容，它可能容易受到防火墙内部已有人员的攻击。<​​br />

#5 楼

没有不可破解的系统。对于那些提到气隙的人，有很多关于气隙系统的实际黑客或潜在黑客的例子。 Stuxnet可能是最著名（也是最极端）的例子。其他一些包括van Eck吞咽，声学分析或其他旁道攻击。

有一些方法可以缓解漏洞，而无需修补程序。例如，如果系统容易受到KRACK的攻击，是否可以简单地禁用WiFi？如果永久禁用了WiFi，则无需应用任何涉及WiFi的更新。同样，如果系统上存在构成漏洞的特定应用程序（如Java，.NET，Flash，浏览器等），则可以简单地卸载这些应用程序。如果尚未安装Java，则无需更新。

随着操作系统的升级，这无疑更加困难。您需要了解潜在的漏洞，然后需要缓解它们。使用受支持的操作系统的好处是（大概）已经有人在为您完成第一部分和第二部分的一半。

完全更新/升级的系统不是安全或无法破解的系统。但是，它的确可以将已知漏洞的风险降到最低。
要回应施罗德，风险分析比“强化/锁定”或盲目“升级”更为重要，并希望这两种方法可以使您更加安全。

#6 楼

没有系统是真正的“不可破解的”。但是，一旦我们确定系统足够“不可破解”，那么我们就不必维护安全补丁的渠道。

举一个具体的例子，我们的“不可破解”系统控制着安全摄像机。相机的工作是看固定的位置。每个设置都是恒定的，或者系统足够智能以自行调整。系统可以流式传输视频数据，不需要用户输入任何信息。

我们可以让系统运行ssh，以便我们可以定期登录并应用安全补丁，但实际上打开了一个（非常小）安全孔。攻击者可以使用ssh入侵相机。 （祝您好运hack ssh）。

所以这是一个折衷。如果您诚实地认为您永远都不需要应用安全补丁，那么您可能会认为开放该通道是不值得的。他们为政府而建。该系统的组件是寿命短的虚拟机（通常少于一天）。每个虚拟机都是不可变的并且是一次性的。计划是，如果他们需要应用安全补丁，那么他们将仅以有序的方式处理机器并创建新机器。虚拟机没有ssh。

政府安全审核员炸掉了垫片，并安装了ssh，以便可以应用安全补丁。 ssh服务器没有提供任何安全性值，实际上是一个漏洞。

但是，考虑一下，这个（和我的相机）示例只是通过非传统渠道的安全性更新。





部署在火星上的摄像机呢...每个人都知道该摄像机，每个人都可以查看该摄像机的数据
一个秘密存在于敌人身后的摄像机线（如果敌人知道相机，他们可以轻松地拿走……我们是否想维护一个安全更新通道）。

#7 楼

他们无法（现在）想出一种破解方法的事实，并不意味着它是“不可破解的”。这就是为什么原则上我们将应用所有安全补丁，即使该补丁位于不应访问的组件上也是如此（例如，如果攻击者甚至没有用户访问权限，为什么要修补特权升级漏洞？）。

现在，它们可能是正确的，并且不打补丁实际上可能是您所要解决的正确决定。但是，我很少会为此接受所有人。而且这些工程师在执行安全审核方面可能不是专门知识。

为了说服他们，我想请他们为有兴趣的人提供访问这些设备之一的机会（例如，他们敢打赌他们的房子吗？如果他们认为这样做会泄露重要信息，则意味着他们模糊地依赖安全性。如果攻击者了解其运作的一切，那么真正的不可入侵的系统仍将是可入侵的。

#8 楼

设计原始产品的工程师认为该机器不可入侵


设计泰坦尼克号的工程师认为该机器不可沉。

IT中的问题是人们看不到需要更新系统，为什么要更改工作系统？然后，这些公司成为头条新闻：“由于x疫情而关闭了4家工厂”或“ x公司已被破坏，y百万客户的个人详细信息被暴露”。所有客户都强制使用TLS 1.1（是的，已经过时的版本），有些客户抱怨...这些客户应该为TLS 1.3做准备，我不知道他们在做什么，我不在乎他们的借口是什么，应该在任何地方运行TLS 1.2！ IBM返回兜售，UNACCEPTABLE！

现在您可以告诉我，马stable中的黑色独角兽正阻止您将所有内容移至TLS 1.2，无论如何处理并与公司销售无关黑色的独角兽...作为一个行业，我们不会这样做，违反行为会成为头条新闻，在我们吸取教训之前，违反行为将继续成为头条新闻。

#9 楼

认为该计算机不可入侵


感觉没关系。事实确实如此。

回到您的风险评估和/或威胁模型。查看是否对补丁程序进行修补或使软件保持最新是您的风险处理计划的一部分。看看是否过时的软件是您的风险分析或威胁模型的一部分。

基于这些事实回到工程师手中，并与他们讨论如何根据现有的风险改变风险或解决哪些威胁。软件已不再过时。
也请注意，随着发现可利用缺陷的机会增加，这种特定风险将随着时间的推移而增加。因此，请放心，直到产品的合理使用寿命结束。但这需要进行讨论，并要更新风险计划。也可能是它使今天的风险可以接受，但几年后不再可以接受。那该怎么办？
与其寻找针对工程师的争论，不如与他们讨论同一页。您至少意识到可能需要采取缓解措施。

#10 楼

“系统是无法入侵的，那么为什么要修补漏洞？”在您的问题中，您试图反对谬论和无法证明的论点（“您怎么知道这是'不可破解的'？或者您只是认为既然无法破解它，没有其他人可以？”） 。但最后，我认为将归结为关于风险可接受性以及谁愿意接受该风险的讨论。尝试以这种方式向他们解释

“我们有应用程序白名单，为什么我们需要修补漏洞？”

应用程序白名单仅与白名单本身一样好，该工具可阻止不在该白名单上的应用程序，并假设应用程序白名单工具本身没有故障或漏洞。它还只能防止未知/不受信任的应用程序。如果攻击者决定“在陆地上生活”并使用系统自身的工具来对抗自己该怎么办？如果您已作为操作系统一部分列入白名单的应用程序中有一个漏洞

“我们有防火墙，那么为什么我们需要修补漏洞？”
这是有效的，与上一个参数相同。您是否肯定，肯定地，肯定地，肯定地100％地确定了网络堆栈和/或防火墙本身中没有漏洞，也没有任何可能通过该网络堆栈监听或访问的应用程序或服务中存在漏洞？

如果他们对以上问题的回答是他们对自己的选择和决定持100％的积极态度，那么我将撰写一份文件，详细说明他们对该风险的接受程度，并由领导团队直至CIO均予以批准。最终，如果（何时）系统被破坏，是他们（CxO级别）的问题所在，而在国会（或他们所要面对的任何政府监督机构）和行政人员之间被召唤的人在Equifax进行。当向执行人员解释说他们并没有尽力保持系统的更新和修补（这是许多不同的认证和监督小组/法律所要求的）并且他们（CxO）可能要承担责任时，态度通常会改变。

#11 楼

对我来说似乎很简单。回到关于如何避免不打补丁被认为不可破解的系统的争论中来的问题。如果该系统被破坏，最坏的情况是什么？假定所有适当的保护措施均失效或同样被破坏。不要因为排除后果而偏向于排除后果，因为您认为这样做不会或不会被违反。

现在，以收入损失，法律/监管罚款或损害公司行业形象的形式，将最坏的情况纳入成本对业务的影响范围。

如果这种影响是严重的，那么请看着您的工程师说：“您愿意把您的工作-甚至可能是您的整个职业-置于永远不会发生的线上吗？如果确实如此，那么在解释它是如何发生的之后，继续使用和停止EOL操作系统并认为不需要修补的有意识的决定将排在榜首。

另一方面，如果业务影响没有那么大的影响，那么继续使用EOL操作系统是有意义的。但是，如何以良好的风险管理方式最好地做到这一点，是另一个主题。

#12 楼

如果您的设备具有Wi-Fi连接，则可以通过网络对其进行攻击。攻击会成功吗？攻击设备的好处与所需的工作量有关。基于过时且不受支持的OS绝对可以简化攻击方法。

应用程序白名单没有保护，只是一个小障碍。您认为黑客无法开发伪装成应用白名单中一个的应用吗？当然，他们可以...如果第一次尝试失败，他们可能会寻找一些东西。

Equifax配备了相当多的防火墙。并没有阻止黑客利用一个端口打开的漏洞，该漏洞是Equifax IT经理无法修补的Struts漏洞。防火墙只是阻止了一些较早的明显攻击。

回想一下Target的黑客事件-CEO和CIO在那一次的工作中失去了工作，而这是由内部人员实施的，而Target使用了较旧的Windows版本，不再进行更新，并且销售点设备上的较旧的非安全连接方法。毫无疑问，CIO得出结论认为，在其POS设备上更新Win版本太昂贵，这一判断被证明是非常错误的。

认为嵌入式固件可以免受黑客攻击吗？考虑一下HP打印机黑客。惠普有一个聪明的想法，可以通过打印作业更新打印机固件-易于启动。直到……有人想出了将打印机变成垃圾邮件中继器的固件版本，并通过恶意软件打印作业将其交付。

如何更新固件？通过wi-fi？是的，如果他们有足够的理由，黑客可以复制它。

可以将网络设备黑客化为僵尸网络的一部分，这是发动DOS攻击的一种常用方法。黑客可以找到该漏洞，并且知道它会损害公司声誉，因此在他们做空您公司股票的同时发起攻击。那已经发生了……窃取PII和CC信息并不是从黑客中获利的唯一途径。

现在，问问自己-您个人面临的风险是什么？如果要对您的系统进行黑客攻击，您是否可以向公司的管理人员证明您在识别和缓解潜在威胁方面进行了尽职调查，尤其是因为您将系统基于不再更新的OS上？提示：用工程师的话说该系统“不可入侵”可能不符合尽职调查的条件。

就此而言，如果您的工程师说这是不可破解的，那么他们甚至可能根本没有在寻找潜在的漏洞，更不用说缓解这些漏洞了。

任何人都说系统不可入侵只是不现实的。不在这个时代。

#13 楼

这可能根本不是技术决定。通常，使用任何外部来源的组件都意味着您必须严格按照其制造商的指导方针使用该组件，否则可能会因其可能引起的任何故障而蒙受所有后果和责任。因此，如果设备行为异常，并且有人受伤（或承担其他责任），那么原始的OS制造商会说“不受支持的软件-不是我们的问题”。而且您公司的保险公司会说“使用不支持的过时软件-这是过失的，所以不是我们的问题”。要使用过时的，不受支持的组件：


已经显示出它们正在这样做（并且您已经书面表示）
肯定地认为不需要升级（并且他们已经以书面形式提出来了）。

人们说“我们不需要进行此升级”和“我个人承担不进行此升级的责任”之间存在很大的差距。

在实践中，即使没有实际的技术需求，通常也会对因EOL而终止的组件进行升级。这是设计复杂产品的必要部分。

#14 楼

根据为您提供的资源，“万无一失”（在充分尊重您的同事的情况下）的方式将是向他们证明该系统可黑客攻击。雇用可以做到的人，并让他或她证明系统的弱点。我的猜测是，使用WLAN应该不会非常困难。 WLAN和防火墙？这在形容词上是矛盾的。

事后思考：也许有可能就成功付款达成共识（我的词典中称这是“应急费用”）；这样，（黑客）服务将永远物有所值。

#15 楼

我们每天都有头条新闻说某些系统被黑了。这不是因为它们既不是最新的，也不是没有被机枪保护的，而是因为有人在投入时间来入侵它们。

最重要的是，表现出色的人不是靠IQ力量来完成的，而是简单的社会工程学。因此，我们被告知要使系统保持最新状态，因为如果我们不知何故掉进了那个坑中，我们会提供不利于他们的信息。