我最近加入了我组织中的安全社区。我们的许多产品都部署在Intranet(内部部署)中,而没有部署在公共云中。因此,内部门户只能在组织的网络内访问。

最近,发布了一个第三方Apache库的安全漏洞(显然是一个远程执行代码的漏洞)。我们的安全主管要求我们立即将库升级到最新的固定版本。

我问过:“由于仅在防火墙后面的Intranet中访问门户,所以我们仍然需要升级库吗?”。主管由于时间紧迫而无法提供详细的解释,并确认无论如何都需要进行升级。

因此,声明(假设?)出了什么问题,“因为我们在防火墙后面并且此类漏洞不会影响我们”。

评论

首先,并非所有内部用户都是受信任的。您不希望所有人看到或能够更改所有内容。有足够的合规性框架要求完全隔离。其次是深度防御的原理,攻击者可能将其绕过防火墙,并且应限制其横向移动。如今,借助BYOD,WLAN,现场访问和面向互联网的服务,外围不再是最后一道防线(而是第一道防线)。但是,只有第一点可以解释紧急性。

NSA是美国政府机构中对安全性要求最高,对员工进行最严格的背景检查的机构之一,如今已遭到其自身之一的破坏。信任您的员工是好的,对您的系统打补丁甚至更好。

您知道为什么防火墙被称为“防火墙”吗?防火墙是能抵抗火势蔓延的墙壁。您是否会说“我们在防火墙后面,所以我们不需要烟雾报警器,喷水灭火系统或紧急出口?”防火墙可以阻止火势蔓延;它们不会阻止它们,它们旨在成为防御策略的一部分。

“如果我们在大门后面,我们是否仍需要锁定您的前门?”

因此,您防止了来自外部的直接攻击。如果您的一台Intranet PC受到攻击,然后再发起攻击,该怎么办? IT安全的第一法则:不信任任何人

#1 楼

您的陈述有两个错误的假设:


您的防火墙已正确配置,没有漏洞,攻击者无法对其进行破坏,并且完美状态将继续。
您组织中的每个人都是值得信赖的,没有任何风险。

您应该始终采取纵深防御方法,并尽可能保护每一层。如果攻击者确实侵入了外围,或者您确实有一个流氓演员,那么如果未打补丁,则可以利用此Apache漏洞。

评论


如果您查看众所周知的数据泄露的详细信息,您会发现通常首先跌倒的是网络上的某些第三方设备,然后将其用作抢滩来发动进一步的攻击。甚至不是要信任组织中的每个人的问题,这是无法理解的是,仍然允许未由组织拥有或运营的设备“进入”组织而从未出现在组织结构图中。因此,我不知道这是否等于“ 3)”或仅是对“ 2)”的进一步阐述。

– Monty Harder
17年11月20日在17:16



3)攻击者无法绕过防火墙。 (例如通过将Raspberry Pi插入内部网络端口)

–user253751
17年11月20日在21:38

用户点击不应该的链接。用户打开他们不应该打开的电子邮件附件。

– Tracy Cramer
17年11月21日在1:41

项目2确实应该细分。 “值得信赖”和“没有风险”本身就是两个巨大的类别。后者可能更重要,并在其包装盒中包含诸如恶意软件感染之类的内容。

–R .. GitHub停止帮助ICE
17年11月21日在17:47

除了2)每个人...之外,我还要添加3)内部的所有内容都是安全且不变的。随着所有物联网事物将数据传入和传出网络,受影响的只有内部可用的一项或与外部联系的一项。

–WernerCD
17年11月21日在18:05



#2 楼

这是一个古老的问题,总是有相同的答案。



您不能依赖于攻击者无法访问您的网络。只需要一名员工单击网络钓鱼电子邮件,攻击者就可以在您的网络上站稳脚跟。如果您不打补丁,他们将有一个工作日。

评论


图片在这里有什么关系?

–马丁·维格特(Martin Vegter)
17年11月22日在15:53

该图片代表某人建造了一些东西以保护自己免受外界侵害,但并不是为了保护自己免受各种威胁而设计的。在这种情况下,有人建造了一个结构来保护自己免受元素侵害,但没有保护野生动物。它还有微笑的北极熊。谁不喜欢微笑的北极熊?

– corsiKa
17年11月22日在16:41

或者,更准确地说,有人建造了一个结构来保护自己免受野生生物的侵害,却没有意识到野生生物发现上述结构很美味并且可以/会直接吃掉它。如果结构内部没有进一步的防御措施,您将立即被困。

–轨道轻赛
17年11月23日15:40



我认为这是最简单,最有效的答案:“只需要一名员工点击网络钓鱼电子邮件即可。”

–琼·瓦特(Jon Watte)
17年11月25日在19:18

#3 楼

威胁报告通常会发现,与外部人员相比,自己同事的风险要大得多。例如,从这份2015年报告中,我们可以得出以下数据:


74%的违规行为来自扩展企业内部–员工(40%),第三方(22%)或前雇员(12%)–
,其中26%来自组织外部

...

三分之二(67%)内部安全漏洞源自
疏忽大意-三分之一(33%)是由于恶意意图造成的。由您自己的一位同事决定他们不喜欢您而造成的破坏。

需要由恶意的,技术上有效的内部威胁利用此特定漏洞。一方面,这里的“技术能力强”的预选赛大大缩小了您进攻的可能性。另一方面,“此漏洞仅使我们容易受到内部人员的攻击”,这是完全没有理由不进行补丁的原因。

评论


技术上仅涵盖实际漏洞,无论如何。我可以惹恼我的财务人员真正的坏人,并让他们向一些俄罗斯犯罪集团泄漏我的信息。这并不是说这些是“真正的”违规,只是不一定需要技术技能。这也意味着强化不仅限于应用补丁和使用强密码。

– Monica辩护律师走出去
17年11月20日在15:14

@Fistbeard,很抱歉,如果我不清楚,但“具有技术能力”是指有人在OP问题中利用了RCE漏洞。

–ymbirtt
17年11月20日在15:17

是的,我在上面的评论有点超出范围。

– Monica辩护律师走出去
17年11月20日在16:10

#4 楼

是的,您确实需要修补内部系统。

让我们假设以下情况是正确的(可能不是):


您的内部系统是100 %不能被外界渗透(或者您可以在内部系统被入侵的情况下很好地使用它。)
您100%信任组织中的每个人(或更准确地说,任何可以访问Intranet的人)还包括访问者,临时员工等。

仍然存在基于Web的漏洞,这些漏洞根本不需要访问Intranet,特别是XSS和CSRF。

如果您采用与不使用Web应用程序进行更新相同的方法,而不是使用Web服务器,则可以假设某些应用程序容易受到攻击。现在,如果您组织中的任何人在单击链接或访问网站时都不小心,则知道或猜测您使用哪种软件的攻击者便可以通过XSS或CSRF来执行代码。

#5 楼

隐喻地解释:

防火墙,在定向数据包过滤器/ NAT伪装网关的通常含义下,将阻止世界其他地方强迫您喂食“人”毒药。

如果他们发疯而发疯,以防有人仍然毒害他们,还会使他们免受伤害,以免伤害世界其他地方。

除非你严格控制饮食,这并不会阻止您的人员伸出援手并食用有人中毒的食物,无论是出于故意中毒的目的,还是出于纯粹的无针对性的虐待,都可能引起恐怖...

A更高级的防火墙(深度数据包检查,黑名单/白名单等)将管理食物,但仍然不可靠。当它认为织物柔软剂是佳得乐,或者有气味的奶酪试图使所有人发泄气,或者盐被绿灯表示一瓶饱和盐水将可以安全食用时,它也会造成麻烦。

#6 楼

不安全的仅Intranet服务和应用程序通常是违规的最终目标。令人遗憾的是,往往过于自信(我敢说天真)的系统/网络管理员忽略了保护它们的安全性。

如果一个通常受信任的Intranet用户的计算机感染了病毒或特洛伊木马,或者僵尸网络恶意软件或您拥有什么,可以从内部扫描您的Intranet并将其信息发送给不受信任的一方?现在,不受信任的一方不仅在您的Intranet中拥有一个向量,他们还知道其布局以及如何访问其不安全的服务。

要抵消许多不可预见的漏洞,人们应该具有多层安全性,而不仅仅是一个。

#7 楼

除非经过充分测试,否则软件漏洞是很难通过特定的
度量来缓解的问题。因此,除非他们非常确定使用防火墙的缓解方法,否则任何供应商都无法回答您这样的问题。

实际上,您应该询问补丁程序是否会破坏您当前的应用程序和流程,是否可以滚动该补丁程序背部。

#8 楼

维护最新的防火墙和维护最新的软件是2条独立的防线。

总之,您的问题的答案不能为是或否,两者都是错误的。

这是为什么的一些解释:



“完美的”防火墙(此模型不存在),甚至是完全隔离的Intranet(即(未连接到Internet)无法保护您的系统,使其免受受污染或攻击的计算机在此高度受保护的Intranet中的连接。 (这是现实生活中的反馈:〜来自内部/一年的此类攻击)。另请参见Stuxnet(2010年,由卡巴斯基实验室分析)。

简而言之,即使是“完美”的防火墙也无法保护您免受内部的重大风险。


在邪恶事件的另一个极端中,操作系统或软件的升级并不能保证安全性的提高。软件的大多数升级都是增加代码行数,而概率法则告诉我们错误的数量成比例地增加。操作系统升级可能会在Apache的80/tcp(http)端口上打开一个漏洞,该漏洞在以前的版本中不存在。
和许多防火墙配置一样,该协议可能被合法地允许进入您的网络。然后您的操作系统升级可能会在整个网络中造成严重漏洞。
另请参阅通过升级到MacOS High Sierra(2017,由Lemi Orhan Ergin分析)的远程根访问漏洞。

,即使是“总是更新”的“完美”实践也无法保护您免受防火墙开放端口前面的编辑​​器错误的重大风险。


还有很多其他功能scenarii证明这两种方法都不足够:“完美”防火墙,“完美”升级实践。

那我该怎么办?

我的个人建议它可以维护最新的防火墙和软件
经过最低限度的检查,确保它们中的任何一个都没有引入,这是另一个没有准备防御的漏洞。