最近,发布了一个第三方Apache库的安全漏洞(显然是一个远程执行代码的漏洞)。我们的安全主管要求我们立即将库升级到最新的固定版本。
我问过:“由于仅在防火墙后面的Intranet中访问门户,所以我们仍然需要升级库吗?”。主管由于时间紧迫而无法提供详细的解释,并确认无论如何都需要进行升级。
因此,声明(假设?)出了什么问题,“因为我们在防火墙后面并且此类漏洞不会影响我们”。
#1 楼
您的陈述有两个错误的假设:您的防火墙已正确配置,没有漏洞,攻击者无法对其进行破坏,并且完美状态将继续。
您组织中的每个人都是值得信赖的,没有任何风险。
您应该始终采取纵深防御方法,并尽可能保护每一层。如果攻击者确实侵入了外围,或者您确实有一个流氓演员,那么如果未打补丁,则可以利用此Apache漏洞。
评论
如果您查看众所周知的数据泄露的详细信息,您会发现通常首先跌倒的是网络上的某些第三方设备,然后将其用作抢滩来发动进一步的攻击。甚至不是要信任组织中的每个人的问题,这是无法理解的是,仍然允许未由组织拥有或运营的设备“进入”组织而从未出现在组织结构图中。因此,我不知道这是否等于“ 3)”或仅是对“ 2)”的进一步阐述。
– Monty Harder
17年11月20日在17:16
3)攻击者无法绕过防火墙。 (例如通过将Raspberry Pi插入内部网络端口)
–user253751
17年11月20日在21:38
用户点击不应该的链接。用户打开他们不应该打开的电子邮件附件。
– Tracy Cramer
17年11月21日在1:41
项目2确实应该细分。 “值得信赖”和“没有风险”本身就是两个巨大的类别。后者可能更重要,并在其包装盒中包含诸如恶意软件感染之类的内容。
–R .. GitHub停止帮助ICE
17年11月21日在17:47
除了2)每个人...之外,我还要添加3)内部的所有内容都是安全且不变的。随着所有物联网事物将数据传入和传出网络,受影响的只有内部可用的一项或与外部联系的一项。
–WernerCD
17年11月21日在18:05
#2 楼
这是一个古老的问题,总是有相同的答案。
您不能依赖于攻击者无法访问您的网络。只需要一名员工单击网络钓鱼电子邮件,攻击者就可以在您的网络上站稳脚跟。如果您不打补丁,他们将有一个工作日。
评论
图片在这里有什么关系?
–马丁·维格特(Martin Vegter)
17年11月22日在15:53
该图片代表某人建造了一些东西以保护自己免受外界侵害,但并不是为了保护自己免受各种威胁而设计的。在这种情况下,有人建造了一个结构来保护自己免受元素侵害,但没有保护野生动物。它还有微笑的北极熊。谁不喜欢微笑的北极熊?
– corsiKa
17年11月22日在16:41
或者,更准确地说,有人建造了一个结构来保护自己免受野生生物的侵害,却没有意识到野生生物发现上述结构很美味并且可以/会直接吃掉它。如果结构内部没有进一步的防御措施,您将立即被困。
–轨道轻赛
17年11月23日15:40
我认为这是最简单,最有效的答案:“只需要一名员工点击网络钓鱼电子邮件即可。”
–琼·瓦特(Jon Watte)
17年11月25日在19:18
#3 楼
威胁报告通常会发现,与外部人员相比,自己同事的风险要大得多。例如,从这份2015年报告中,我们可以得出以下数据:74%的违规行为来自扩展企业内部–员工(40%),第三方(22%)或前雇员(12%)–
,其中26%来自组织外部
...
三分之二(67%)内部安全漏洞源自
疏忽大意-三分之一(33%)是由于恶意意图造成的。由您自己的一位同事决定他们不喜欢您而造成的破坏。
需要由恶意的,技术上有效的内部威胁利用此特定漏洞。一方面,这里的“技术能力强”的预选赛大大缩小了您进攻的可能性。另一方面,“此漏洞仅使我们容易受到内部人员的攻击”,这是完全没有理由不进行补丁的原因。
评论
技术上仅涵盖实际漏洞,无论如何。我可以惹恼我的财务人员真正的坏人,并让他们向一些俄罗斯犯罪集团泄漏我的信息。这并不是说这些是“真正的”违规,只是不一定需要技术技能。这也意味着强化不仅限于应用补丁和使用强密码。
– Monica辩护律师走出去
17年11月20日在15:14
@Fistbeard,很抱歉,如果我不清楚,但“具有技术能力”是指有人在OP问题中利用了RCE漏洞。
–ymbirtt
17年11月20日在15:17
是的,我在上面的评论有点超出范围。
– Monica辩护律师走出去
17年11月20日在16:10
#4 楼
是的,您确实需要修补内部系统。让我们假设以下情况是正确的(可能不是):
您的内部系统是100 %不能被外界渗透(或者您可以在内部系统被入侵的情况下很好地使用它。)
您100%信任组织中的每个人(或更准确地说,任何可以访问Intranet的人)还包括访问者,临时员工等。
仍然存在基于Web的漏洞,这些漏洞根本不需要访问Intranet,特别是XSS和CSRF。
如果您采用与不使用Web应用程序进行更新相同的方法,而不是使用Web服务器,则可以假设某些应用程序容易受到攻击。现在,如果您组织中的任何人在单击链接或访问网站时都不小心,则知道或猜测您使用哪种软件的攻击者便可以通过XSS或CSRF来执行代码。
#5 楼
隐喻地解释:防火墙,在定向数据包过滤器/ NAT伪装网关的通常含义下,将阻止世界其他地方强迫您喂食“人”毒药。
如果他们发疯而发疯,以防有人仍然毒害他们,还会使他们免受伤害,以免伤害世界其他地方。
除非你严格控制饮食,这并不会阻止您的人员伸出援手并食用有人中毒的食物,无论是出于故意中毒的目的,还是出于纯粹的无针对性的虐待,都可能引起恐怖...
A更高级的防火墙(深度数据包检查,黑名单/白名单等)将管理食物,但仍然不可靠。当它认为织物柔软剂是佳得乐,或者有气味的奶酪试图使所有人发泄气,或者盐被绿灯表示一瓶饱和盐水将可以安全食用时,它也会造成麻烦。
#6 楼
不安全的仅Intranet服务和应用程序通常是违规的最终目标。令人遗憾的是,往往过于自信(我敢说天真)的系统/网络管理员忽略了保护它们的安全性。如果一个通常受信任的Intranet用户的计算机感染了病毒或特洛伊木马,或者僵尸网络恶意软件或您拥有什么,可以从内部扫描您的Intranet并将其信息发送给不受信任的一方?现在,不受信任的一方不仅在您的Intranet中拥有一个向量,他们还知道其布局以及如何访问其不安全的服务。
要抵消许多不可预见的漏洞,人们应该具有多层安全性,而不仅仅是一个。
#7 楼
除非经过充分测试,否则软件漏洞是很难通过特定的度量来缓解的问题。因此,除非他们非常确定使用防火墙的缓解方法,否则任何供应商都无法回答您这样的问题。
实际上,您应该询问补丁程序是否会破坏您当前的应用程序和流程,是否可以滚动该补丁程序背部。
#8 楼
维护最新的防火墙和维护最新的软件是2条独立的防线。总之,您的问题的答案不能为是或否,两者都是错误的。
这是为什么的一些解释:
“完美的”防火墙(此模型不存在),甚至是完全隔离的Intranet(即(未连接到Internet)无法保护您的系统,使其免受受污染或攻击的计算机在此高度受保护的Intranet中的连接。 (这是现实生活中的反馈:〜来自内部/一年的此类攻击)。另请参见Stuxnet(2010年,由卡巴斯基实验室分析)。
简而言之,即使是“完美”的防火墙也无法保护您免受内部的重大风险。
在邪恶事件的另一个极端中,操作系统或软件的升级并不能保证安全性的提高。软件的大多数升级都是增加代码行数,而概率法则告诉我们错误的数量成比例地增加。操作系统升级可能会在Apache的
80/tcp(http)端口上打开一个漏洞,该漏洞在以前的版本中不存在。和许多防火墙配置一样,该协议可能被合法地允许进入您的网络。然后您的操作系统升级可能会在整个网络中造成严重漏洞。
另请参阅通过升级到MacOS High Sierra(2017,由Lemi Orhan Ergin分析)的远程根访问漏洞。
,即使是“总是更新”的“完美”实践也无法保护您免受防火墙开放端口前面的编辑器错误的重大风险。
还有很多其他功能scenarii证明这两种方法都不足够:“完美”防火墙,“完美”升级实践。
那我该怎么办?
我的个人建议它可以维护最新的防火墙和软件
经过最低限度的检查,确保它们中的任何一个都没有引入
评论
首先,并非所有内部用户都是受信任的。您不希望所有人看到或能够更改所有内容。有足够的合规性框架要求完全隔离。其次是深度防御的原理,攻击者可能将其绕过防火墙,并且应限制其横向移动。如今,借助BYOD,WLAN,现场访问和面向互联网的服务,外围不再是最后一道防线(而是第一道防线)。但是,只有第一点可以解释紧急性。NSA是美国政府机构中对安全性要求最高,对员工进行最严格的背景检查的机构之一,如今已遭到其自身之一的破坏。信任您的员工是好的,对您的系统打补丁甚至更好。
您知道为什么防火墙被称为“防火墙”吗?防火墙是能抵抗火势蔓延的墙壁。您是否会说“我们在防火墙后面,所以我们不需要烟雾报警器,喷水灭火系统或紧急出口?”防火墙可以阻止火势蔓延;它们不会阻止它们,它们旨在成为防御策略的一部分。
“如果我们在大门后面,我们是否仍需要锁定您的前门?”
因此,您防止了来自外部的直接攻击。如果您的一台Intranet PC受到攻击,然后再发起攻击,该怎么办? IT安全的第一法则:不信任任何人