freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

快HVV了,聊聊攻防演練中安全產品的安全性 | FreeBuf甲方群
2021-03-17 19:12:00

1615979429_6051e3a5dd59ec72488d9.png!small?1615979434685

@FreeBuf

攻防演練時防守隊最怕什么?安全產品被爆出漏洞應該是其中之一。原本用來安全防護的產品,現在卻成為以子之矛攻子之盾的活靶子,讓原本就不太平的防守隊們雪上加霜…

討論1:企業對安全廠商高危漏洞爆出事件怎么看?

1、聽說某TY的產品架構存在漏洞,這個洞應該在某T手上,主要問題是出在主機灰度上,好像可以未授權訪問,然后Agent是root權限,據說還沒法改,懂得都懂。


2、關于第一點0day問題,我有一點不太一樣的看法,之前有收到信息,某些廠商對某XF VPN設備做了拆解,破解,對某TY HIDS進行反編譯<該條不細說,沒具體證據>。由于安全圈子太小,人員流動大,增加了破解的便利性,所有要打市場的廠家,都會對潛在的競爭對手進行分析,對競品做破解,這是中國企業商業競爭的傳統了,我們也能理解。所以沒有對出0day的安全廠商過多苛責。


3、作為甲方,我們會立即要求廠商過來修補,修補后,并驗證poc是否有效。如果合同付款方式為3331 or 361,可能會依據合同內容進行扣除——+1,我這邊確實也在考慮是否在合同里注明有未知0day應急預案。


4、我的一些思考:

(1)正視漏洞存在的客觀性;
(2)和服務商進行溝通,確保有業務保障的應急方案;
(3)和運維團隊(如果可能的話)一起評估風險,并制定緊急干預措施(如果可行);
(4)事后復盤,評估服務商的綜合能力。


5、我說下我的觀點:我能夠接受安全產品,因為是干安全這一行的,知道沒有絕對的安全。但是我會比較關注廠商的響應情況,會不會主動聯系修復漏洞、漏洞修復要多久等等,并且相關內容我們會希望能在合同里進行約束。另外補充一句,有點接受不了一些很簡單很愚蠢的漏洞,證明廠商的產品體系是有問題的。


6、大佬們你們安全建設已經到如此高的地步了嗎,關注安全產品自身安全性,我只想搞定弱口令和互聯網暴露面。


7、產品有漏洞是正常的,主要是廠商要正視自己的漏洞,別遮遮掩掩,給人爆料之后態度還不積極,給甲方造成實際損失。規避的方法只有在采購的時候約束好出現問題后的響應速度,修復時間等措施,不要給自己留坑?!鋵嵕退闶亲匝?,也沒法避免漏洞,而且應該比成熟廠商的產品問題更多。


8、有一些設備和產品肯定要做好安全加固,把訪問控制那些限制好了——但是很多安全設備的確是要權限的,而且要權限越多的設備,出漏洞的概率更高,這樣演練中被盯上的可能性也更高。


9、安全產品本身是特權類的設備,更應該優先控制呀。而且如果因為安全產品管理不當,導致的安全風險和事件,就很尷尬了啊,會把在公司內部的權威性降低很多。


10、其實所有的問題都圍繞著一個主題,增加攻擊成本。如果增加攻擊成本的系統本身出了問題。那么他就處于這個網絡攻擊鏈環之中了。


11、同一款安全產品這么多漏洞,反反復復的話,這一點我是會評估的。證明產品確實有些問題。

12、去年我還在乙方釣魚釣到的甲方防守方案,郵箱是重點攻擊目標。


13、企業對安全廠商爆出高危漏洞事件這樣看,一方面越來越缺不了安全設備,一方面又束手無策,目前來說只能是又愛又恨。說實話安全廠商的研發能力總體不如軟件公司,而且很多產品還有實習生參與,現階段不能奢望安全設備自身的安全性有多強,和互聯網公司比又沒有留人的競爭力 一些老產品甚至都沒人在維護了。


14、安全廠商爆漏洞是不可避免的,畢竟很多安全廠商的研發人員也不是做安全的,做出來的安全產品也一定會有安全問題,內部也不全是安全SDL流程。怕就怕供應商反應慢,廠商不承認,通知不到位。

討論2:面對這類問題,企業是否會考慮在重點安全建設方面轉向自研之路或者采取其他方式減輕0day事件帶來的影響?

1、其實就算是自研,也沒法避免漏洞,而且應該比成熟廠商的產品問題更多。


2、0day 目前建議有足夠數量的安全人員的企業做。先把基礎安全做好并優化以后,干的事情。畢竟需要人力和財力支持,一般企業重點還是把基礎安全做好,策略規則優化監控告警為主。并不建議投入太多人力自研安全產品或者系統。應該往加大并優化監控范圍(內部事件和告警、外部威脅情報等),以及自動化處理事件方向投入更多的時間,通過加快響應時間和處理效率,這種方式“曲線救國”。


3、在我們這邊的話自研的可能性為零,但是會考慮采取其他方式減輕風險和影響,例如組網調整隔離,限制受影響的設備或服務的網絡可達范圍避免影響其他業務。


4、現在好多內網安全設備都啟用了HTTPS如何監控它們沒被搞?

——HTTPS的都把證書給到NTA設備做解密

——有一些設備和產品肯定要做好安全加固,把訪問控制那些限制好了


5、其實為什么不做應用運行時自我保護。RASP就是一個很好的解決方案——但之前有些安全產品的漏洞都是些很基礎的,可能還達不到RASP程度的漏洞。


6、其實現在安全產品走向容器化部署,本身就是個大勢所趨——容器化就算產品有漏洞。你也只能拿到容器內的權限。


7、不能這么算,虛擬機還有逃逸呢,本地提權只是一種形式,還有網絡層擴散的問題呢。


8、說實話,現在最怕服務器殺毒、pc殺毒這種強制人人都裝的東西出問題,一出問題太容易鬧大了。


9、關于第二個問題,我們對自研安全有一定的需求,但是沒能力,所以短期不會上,合作研發,外包研發可能會有,之前提到某單位和某單位合作研發單兵作戰工具就是例子,我們也期待這樣的合作。短期我們解決0day的方式,是增加apt設備,對攻擊行為進行識別,畢竟0day不具備可預見性,但是攻擊行為是有一定模式的,目前部分廠商搞得攻擊模型,機器學習等產品,我們都很感興趣。


10、現在稍微有點錢的企業已經開始重金挖人,自研安全設備只是對內安全建設的任務之一,哪怕是重復造輪子,出了事好歹能自己修復,不然只能等廠家更新,甚至廠家會甩鍋。而且只要造輪子的時候指紋不要抄的那么明顯,那么被發現漏洞的幾率會大大降低。畢竟大家都知道白盒能挖到比黑盒更多的漏洞。


11、發表一下關于第二個問題的個人觀點:
(1)對于企業來說是否要自研安全產品,更重要的應該是安全團隊是否有能力做這個事情,因為你至少要專門招幾個專職做這些事情的人,在HC這方面或許就實現不了。
(2)產品自研成功后,便需要專人進行維護,假設之前產品的研發者離職了,于是需要重新招人,然后重新熟悉代碼,再進行專職維護更新。
(3)假設是從0到1開始的,我覺得還是先買商業化產品,然后等安全團隊穩定了,上面兩個條件都滿足了,再考慮是否自研。
(4)如果安全團隊完全有能力,那么肯定還是要自研。


12、對甲方而言,肯定自建的產品最靠譜可控,有大廠已經在做或者投資安全公司在搞了,但是絕大部分企業沒有這個能力,當前階段能把基礎的安全設施和體系建起來的公司就已經相當不錯了。要減輕0day的影響考慮威脅情報和漏洞響應與管理這兩塊更現實一點。


13、目前很多廠家內部展開代碼審計工作以及內部SRC。對于主打產品基本已經完成審計。安全隨著產品審計員的技術而形成瓶頸。對外部而言,沒有形成或者無法形成統一的安全等級要求標準,缺少相關的評測。


14、自研并不能解決出現漏洞、BUG的問題。關鍵還得看安全廠商的響應速度?;鹧?,卡巴,palo alto、checkpoint這些大廠沒少出問題,態度很關鍵。安全開發、DevSecOps,說起來容易做起來難,微軟不也淪陷了嗎。


15、非頭部企業很難自研,畢竟沒有積累成本太高,且很多企業業務發展等不及你自建安全能力,采用成熟產品依然是多數企業的選擇,對于供應商的安全要求,除了合同協議,服務質量也要求更高,技術支持最起碼要專業到位及時響應,叫不動人的供應商還不如沒有

FreeBuf甲方交流分享群

純甲方:囊括金融、政府、運營商、醫療、互聯網企業等多行業甲方安全從業人員,具備嚴格的入群審核機制,非甲方安全從業人員拒絕進群


真實有料:從甲方企業CSO到安全工程師,從安全方案應用到產品技術應用,社群定期組織相關主題話題討論,共同交流最真實有趣有料的甲方安全建設經驗


專屬權益:一旦認證成為FreeBuf甲方會員,即可享受FreeBuf報告在線免費閱讀權益,同時參與社群話題討論便有機會獲得FVIP月卡獎勵。更多權益,期待解鎖ing~

FreeBuf甲方群進群方式

掃碼填寫申請表單,通過審核后即可入群:

1614841109_60408515ac795652d99a1.png!small?1614841118748

本文作者:, 轉載請注明來自FreeBuf.COM

# 攻防演練 # 安全產品 # 話題討論
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
文章目錄
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网