iT邦幫忙

2021 iThome 鐵人賽

DAY 10
0
Security

網路奇妙物語 - IT&Security 系列 第 10

鬼故事 - 不修拉,這輩子都不可能修的

  • 分享至 

  • xImage
  •  

鬼故事 - 不修拉,這輩子都不可能修的

可能是‎顯示的文字是「 ‎Service Owner Security Dept. 漏洞 修補方案 Uህט‎ 」‎的卡通
Credit: 天兵公園
靈感來源:UCCU Hacker

不是耶,怎麼閃得那麼自然的阿

故事開始

今天不用單一故事來舉例,而是來分享當回報漏洞的時候大家聽過最荒謬的回答
故事為創作,如以雷同那就雷同,請勿將自己代入

故事一:修了,但這是新漏洞

資安人員:你們的網頁服務 eid 有 sql injection 漏洞,請修復
網頁開發人員(一周後回信件):修復了
資安人員(複測): eid 只更換成 event_id,還是有 sql injection
網頁開發人員:這是新漏洞喔,我們會再修復
資安人員:....

故事二:你怎麼可以測我網站,我要告你

Bug bounty 獵人:(閒逛網站,從 google search hunting 找到漏洞)透過漏洞回報平台回報
被找到漏洞的廠商:你們怎麼可以找我網站漏洞,我要告你們!
被找到漏洞的廠商:你們替駭客通報我們肯定不是什麼好東西啦!
漏洞回報平台:...(無辜)

故事三:我們有買你們家產品耶

客戶:我們最近網頁被人回報有漏洞可以放後門,你們這些資安廠商有什麼對策嗎
資安廠商:貴單位似乎目前只有買防毒
客戶:阿如果我們伺服器被從漏洞放後門就不會叫嗎?我們買你們幹嘛?
資安廠商:這種狀況我們會建議修復漏洞,如果暫時不行可以先買 WAF
客戶:算了算了,又要我們買設備

資安探討

鴕鳥心態

故事一裡面的鴕鳥心態其實常見於被要求做資安的單位,上級機關會邀外部廠商做大規模測試,
而這時候最常見的就應對方式就是暫時將有漏洞的服務下架,或是將測試團隊的 IP ban 掉,
只要在考試期間不要被測試道就沒事了吧,這種鴕鳥心態只能躲避測試,
但躲不掉真正的駭客。

有時候會更誇張的要人家改測試結果,有高風險請廠商修改報告...

https://scontent.ftpe7-1.fna.fbcdn.net/v/t1.6435-9/121248217_1803491319790616_1141651940799821192_n.png?_nc_cat=106&ccb=1-5&_nc_sid=730e14&_nc_ohc=KV9UzneLhAsAX8ifxeX&_nc_ht=scontent.ftpe7-1.fna&oh=ca86614bd96734f1018c3c82d4d6a7be&oe=615DE9F1
credit: 海綿寶寶
來源:UCCU Hacker

想靠廠商做完所有事情

有一些單位已花錢是大爺的心態,買了一項產品但想從廠商們拿到超出產品以外的能力,
買了一個防毒軟體,但卻問廠商最新的 exchange 漏洞能不能防,
防毒廠商當然跟你講能防,能防惡意程式進來之後,
承辦人員跟主管回報:「防毒軟體廠商說能防(只講一半)」
防毒廠商:「...」

正確的心態應該是修補漏洞,無法修補之前應該透過上 firewall、監控 exploit 可能產生的 log等...
進行減緩或是偵測的行動,application 層的漏洞卻想用 device 的 solution 去解決是不切實際的。
詳細可以參考 CDM ,如果你能了解漏洞影響的資產,就能更清楚知道應該要從哪裡開始保護。

https://cyberdefensematrix.com/


上一篇
鬼故事 - 我不曉得這東西為甚麼會動
下一篇
鬼故事 - 糟了,是世界奇觀
系列文
網路奇妙物語 - IT&Security 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2021-10-04 12:21:09

已經虛擬修補(virtual patch),就不用真的補了 <--傻眼

John醬 iT邦新手 4 級 ‧ 2021-10-04 22:49:18 檢舉

這好像在製造業的上古神機蠻常見XD 沒得修

但看過在網頁伺服器被找到洞了,叫廠商幫寫 WAF rule 擋,
但自己過了一年完全沒有修補漏洞

就是把虛擬修補當作真的修補~將來會出慘案的~

我要留言

立即登入留言