iT邦幫忙

2023 iThome 鐵人賽

DAY 2
0

說明

有什麼會阻礙我們到達目標,舉凡車子煞車有問題、輪胎平了,甚至路上有石頭、地陷太滑等等

廣義來說這些都是弱點,可能會產生各種負面狀況,輕則拋錨,重則摔車,造成無法準時到或再也無法到的後果

這時要選擇承擔哪些風險

  • 專家告訴你有什麼弱點,會有那些風險
  • 相關人員承擔這些危害
  • 最終有人評估後做出選擇

如何知道有那些弱點

  • 新聞情資
  • 弱點掃描工具、攻擊模擬工具BAS(Breach and Attack Simulation)
  • 專家服務(滲透、紅隊)

一些常見問題

資源不足,在基於80/20法則以重要的處理,哪些是重要的?

很多地方資安都是兼職,處理資安業務時間不多,建議

  1. 情資部分 將"金融資安資訊分享與分析中心"加到我的最愛,每日上班打開,這些漏洞沒修往往會造成重大災害
    https://www.fisac.tw/STIX_CASE/QueryStixCase/Query
    舉個例子2023/07/20公告Citrix ADC、Citrix Gateway存在高風險漏洞(CVE-2023-3519),2023/08/16 IThome新聞"近2千臺Citrix NetScaler伺服器遭遇零時差漏洞攻擊,有三分之二已安裝修補程式卻仍受到駭客控制",

  2. 定期弱掃部分,已有對外服務的優先,重要系統次之,在調查時把周圍環境因素算入(後面再介紹)

以風險控管方式處理,低風險就不需要處理?

通常會問這問題公司資源相對足夠,DEVCORE Conference 2023有一個議題"黑魔法、大壞蛋得崩,讓四個臭蟲變成漏洞吧!" https://conf.devco.re/2023/agenda_hackers/

DEVCORE 資深紅隊演練專家 Cyku 及 技術專案經理 Crystal 將透過實際案例,分享攻擊者如何將四個 CVSS 幾乎 0.0 分的廢洞化腐朽為神奇,串成 RCE 漏洞。

通常都是以資產價值決定是否要處理,2萬的手機修理要1萬可能就會猶豫。

另一種情況平常手機就單手拿著再使用,但如果等等有重要電話可能就改雙手拿著,甚至放在桌上,手滑掉到地上的風險雖低但可能發生,當你覺得不能接受風險造成的後果時就會以最保險的方式。

結論

這些新弱點常常都是引發資安事件的因素,難以單靠週期性的弱掃發現,因此也不能怪長官用IThome新聞質問,這方式不只簡易還有效,


上一篇
1. 目標是什麼
下一篇
3. 情資收集-用ChatGPT寫程式協助吧
系列文
珍惜生命,遠離資安 - 避免不良的資安作法,專注重要事項33
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言