看板 MIS 關於我們 聯絡資訊
有時候看到板上說公司要搞好資安就要花錢買各式各樣的資安產品 資安產品的業務常常把自家產品吹得很厲害一樣 買了或許可以降低資安事件的風險 但是說真的能降低多少也沒人知道 可能花了好幾百萬結果只是從80%降低到75%而已 很多資安產品會宣稱可以達到那些效果 但他們卻絕口不提有各種破解和繞過的方法可以突破他們所宣稱的限制 甚至搞不好裝了之後反而又會新增另外的資安風險 舉幾個例子好了 1.McAfee防毒軟體爆權限升級漏洞,可讓駭客執行攻擊程式 https://www.ithome.com.tw/news/134172 防毒軟體自己本身就有漏洞 反而駭客能利用此漏洞做提權 2.韓國駭客事件驚人手法:防毒公司淪為派毒工具 https://www.ithome.com.tw/node/79407 企業更新防毒軟體的病毒碼通常先由一台防毒伺服器線上更新 之後再派送到區域網路內的其他電腦 但是當駭客把惡意程式植入到防毒伺服器 而防毒伺服器也沒偵測到那會怎麼樣 下場就是整個區域網路的電腦都被派送惡意程式 類似的事件還有這個 華碩電腦升級伺服器遭駭長達5月,超過百萬台PC被安裝後門程式 https://www.ithome.com.tw/news/129590 同樣是更新伺服器被入侵 可見駭客很聰明,知道哪台電腦最值得攻擊 3.WAF的SQL注入繞過手段和防禦技術 https://kknews.cc/zh-tw/code/arvg6.html WAF是一種能針對應用層攻擊的防火牆 主要是用來保護網站 但駭客還是可以用特別的攻擊手法繞過WAF 真的必須解決如文中所說的SQL注入漏洞還是必須從源頭(程式)下手 4.打破VDI安全神話:控制終端設備就控制了VDI資源 https://kknews.cc/zh-tw/tech/zee3vzl.html VDI的部分我比較不熟 不過從連結中文章的敘述 還是可以看到駭客透過入侵終端設備 一樣可以竊取機密資料 5.防火牆 企業一般會用防火牆鎖某些IP 以及只開放重要的Port(例如:80、443) 管制上網行為 但是如果使用者拔掉網路線 直接用手機4G分享網路給電腦 等於說就直接繞過防火牆了 6.鎖USB 鎖USB的方式有很多種 這邊只列出本篇文要討論的主題 通常都是用AD或資產管理軟體 但若是使用者用Live USB隨身碟開機 這樣就可以直接繞過作業系統 當然不管用什麼軟體的方式鎖都會失效了 ------------------------------------------------------- 最後來說說我的結論好了 我個人是認為資安產品只是幫忙善後處理而已 預防的效果也有限、治標不治本 要解決資安問題還是必須從源頭下手 例如:是否每位員工都有足夠的資安防護意識、密碼是否不是懶人密碼、撰寫安全的程式碼等等 就好像一個人要減肥 光靠吃減肥藥但是不控制飲食也不運動 不但花了錢、效果也不一定好 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.104.80.164 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1581084962.A.2CA.html ※ 編輯: dp2046 (106.104.80.164 臺灣), 02/07/2020 22:25:46
ai8051: 這類產品加減還是能治標,不買,出了問題你一定被火 02/08 00:02
deadwood: 你以為資安產品只有你列那些嗎? 02/08 02:12
deadwood: 你的觀念好像在說我開車小心就好,裝甚麼行車紀錄器一樣 02/08 02:15
deadwood: 資安產品就是一些工具,光有工具當然代表安全,但是沒有 02/08 02:17
deadwood: 工具就能做到完全安全? 很想看看您怎麼實踐你的想法,都 02/08 02:18
deadwood: 不要買你認為在吹噓的資安產品然後建造一個攻不進去的網 02/08 02:19
deadwood: 路,放出來讓眾高手踹踹看w 02/08 02:20
deadwood: 抱歉,第二行打錯:光有工具不代表安全 02/08 02:20
有兩篇文章我覺得可以參考看看 主要是講從源頭就能避免的重要性 聊一下關於去年的南韓攻擊事件 https://www.ptt.cc/bbs/MIS/M.1394367361.A.234.html 防毒軟體對資安的負面影響 https://www.ptt.cc/bbs/AntiVirus/M.1496320407.A.79C.html
asdfghjklasd: 工具要加上腦袋 02/08 02:38
※ 編輯: dp2046 (106.104.80.164 臺灣), 02/08/2020 03:51:30
wr: 安不安全取決於你想保護東西的價值 不在於多少防護 02/08 08:44
wr: 你用喇叭鎖保護掃把已經足夠安全了 但戰機設計圖就不行 02/08 08:45
Wishmaster: 你出社會了嗎? XDDDD 02/08 08:49
Wishmaster: 當你多念一點書,多一些實務經驗,就會知道 02/08 08:53
Wishmaster: 世界(不僅台灣)不是你想像的那種方式在運作 02/08 08:53
axuiolji: 不忍噓 02/08 09:30
blackhippo: 之前文章有說他是甲方新進的資安人員啦.. 02/08 09:31
blackhippo: 看完文章個人感覺沒很適合這塊 02/08 09:31
blackhippo: 再說你都一直拿反例來講..戴安全帽有因此頸椎受傷的例 02/08 09:33
blackhippo: 子所以就不戴嗎?繫安全帶有因為卡死逃不出車外案例所 02/08 09:34
blackhippo: 以不用繫嗎?增進user資安觀念人人都會講實務上呢? 02/08 09:35
TWBilly: 照你的道理 你還需要戴保險套嗎? 02/08 10:43
Weky: 這是學生在寫報告嗎? 02/08 13:16
dw7931425: 不忍噓+1 02/08 13:33
king1412: 主要還是管理人員要有正確的觀念跟設定技術,不然有好 02/08 13:40
king1412: 產品全都允許any等於沒用 02/08 13:40
a9601268787: 其實我覺得你找廠商來做滲透測試或紅隊演練會讓你更 02/08 14:46
a9601268787: 知道答案 02/08 14:46
kenwufederer: 技術人員能力決定一切,但就算環境不安全也不代表危 02/08 15:05
kenwufederer: 險 02/08 15:05
kenwufederer: 必須你的規模跟資料夠有價值,不然都很安全 02/08 15:06
alphanet: 哈哈哈,幫不忍噓的人噓你。騎車出門到回家都沒事情,以 02/08 15:19
alphanet: 後安全帽可以不要戴了 02/08 15:19
HiJimmy: 要100%安全就是拔網路線 關閉電源 把你辭退 這樣就沒風險 02/08 15:38
lusaka: 這個人的觀念實在有問題,資訊安全的概念實在有問題,應該 02/08 17:08
lusaka: 思考的是保護的方式與使用者存取模式,而不是舉一些反例 02/08 17:08
我覺得好像有人覺得我的意思就是不需要使用任何任何資安產品 我要表達的是不要太完全相信資安產品所帶來的防護效果 公司預算充足可以買一堆、預算不夠就用開源或免費的 但是買了一堆不代表就完全安全 2013年南韓那個網路攻擊就是一個例子 要講實務上 我就真的看過使用者繞過防火牆的阻擋使用我們禁止通訊的軟體 ※ 編輯: dp2046 (106.104.80.164 臺灣), 02/08/2020 17:33:36
blackhippo: 既然有實務.你要做的應該是思考如何防範使用者下次用 02/08 17:53
dw7931425: 我還遇過USER來問我,如何使用手機網路上網,順便連公 02/08 17:54
dw7931425: 司的監控系統?聽到這個我理你幹嘛?不就跟你提的插手 02/08 17:54
dw7931425: 機網路繞過防火牆有異曲同工之妙? 02/08 17:54
blackhippo: 同樣的作法來偷雞..而不是跟上頭說防火牆無用發給user 02/08 17:54
blackhippo: 資安小卡就好不是嗎 02/08 17:54
ericeric91: 這些都是房呆不防蠢,難道要因為是呆不就防嗎? 02/08 19:52
ericeric91: 就不防嗎。錯字orz 02/08 19:52
infosec: 廢話一大堆.. 這不都是common sense.. 02/08 20:49
pepsilee: 說了一堆廢話,有甚麼方案敢說絕對安全,自己用用腦 02/08 22:55
pepsilee: 最搞笑的是自以為高明的結論,人人有安全意識這不是廢話 02/08 22:56
pepsilee: 甚麼是廢話,自以為的結論看起來根本就是打高空的廢話 02/08 22:57
canblow: 乾脆說保險套拔掉就不安全 所以乾脆不要戴好了 02/08 22:59
canblow: 資安產品只是產品 但人的行為才是關鍵 02/08 23:00
miacp: 自掃門前雪只管自己的電腦這種想法OK,但是如果你是資安人 02/10 09:13
miacp: 員 你要不要轉行? 02/10 09:13
eric00169: 屁話 按照這邏輯 我大樓消防設備 逃生設備通通都不需要 02/11 09:13
eric00169: 了 因為都是治標不治本 出事都是人的問題 好棒棒 02/11 09:13
laikyo: 人類行為靠政策,懂? 02/11 09:26
dou0228: 所以,不要用最安全又省錢? 02/11 22:56
derekk: 程式源頭的漏洞問題 這不是防火牆的工作 合法網路行為防 04/14 16:14
derekk: 火牆不擋的 04/14 16:15