网络安全里的苍蝇,蟑螂和白蚁
苍蝇
俗话说,苍蝇不叮无缝蛋,如果你被人盯上,那你一定有什么“过人之处”被恶意用户识别到。
有些网站或信息系统经常会莫名其妙被人扫描,这种情况有很大概率是:网站或信息系统有问题,或者历史上有问题,被在某些威胁情报平台标记。
对于这些被盯上的站点,你杀了一个IP,对方又换个IP上来的,一定要请有经验的人从攻击者视角来查一遍。
要争取比恶意用户更早发现问题。
这种情况下,只能提高自己网站或信息系统的安全水平。杀扫描的IP,还是在外层加防护,都是行不通的。
我们遇到过,我们识别到了一个恶意用户已经开始盯着某个系统在渗透了。但是我们杀了一个IP,对方换了另外一个IP,然后我们又杀,接着,态势就一瞬间收到几十个来自各地的IP扫描该系统的告警。恶意用户仿佛在嘲笑我们:杀啊,我IP多得是。当然,我们也很快进行了互动,把系统直接关了。
作为被苍蝇盯上的蛋,还是要从自己身上找原因。加上RASP(运行时应用自我保护) 高校安全设备之买买买攻略 (4年前写的,太老了,未来更新一个版本),或者 每个业务系统都应当有一个安全中心。
蟑螂
如果你看到一只蟑螂,那你家里应该至少有40只蟑螂以上。当然不排除某只蟑螂误入你家,不会那么凑巧。
网络安全也是这样,我们一直在提倡“举一反三”。
一般我们认为,如果你的站点有SQL注入,那整个代码层面已经千疮百孔,有这种最低级的漏洞,基本上所有OWASP Top 10的安全问题你一定会一个个犯过去。
以往我们对某个系统找到一个问题,供应商有时候就修复你这个问题,修复速度很快。也就是,很快把你找到的蟑螂拍死了。但是他就停止了。
这会让供应商形成依赖,就等着你找问题,你找到一个我改一个。
需求实现我是小能手,再bt的需求加钱我都可以给你实现,网络安全我啥也不懂,我也不知道怎么回事。你帮我找到问题我就改。
他会认为自己做得很好:你找到的所有问题,我都改了啊。
甚至最后还会把锅甩给你,问题这么大,你都没找出来???
网络安全人员面对的是黑盒,他面对的也是更多的供应商,他无法帮你找出所有注入点,无法帮你找出所有的OWASP Top 10问题。即使可以,那成本也是极高的,我们都知道,Bug在开发阶段消除成本是最低的。我们也知道,下水道不加滤网,蟑螂还会源源不断爬上来;快递盒子不扔,可能虫卵就跟着进来了。
所以一定要“举一反三”,把剩下的39只蟑螂都找到!!!
白蚁
千里之堤,溃于蚁穴。
阿基米德说过:给我一个小小的SQL注入点,我可以把整个数据库都导出来。
阿基米德还说过:给我一个6379端口未授权访问,我可以写入公钥控制下整台服务器。
据说阿基米德私下还吹过:给我从二手海鲜市场买个学生的VPN弱口令,我可以进入边界防护严密的校园网内帮你把所有安全问题都找出来。
确实,安全就是这样,针尖大的窟窿能漏过斗大的风,瑟瑟发抖吧。