[讨论] 买了资安产品就一定安全吗? dp2046 PTT批踢踢实业坊

[讨论] 买了资安产品就一定安全吗?

楼主: dp2046 (Kevin) 2020-02-07 22:15:57

有时候看到板上说公司要搞好资安就要花钱买各式各样的资安产品
资安产品的业务常常把自家产品吹得很厉害一样
买了或许可以降低资安事件的风险
但是说真的能降低多少也没人知道
可能花了好几百万结果只是从80%降低到75%而已
很多资安产品会宣称可以达到那些效果
但他们却绝口不提有各种破解和绕过的方法可以突破他们所宣称的限制
甚至搞不好装了之后反而又会新增另外的资安风险
举几个例子好了
1.McAfee防毒软件爆权限升级漏洞，可让骇客执行攻击程式
https://www.ithome.com.tw/news/134172
防毒软件自己本身就有漏洞
反而骇客能利用此漏洞做提权
2.韩国骇客事件惊人手法：防毒公司沦为派毒工具
https://www.ithome.com.tw/node/79407
企业更新防毒软件的病毒码通常先由一台防毒服务器线上更新
之后再派送到局域网路内的其他电脑
但是当骇客把恶意程式植入到防毒服务器
而防毒服务器也没侦测到那会怎么样
下场就是整个局域网路的电脑都被派送恶意程式
类似的事件还有这个
华硕电脑升级服务器遭骇长达5月，超过百万台PC被安装后门程式
https://www.ithome.com.tw/news/129590
同样是更新服务器被入侵
可见骇客很聪明，知道哪台电脑最值得攻击
3.WAF的SQL注入绕过手段和防御技术
https://kknews.cc/zh-tw/code/arvg6.html
WAF是一种能针对应用层攻击的防火墙
主要是用来保护网站
但骇客还是可以用特别的攻击手法绕过WAF
真的必须解决如文中所说的SQL注入漏洞还是必须从源头(程式)下手
4.打破VDI安全神话：控制终端设备就控制了VDI资源
https://kknews.cc/zh-tw/tech/zee3vzl.html
VDI的部分我比较不熟
不过从连结中文章的叙述
还是可以看到骇客透过入侵终端设备
一样可以窃取机密资料
5.防火墙
企业一般会用防火墙锁某些IP
以及只开放重要的Port(例如：80、443)
管制上网行为
但是如果使用者拔掉网络线
直接用手机4G分享网络给电脑
等于说就直接绕过防火墙了
6.锁USB
锁USB的方式有很多种
这边只列出本篇文要讨论的主题
通常都是用AD或资产管理软件
但若是使用者用Live USB随身碟开机
这样就可以直接绕过作业系统
当然不管用什么软件的方式锁都会失效了

作者: ai8051 (aii) 2020-02-08 00:02:00

这类产品加减还是能治标,不买,出了问题你一定被火

作者: deadwood (T_T) 2020-02-08 02:12:00

你以为资安产品只有你列那些吗?你的观念好像在说我开车小心就好，装什么行车纪录器一样资安产品就是一些工具，光有工具当然代表安全，但是没有工具就能做到完全安全? 很想看看您怎么实践你的想法，都不要买你认为在吹嘘的资安产品然后建造一个攻不进去的网络，放出来让众高手踹踹看w抱歉，第二行打错:光有工具不代表安全

作者: asdfghjklasd (好累的大一生活) 2020-02-08 02:38:00

工具要加上脑袋

作者: wr (~~) 2020-02-08 08:44:00

安不安全取决于你想保护东西的价值不在于多少防护你用喇叭锁保护扫把已经足够安全了但战机设计图就不行

作者: Wishmaster (　) 2020-02-08 08:49:00

你出社会了吗? XDDDD当你多念一点书,多一些实务经验,就会知道世界(不仅台湾)不是你想像的那种方式在运作

作者: axuiolji (泰) 2020-02-08 09:30:00

不忍嘘

作者: blackhippo (PH6.0 å¾®ï¼Žé…¸æ°‘) 2020-02-08 09:31:00

之前文章有说他是甲方新进的资安人员啦..看完文章个人感觉没很适合这块再说你都一直拿反例来讲..戴安全帽有因此颈椎受伤的例子所以就不戴吗?系安全带有因为卡死逃不出车外案例所以不用系吗?增进user资安观念人人都会讲实务上呢?

作者: TWBilly (小张) 2020-02-08 10:43:00

照你的道理你还需要戴保险套吗？

作者: Weky (Never mind) 2020-02-08 13:16:00

这是学生在写报告吗？

作者: dw7931425 (我不知道) 2020-02-08 13:33:00

不忍嘘+1

作者: king1412 (Roscoe) 2020-02-08 13:40:00

主要还是管理人员要有正确的观念跟设定技术，不然有好产品全都允许any等于没用

作者: a9601268787 (SoHentai) 2020-02-08 14:46:00

其实我觉得你找厂商来做渗透测试或红队演练会让你更知道答案

作者: kenwufederer (Nash) 2020-02-08 15:05:00

技术人员能力决定一切，但就算环境不安全也不代表危险必须你的规模跟资料够有价值，不然都很安全

作者: alphanet (奈落) 2020-02-08 15:19:00

哈哈哈，帮不忍嘘的人嘘你。骑车出门到回家都没事情，以后安全帽可以不要戴了

作者: HiJimmy (å—¨ å‰ç±³) 2020-02-08 15:38:00

要100%安全就是拔网络线关闭电源把你辞退这样就没风险

作者: lusaka (gary.lusifa) 2020-02-08 17:08:00

这个人的观念实在有问题，资讯安全的概念实在有问题，应该思考的是保护的方式与使用者存取模式，而不是举一些反例

作者: blackhippo (PH6.0 å¾®ï¼Žé…¸æ°‘) 2020-02-08 17:53:00

既然有实务.你要做的应该是思考如何防范使用者下次用

作者: dw7931425 (我不知道) 2020-02-08 17:54:00

我还遇过USER来问我，如何使用手机网络上网，顺便连公司的监控系统？听到这个我理你干嘛？不就跟你提的插手机网络绕过防火墙有异曲同工之妙？

作者: blackhippo (PH6.0 å¾®ï¼Žé…¸æ°‘) 2020-02-08 17:54:00

同样的作法来偷鸡..而不是跟上头说防火墙无用发给user资安小卡就好不是吗

作者: ericeric91 (ericeric91) 2020-02-08 19:52:00

这些都是房呆不防蠢，难道要因为是呆不就防吗？就不防吗。错字orz

作者: infosec (InfoSEC) 2020-02-08 20:49:00

废话一大堆.. 这不都是common sense..

作者: pepsilee (Pepsi) 2020-02-08 22:55:00

说了一堆废话，有什么方案敢说绝对安全，自己用用脑最搞笑的是自以为高明的结论，人人有安全意识这不是废话什么是废话，自以为的结论看起来根本就是打高空的废话

作者: canblow (可吹) 2020-02-08 22:59:00

干脆说保险套拔掉就不安全所以干脆不要戴好了资安产品只是产品但人的行为才是关键

作者: miacp ( ) 2020-02-10 09:13:00

自扫门前雪只管自己的电脑这种想法OK，但是如果你是资安人员你要不要转行？

作者: eric00169 (eric) 2020-02-11 09:13:00

屁话按照这逻辑我大楼消防设备逃生设备通通都不需要了因为都是治标不治本出事都是人的问题好棒棒

作者: laikyo (六元) 2020-02-11 09:26:00

人类行为靠政策，懂?

作者: dou0228 (7777) 2020-02-11 22:56:00

所以，不要用最安全又省钱？

作者: derekk (可可) 2020-04-14 16:14:00

程式源头的漏洞问题这不是防火墙的工作合法网络行为防火墙不挡的

继续阅读

[请益] 台中SI厂商shawpee [请益] 请问ip/dns查询网站winters920 [请益] 如何找寻便宜的机房代管(co-location)?whiteblueguy [请益] 转职选择 (千附/台湾之星)peter7910162 [征才] MIS资讯工程师tx50xyz [请益] .cab .msu用户端如何自动安装pkkop1593 [请益] Azure AD for Mac OS Xsddgoodboy [请益] 感到有点迷茫littlecatowo Re: ［请益］关于网络管理工程师的工作asdfghjklasd [请益] 凭证路径 perasa