Re: 簡介PostERP技術
[恕刪]
雖然這個版上很多前輩,
但是還是忍不住班門弄斧,
在前面先向大家賠罪。
※ 引述《anecdotes (*++i >> j != &k << *l--)》之銘言:
: → asdfghjklasd: 先跟我說你的雲平台經過什麼資安認證? 08/27 11:42
: 我們自己用nmap.org自己認證。
:
: 《資安大哉論》
: https://www.linkedin.com/pulse/%25E8%25B3%2587%25E5%25AE%2589%25E5%25A4%25A7%25E5%2593%2589%25E8%25AB%2596-cn-liou/
幫縮網址: https://reurl.cc/vv7vQk (其實是我自己要連很不方便)
擁有一次單挑多項資安標準作法的勇氣我是很欽佩啦,
不過上面這篇文章是不是值得丟去事實查核中心查核一下挖?
有點強大!!
身為多年的資訊與資安從業人員,
我認為還是需要稍微稍微說明以正視聽,避免誤導大眾。
首先針對推文,Nmap他的主要功能是掃描開啟的連接埠,
搭配NSE也可以測試部分CVE或已知弱點。(但是有些功能的準確度還有點呵呵呵)
但用各種方法精準拿到各系統版本號後去Github找Exploit或PoC來玩的成功率遠高於NSE。
請問您如何使用Nmap認證您的系統、環境、流程符合各種資安要求?
是否有具公信力的方法論、測試流程、測試報告與第三方認可?
(註:Nmap並非具備第三方公信單位認證的弱點檢測軟體)
接著想對您的文章一些很特別的地方跟大家一起討論討論。
由於令人疑惑的地方實在太多了,所以只挑幾個重點來探討。
首先,
您在文章中很直接地否決了OWASP Top 10這個十多年來業界針對網站資安檢測的圭臬,
不可否認OWASP Top 10在很多時候都被神化,有些項目PT、VA根本沒辦法完整檢測,
但是大家有沒有發現文中提到 "廠商提高軟體與基礎設施品質" 部分,
全部都不出OWASP Top 10 2003迄今十多年來多個版本的範疇?
<---以下是流水帳廢話--->
甲、應用軟體,也就是軟體程式的細節,諸如:
- SQL injection attack
--> A03:2021 Injection
- cross site scripting attack
--> A03:2021 Injection / A07:2017 XSS
- buffer overflow attack
--> A05:2004 Buffer Overflow
乙、基礎設施,infrastructure,諸如:
- 作業系統(Operating System, OS)參數:例如關閉port?關閉login prompt?
--> A05:2021 Security Misconfiguration
- Email伺服器軟體參數
--> A05:2021 Security Misconfiguration
- 網路規劃:是否設置private network、防火牆?
--> A01:2021 Broken Access Control / A02:2017 Broken Authentication
- 通訊協定:例如TCP port?Unix domain socket?IPsec?
--> 這個跟前面作業系統的異同? 加密與否嗎? A06:2021 Sensitive Data Exposure
其中只有Buffer Overflow這件近年來都沒進Top10,
原因很簡單,現在大家的應用程式大部分都愛採用Framework開發,
會在自行開發的產品直接產生溢位的機會大大降低,
如果是框架問題,那就會規在A06:2021 Vulnerable and Outdated Components的問題,
被要求更新元件。
所以雖然說OWASP TOP 10真的很廢,但他真的包山包海包屁股,
在應用環境遇到的弱點要沒辦法歸納在這十項還真的要有點技巧。
所以標案說要沒有OWASP TOP 10弱點對甲方來說是很GY很負責任的安全牌,
因為只要弱點在範疇內,都是廠商的問題,廠商沒寫好、第三方驗證沒驗出來,
依合約就是得標廠商或第三方驗證廠商要頭大,甲方完全過關。
(結果就是乙方跟驗證方毛在燒看到底誰要吞這樣。)
<---以上是流水帳廢話--->
另外,您提到 "擁有資料庫讀取權的資訊人員嫌疑最大。",
所以各種Guideline、Best Practice不是都提到權限切割、職責分離嗎?
那使用您的雲服務如何證明您不是風險最大的資訊人員呢?
要有一個基本認知:上雲不會讓問題消失,只會讓問題一起跑到雲上而已。
服務上雲了,DBA、IT問題不也一起上雲了嗎?怎麼會覺得說上雲這些問題就會消失呢?
您認為 "非擁有資料庫讀取權的人員難以供應【大規模】【結構性】資料。"
SQL Injection的目標不就是從外部Web UI透過各種手法在不取得額外資料庫存取權
的前提下【大規模】【結構性】取得資料庫裡的大量資料嗎?
不然您認為的SQL Injection只是 or 1=1--可以莫名登入系統就這樣而已嗎?
正確掌握SQL Injection弱點與操作方法的攻擊者也可以在組織外部透過Web UI執行以下:
"依照買方要求條件,執行一道SQL SELECT指令,3秒鐘內篩選出有效資料,下載並販賣。"
至於2300萬筆個資外洩這是我國政府單位的笑話,不可否認。
但是用這2300萬筆個資直接壓在這些單位的DBA、IT頭上,是否過於武斷?
不可否認各種政府系統千瘡百孔,但千瘡百孔不就等於歷史共業嗎?
怎麼可以讓DBA、IT直接吞呢lol。
您質疑台灣哪一間上市櫃公司可以吸引IT人員每天8hr高標準工作,
不知道您有沒有耳聞神山等級的IT或是Vender如何工作,
也許您可以跟您說這達不到的神的領域比較一下有什麼差異。
客觀來說其實差異沒多少,您沒看過不代表不存在。
(https://ithelp.ithome.com.tw/articles/10035534)
(https://www.ptt.cc/bbs/Tech_Job/M.1720094772.A.6EB.html)
此外,有關資安長,您認為需要資安全才,我比較好奇,是否能類推如下:
美國總統是否應是美國全才?習大大是否應是中國全才?
能綜理全單位資安政策者必須要事必躬親嗎?
還有,零信任的確不是萬靈丹,但也跟您的猜測八竿子打不著,
更跟使用不使用M$解決方案一點關係也沒有,建議您可以多看幾篇iThome稍微補完一下。
大家才不會看得滿臉問號。
最後,個人認為在評論一張證照、證書廢不廢、有沒有用之前,建議先考到、通過再說。
只有吃過爛蘋果的人才能體會箇中滋味。
PS. 依照Nmap提供的版本號,
您其中一台主機的ssh使用的版本OpenSSH 8.4p1具有中風險弱點,
且其中已有至少一個弱點已有Exploit在網路上流傳,建議立即更新。
建議您在深入研究一下Nmap的功能與能耐,他可以做的是比您想像的更多。
Ref.https://www.cybersecurity-help.cz/vdb/openssh/openssh/8.4p1/
Ref.https://github.com/LucasPDiniz/CVE-2023-38408
小小意見提供大家參考,
文字中如有不妥,請多多海涵。
Best Regards,
by ASimon
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.134.25.104 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1724789107.A.D25.html
留言