[討論] 買了資安產品就一定安全嗎? dp2046 PTT批踢踢實業坊

[討論] 買了資安產品就一定安全嗎?

作者: dp2046 (Kevin) 2020-02-07 22:15:57

有時候看到板上說公司要搞好資安就要花錢買各式各樣的資安產品
資安產品的業務常常把自家產品吹得很厲害一樣
買了或許可以降低資安事件的風險
但是說真的能降低多少也沒人知道
可能花了好幾百萬結果只是從80%降低到75%而已
很多資安產品會宣稱可以達到那些效果
但他們卻絕口不提有各種破解和繞過的方法可以突破他們所宣稱的限制
甚至搞不好裝了之後反而又會新增另外的資安風險
舉幾個例子好了
1.McAfee防毒軟體爆權限升級漏洞，可讓駭客執行攻擊程式
https://www.ithome.com.tw/news/134172
防毒軟體自己本身就有漏洞
反而駭客能利用此漏洞做提權
2.韓國駭客事件驚人手法：防毒公司淪為派毒工具
https://www.ithome.com.tw/node/79407
企業更新防毒軟體的病毒碼通常先由一台防毒伺服器線上更新
之後再派送到區域網路內的其他電腦
但是當駭客把惡意程式植入到防毒伺服器
而防毒伺服器也沒偵測到那會怎麼樣
下場就是整個區域網路的電腦都被派送惡意程式
類似的事件還有這個
華碩電腦升級伺服器遭駭長達5月，超過百萬台PC被安裝後門程式
https://www.ithome.com.tw/news/129590
同樣是更新伺服器被入侵
可見駭客很聰明，知道哪台電腦最值得攻擊
3.WAF的SQL注入繞過手段和防禦技術
https://kknews.cc/zh-tw/code/arvg6.html
WAF是一種能針對應用層攻擊的防火牆
主要是用來保護網站
但駭客還是可以用特別的攻擊手法繞過WAF
真的必須解決如文中所說的SQL注入漏洞還是必須從源頭(程式)下手
4.打破VDI安全神話：控制終端設備就控制了VDI資源
https://kknews.cc/zh-tw/tech/zee3vzl.html
VDI的部分我比較不熟
不過從連結中文章的敘述
還是可以看到駭客透過入侵終端設備
一樣可以竊取機密資料
5.防火牆
企業一般會用防火牆鎖某些IP
以及只開放重要的Port(例如：80、443)
管制上網行為
但是如果使用者拔掉網路線
直接用手機4G分享網路給電腦
等於說就直接繞過防火牆了
6.鎖USB
鎖USB的方式有很多種
這邊只列出本篇文要討論的主題
通常都是用AD或資產管理軟體
但若是使用者用Live USB隨身碟開機
這樣就可以直接繞過作業系統
當然不管用什麼軟體的方式鎖都會失效了

作者: ai8051 (aii) 2020-02-08 00:02:00

這類產品加減還是能治標,不買,出了問題你一定被火

作者: deadwood (T_T) 2020-02-08 02:12:00

你以為資安產品只有你列那些嗎?你的觀念好像在說我開車小心就好，裝甚麼行車紀錄器一樣資安產品就是一些工具，光有工具當然代表安全，但是沒有工具就能做到完全安全? 很想看看您怎麼實踐你的想法，都不要買你認為在吹噓的資安產品然後建造一個攻不進去的網路，放出來讓眾高手踹踹看w抱歉，第二行打錯:光有工具不代表安全

作者: asdfghjklasd (好累的大一生活) 2020-02-08 02:38:00

工具要加上腦袋

作者: wr (~~) 2020-02-08 08:44:00

安不安全取決於你想保護東西的價值不在於多少防護你用喇叭鎖保護掃把已經足夠安全了但戰機設計圖就不行

作者: Wishmaster (　) 2020-02-08 08:49:00

你出社會了嗎? XDDDD當你多念一點書,多一些實務經驗,就會知道世界(不僅台灣)不是你想像的那種方式在運作

作者: axuiolji (泰) 2020-02-08 09:30:00

不忍噓

作者: blackhippo (PH6.0 å¾®ï¼Žé…¸æ°‘) 2020-02-08 09:31:00

之前文章有說他是甲方新進的資安人員啦..看完文章個人感覺沒很適合這塊再說你都一直拿反例來講..戴安全帽有因此頸椎受傷的例子所以就不戴嗎?繫安全帶有因為卡死逃不出車外案例所以不用繫嗎?增進user資安觀念人人都會講實務上呢?

作者: TWBilly (小張) 2020-02-08 10:43:00

照你的道理你還需要戴保險套嗎？

作者: Weky (Never mind) 2020-02-08 13:16:00

這是學生在寫報告嗎？

作者: dw7931425 (我不知道) 2020-02-08 13:33:00

不忍噓+1

作者: king1412 (Roscoe) 2020-02-08 13:40:00

主要還是管理人員要有正確的觀念跟設定技術，不然有好產品全都允許any等於沒用

作者: a9601268787 (SoHentai) 2020-02-08 14:46:00

其實我覺得你找廠商來做滲透測試或紅隊演練會讓你更知道答案

作者: kenwufederer (Nash) 2020-02-08 15:05:00

技術人員能力決定一切，但就算環境不安全也不代表危險必須你的規模跟資料夠有價值，不然都很安全

作者: alphanet (奈落) 2020-02-08 15:19:00

哈哈哈，幫不忍噓的人噓你。騎車出門到回家都沒事情，以後安全帽可以不要戴了

作者: HiJimmy (å—¨ å‰ç±³) 2020-02-08 15:38:00

要100%安全就是拔網路線關閉電源把你辭退這樣就沒風險

作者: lusaka (gary.lusifa) 2020-02-08 17:08:00

這個人的觀念實在有問題，資訊安全的概念實在有問題，應該思考的是保護的方式與使用者存取模式，而不是舉一些反例

作者: blackhippo (PH6.0 å¾®ï¼Žé…¸æ°‘) 2020-02-08 17:53:00

既然有實務.你要做的應該是思考如何防範使用者下次用

作者: dw7931425 (我不知道) 2020-02-08 17:54:00

我還遇過USER來問我，如何使用手機網路上網，順便連公司的監控系統？聽到這個我理你幹嘛？不就跟你提的插手機網路繞過防火牆有異曲同工之妙？

作者: blackhippo (PH6.0 å¾®ï¼Žé…¸æ°‘) 2020-02-08 17:54:00

同樣的作法來偷雞..而不是跟上頭說防火牆無用發給user資安小卡就好不是嗎

作者: ericeric91 (ericeric91) 2020-02-08 19:52:00

這些都是房呆不防蠢，難道要因為是呆不就防嗎？就不防嗎。錯字orz

作者: infosec (InfoSEC) 2020-02-08 20:49:00

廢話一大堆.. 這不都是common sense..

作者: pepsilee (Pepsi) 2020-02-08 22:55:00

說了一堆廢話，有甚麼方案敢說絕對安全，自己用用腦最搞笑的是自以為高明的結論，人人有安全意識這不是廢話甚麼是廢話，自以為的結論看起來根本就是打高空的廢話

作者: canblow (可吹) 2020-02-08 22:59:00

乾脆說保險套拔掉就不安全所以乾脆不要戴好了資安產品只是產品但人的行為才是關鍵

作者: miacp ( ) 2020-02-10 09:13:00

自掃門前雪只管自己的電腦這種想法OK，但是如果你是資安人員你要不要轉行？

作者: eric00169 (eric) 2020-02-11 09:13:00

屁話按照這邏輯我大樓消防設備逃生設備通通都不需要了因為都是治標不治本出事都是人的問題好棒棒

作者: laikyo (六元) 2020-02-11 09:26:00

人類行為靠政策，懂?

作者: dou0228 (7777) 2020-02-11 22:56:00

所以，不要用最安全又省錢？

作者: derekk (可可) 2020-04-14 16:14:00

程式源頭的漏洞問題這不是防火牆的工作合法網路行為防火牆不擋的

繼續閱讀

[請益] 台中SI廠商shawpee [請益] 請問ip/dns查詢網站winters920 [請益] 如何找尋便宜的機房代管(co-location)?whiteblueguy [請益] 轉職選擇 (千附/台灣之星)peter7910162 [徵才] MIS資訊工程師tx50xyz [請益] .cab .msu用戶端如何自動安裝pkkop1593 [請益] Azure AD for Mac OS Xsddgoodboy [請益] 感到有點迷茫littlecatowo Re: ［請益］關於網路管理工程師的工作asdfghjklasd [請益] 憑證路徑 perasa