今天很多小伙伴都开始HW行动了,在过去的一个月里面,我和几位售前工程师同行也为了今天的战役准备和筹备很多,在这个值得纪念的日子里,我也总结一下工作内容。
时间大约回到两个月前,某客户在筹备行动开始阶段,针对自己内部环境进行了一次有针对性的摸底排查过程。细节此处省略一万字。我们仅谈论安全相关的部分。
首先我的客户在2019年讨论了一个2006年开始讨论的问题,我的系统到底为啥要使用2048 bit的数字证书。他的强度如何呢?
The Lenstra group estimated that factoring a 1024-bit RSA modulus would be about 1,000 timesharder than their record effort with the 768-bit modulus, or in other words, onthe same hardware, with the same conditions, it would take about 1,000 times aslong.
They also estimated thattheir record achievement would have taken 1,500 years if they normalizedprocessing power to that of the standard desktop machine at the time -this assumption is basedon a 2.2 Ghz AMD Opteron processor with 2GB RAM. that standard desktopcomputing power would take 4,294,967,296 x 1.5 million years tobreak a 2048-bit SSL certificate. Or, in other words, a little over 6.4quadrillion years.
但是我也看到国外媒体在预测量子计算机对算力的贡献。
—NIST的美国国家标准技术研究所给出的规划是到2030年。
In case you’re curiouswhere we got the idea of 2048-bit keys being safe to use until 2030, check outthe NIST Special Publication800-57 Part1. In Table 2 of that document, it says 2048-bit RSA keysare roughly equivalent to a Security Strength of 112. Security strength issimply a number associated with the amount of work required to break acryptographic algorithm. Basically, the higher that number, the greater theamount of work required.
2048对应的安全长度是112
Thesame NIST document also has a table (Table 4) that shows the period over whicheach Security Strength is deemed acceptable. According to that publication, 112security strength (which corresponds to 2048-bit keys) is considered to beacceptable until 2030.
2016年修改的修订稿 SP800-57 Part 1 Rev. 4
Date Published: January 2016
看明白了吗?其实如果这个时候我们还沉寂于跟客户去讲,Bob 和Alice的爱情故事,再把那个贱人Spy拿出来搞破坏的事情,演绎一个很好的版本给我们的客户。我觉得客户压根不会感兴趣。
售前工程师都知道,这并不是一个好的选择,在火烧眉毛的时候,凭谁都需要在第一时间响应安全问题及安全漏洞。
既然事已至此,不如我们开始帮助客户进行有效的防守。
通常来讲,企业根本无法辨别威胁。企业经常花费太多钱在攻击发生之后对漏洞的修补和调查问题上,而不打算在攻击出现之前就修复它。我们的客户对内网进行了一次主机漏洞扫描,并把这份报告拿出来研究。
– – – 保密,报告就不发了。 – – –
一般来说,建议客户漏洞管理结合risk风险值来进行计算后,根据权重分配分值,再进行全面管理。可是现状真实的就是,大部分客户对自己的资产,尤其是数字资产中的软件资产不是很清楚,cmdb效果不佳。安全可视性当然就约等于几乎没有了;另外,没有专业的安全人员辅助进行风险度量,预测基本不可能了,大量依赖外部的威胁情报数据。
我们这里拿一个CVE出来研究一下。
CVE-2015-0204
https://exchange.xforce.ibmcloud.com/vulnerabilities/99707
这里给出了,补救措施。
IBM 的IPS产品,可以提供虚拟补丁功能的防护。
这里我们看到有695个产品都收到影响。有的是一个产品的不同版本。
其中有169个网站和引用。
这里吐槽一点,如果你不把鼠标移过来看描述的话,这么多link,点。。
openssl的漏洞一般都是影响面比较大。我们重点关注一下。
我们查询一下,国内的情报网站。这里有中文的描述和评分。
也给出了可供的参考信息。
参考信息给出了相关产品的网址。
漏洞类型及评分。
应对措施。
看看Xforce的内容。基本是英文为主。
再看Xforce网站。
我们看一个高分的漏洞 CVE-2019-4279
我们看一个高分的漏洞 CVE-2019-4279。在Xforce。
这是个9分的。
这里可以通过相关的知识库文章,针对产品进行修复和验证。
有的时候,会有热心人哦。
会有人留言,适配的那个support link。
写到这里,大家基本可以了解,我们平时通过威胁情报,帮助客户查询漏洞和漏洞修复信息。指导运营或者运维人员去完成漏洞的修补和系统加固。系统加固,其实有很多方法和技巧,我们在这里就不介绍了。
这里面我们从企业内部的情报搜集和可视化角度分析一下。
做好安全风险可视化的基础是对数字资产的搜集和管理,另外建立成熟的体系和防御机制,离不开运营和运维人员的配合。比如软件资产库的建立,企业漏洞管理平台,风险管理平台的计算和权重设计都需要大量的人力和物力。也是信息安全工作一体化的具体体现,我们就不多说了。
IBM 有本红宝书,这里安利一下大家。Using the IBM Security Framework and IBM Security Blueprintto Realize Business-Driven Security。这本书有240页。
http://www.redbooks.ibm.com/abstracts/sg248100.html?Open
其实,情报在HW行动中,还有广泛的应用,比如,IP地址,DNS,域名等网络安全信息都可以查询。
相信,最近几天的零日漏洞也会获得大家的特别关注。
聊完了,威胁情报,我们来学习一下,漏洞管理和发布的机制。
IBM Product Security Incident Response Blog 会发布IBM 安全漏洞。
https://www.ibm.com/blogs/psirt/
https://www.ibm.com/security/secure-engineering/bulletins.html
这里面有研发人员,也有安全专家,也给白帽子提供提交漏洞的渠道。
可以自行订阅产品的通知消息。
其实各个厂商都建立了相对应的安全响应机制及门户,有点类似国内各个公司的SRC,安全应急响应中心。
IBM Product Security Incident Response Team (PSIRT) Overview
写在最后,主动的安全管理并不应该用来应付检查,我也希望更多的用户能够在日常管理和运营过程中,落到实处,定时定期进行安全加固工作。当然不仅仅是漏洞管理,其实从细节做起,安全无小事。