[討論] 買了資安產品就一定安全嗎?

看板MIS (IT資訊人員)作者 (Kevin)時間4年前 (2020/02/07 22:16), 4年前編輯推噓-1(7842)
留言57則, 25人參與, 4年前最新討論串1/1
有時候看到板上說公司要搞好資安就要花錢買各式各樣的資安產品 資安產品的業務常常把自家產品吹得很厲害一樣 買了或許可以降低資安事件的風險 但是說真的能降低多少也沒人知道 可能花了好幾百萬結果只是從80%降低到75%而已 很多資安產品會宣稱可以達到那些效果 但他們卻絕口不提有各種破解和繞過的方法可以突破他們所宣稱的限制 甚至搞不好裝了之後反而又會新增另外的資安風險 舉幾個例子好了 1.McAfee防毒軟體爆權限升級漏洞,可讓駭客執行攻擊程式 https://www.ithome.com.tw/news/134172 防毒軟體自己本身就有漏洞 反而駭客能利用此漏洞做提權 2.韓國駭客事件驚人手法:防毒公司淪為派毒工具 https://www.ithome.com.tw/node/79407 企業更新防毒軟體的病毒碼通常先由一台防毒伺服器線上更新 之後再派送到區域網路內的其他電腦 但是當駭客把惡意程式植入到防毒伺服器 而防毒伺服器也沒偵測到那會怎麼樣 下場就是整個區域網路的電腦都被派送惡意程式 類似的事件還有這個 華碩電腦升級伺服器遭駭長達5月,超過百萬台PC被安裝後門程式 https://www.ithome.com.tw/news/129590 同樣是更新伺服器被入侵 可見駭客很聰明,知道哪台電腦最值得攻擊 3.WAF的SQL注入繞過手段和防禦技術 https://kknews.cc/zh-tw/code/arvg6.html WAF是一種能針對應用層攻擊的防火牆 主要是用來保護網站 但駭客還是可以用特別的攻擊手法繞過WAF 真的必須解決如文中所說的SQL注入漏洞還是必須從源頭(程式)下手 4.打破VDI安全神話:控制終端設備就控制了VDI資源 https://kknews.cc/zh-tw/tech/zee3vzl.html VDI的部分我比較不熟 不過從連結中文章的敘述 還是可以看到駭客透過入侵終端設備 一樣可以竊取機密資料 5.防火牆 企業一般會用防火牆鎖某些IP 以及只開放重要的Port(例如:80、443) 管制上網行為 但是如果使用者拔掉網路線 直接用手機4G分享網路給電腦 等於說就直接繞過防火牆了 6.鎖USB 鎖USB的方式有很多種 這邊只列出本篇文要討論的主題 通常都是用AD或資產管理軟體 但若是使用者用Live USB隨身碟開機 這樣就可以直接繞過作業系統 當然不管用什麼軟體的方式鎖都會失效了 ------------------------------------------------------- 最後來說說我的結論好了 我個人是認為資安產品只是幫忙善後處理而已 預防的效果也有限、治標不治本 要解決資安問題還是必須從源頭下手 例如:是否每位員工都有足夠的資安防護意識、密碼是否不是懶人密碼、撰寫安全的程式碼等等 就好像一個人要減肥 光靠吃減肥藥但是不控制飲食也不運動 不但花了錢、效果也不一定好 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.104.80.164 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1581084962.A.2CA.html ※ 編輯: dp2046 (106.104.80.164 臺灣), 02/07/2020 22:25:46

02/08 00:02, 4年前 , 1F
這類產品加減還是能治標,不買,出了問題你一定被火
02/08 00:02, 1F

02/08 02:12, 4年前 , 2F
你以為資安產品只有你列那些嗎?
02/08 02:12, 2F

02/08 02:15, 4年前 , 3F
你的觀念好像在說我開車小心就好,裝甚麼行車紀錄器一樣
02/08 02:15, 3F

02/08 02:17, 4年前 , 4F
資安產品就是一些工具,光有工具當然代表安全,但是沒有
02/08 02:17, 4F

02/08 02:18, 4年前 , 5F
工具就能做到完全安全? 很想看看您怎麼實踐你的想法,都
02/08 02:18, 5F

02/08 02:19, 4年前 , 6F
不要買你認為在吹噓的資安產品然後建造一個攻不進去的網
02/08 02:19, 6F

02/08 02:20, 4年前 , 7F
路,放出來讓眾高手踹踹看w
02/08 02:20, 7F

02/08 02:20, 4年前 , 8F
抱歉,第二行打錯:光有工具不代表安全
02/08 02:20, 8F
有兩篇文章我覺得可以參考看看 主要是講從源頭就能避免的重要性 聊一下關於去年的南韓攻擊事件 https://www.ptt.cc/bbs/MIS/M.1394367361.A.234.html 防毒軟體對資安的負面影響 https://www.ptt.cc/bbs/AntiVirus/M.1496320407.A.79C.html

02/08 02:38, 4年前 , 9F
工具要加上腦袋
02/08 02:38, 9F
※ 編輯: dp2046 (106.104.80.164 臺灣), 02/08/2020 03:51:30

02/08 08:44, 4年前 , 10F
安不安全取決於你想保護東西的價值 不在於多少防護
02/08 08:44, 10F

02/08 08:45, 4年前 , 11F
你用喇叭鎖保護掃把已經足夠安全了 但戰機設計圖就不行
02/08 08:45, 11F

02/08 08:49, 4年前 , 12F
你出社會了嗎? XDDDD
02/08 08:49, 12F

02/08 08:53, 4年前 , 13F
當你多念一點書,多一些實務經驗,就會知道
02/08 08:53, 13F

02/08 08:53, 4年前 , 14F
世界(不僅台灣)不是你想像的那種方式在運作
02/08 08:53, 14F

02/08 09:30, 4年前 , 15F
不忍噓
02/08 09:30, 15F

02/08 09:31, 4年前 , 16F
之前文章有說他是甲方新進的資安人員啦..
02/08 09:31, 16F

02/08 09:31, 4年前 , 17F
看完文章個人感覺沒很適合這塊
02/08 09:31, 17F

02/08 09:33, 4年前 , 18F
再說你都一直拿反例來講..戴安全帽有因此頸椎受傷的例
02/08 09:33, 18F

02/08 09:34, 4年前 , 19F
子所以就不戴嗎?繫安全帶有因為卡死逃不出車外案例所
02/08 09:34, 19F

02/08 09:35, 4年前 , 20F
以不用繫嗎?增進user資安觀念人人都會講實務上呢?
02/08 09:35, 20F

02/08 10:43, 4年前 , 21F
照你的道理 你還需要戴保險套嗎?
02/08 10:43, 21F

02/08 13:16, 4年前 , 22F
這是學生在寫報告嗎?
02/08 13:16, 22F

02/08 13:33, 4年前 , 23F
不忍噓+1
02/08 13:33, 23F

02/08 13:40, 4年前 , 24F
主要還是管理人員要有正確的觀念跟設定技術,不然有好
02/08 13:40, 24F

02/08 13:40, 4年前 , 25F
產品全都允許any等於沒用
02/08 13:40, 25F

02/08 14:46, 4年前 , 26F
其實我覺得你找廠商來做滲透測試或紅隊演練會讓你更
02/08 14:46, 26F

02/08 14:46, 4年前 , 27F
知道答案
02/08 14:46, 27F

02/08 15:05, 4年前 , 28F
技術人員能力決定一切,但就算環境不安全也不代表危
02/08 15:05, 28F

02/08 15:05, 4年前 , 29F
02/08 15:05, 29F

02/08 15:06, 4年前 , 30F
必須你的規模跟資料夠有價值,不然都很安全
02/08 15:06, 30F

02/08 15:19, 4年前 , 31F
哈哈哈,幫不忍噓的人噓你。騎車出門到回家都沒事情,以
02/08 15:19, 31F

02/08 15:19, 4年前 , 32F
後安全帽可以不要戴了
02/08 15:19, 32F

02/08 15:38, 4年前 , 33F
要100%安全就是拔網路線 關閉電源 把你辭退 這樣就沒風險
02/08 15:38, 33F

02/08 17:08, 4年前 , 34F
這個人的觀念實在有問題,資訊安全的概念實在有問題,應該
02/08 17:08, 34F

02/08 17:08, 4年前 , 35F
思考的是保護的方式與使用者存取模式,而不是舉一些反例
02/08 17:08, 35F
我覺得好像有人覺得我的意思就是不需要使用任何任何資安產品 我要表達的是不要太完全相信資安產品所帶來的防護效果 公司預算充足可以買一堆、預算不夠就用開源或免費的 但是買了一堆不代表就完全安全 2013年南韓那個網路攻擊就是一個例子 要講實務上 我就真的看過使用者繞過防火牆的阻擋使用我們禁止通訊的軟體 ※ 編輯: dp2046 (106.104.80.164 臺灣), 02/08/2020 17:33:36

02/08 17:53, 4年前 , 36F
既然有實務.你要做的應該是思考如何防範使用者下次用
02/08 17:53, 36F

02/08 17:54, 4年前 , 37F
我還遇過USER來問我,如何使用手機網路上網,順便連公
02/08 17:54, 37F

02/08 17:54, 4年前 , 38F
司的監控系統?聽到這個我理你幹嘛?不就跟你提的插手
02/08 17:54, 38F

02/08 17:54, 4年前 , 39F
機網路繞過防火牆有異曲同工之妙?
02/08 17:54, 39F

02/08 17:54, 4年前 , 40F
同樣的作法來偷雞..而不是跟上頭說防火牆無用發給user
02/08 17:54, 40F

02/08 17:54, 4年前 , 41F
資安小卡就好不是嗎
02/08 17:54, 41F

02/08 19:52, 4年前 , 42F
這些都是房呆不防蠢,難道要因為是呆不就防嗎?
02/08 19:52, 42F

02/08 19:52, 4年前 , 43F
就不防嗎。錯字orz
02/08 19:52, 43F

02/08 20:49, 4年前 , 44F
廢話一大堆.. 這不都是common sense..
02/08 20:49, 44F

02/08 22:55, 4年前 , 45F
說了一堆廢話,有甚麼方案敢說絕對安全,自己用用腦
02/08 22:55, 45F

02/08 22:56, 4年前 , 46F
最搞笑的是自以為高明的結論,人人有安全意識這不是廢話
02/08 22:56, 46F

02/08 22:57, 4年前 , 47F
甚麼是廢話,自以為的結論看起來根本就是打高空的廢話
02/08 22:57, 47F

02/08 22:59, 4年前 , 48F
乾脆說保險套拔掉就不安全 所以乾脆不要戴好了
02/08 22:59, 48F

02/08 23:00, 4年前 , 49F
資安產品只是產品 但人的行為才是關鍵
02/08 23:00, 49F

02/10 09:13, 4年前 , 50F
自掃門前雪只管自己的電腦這種想法OK,但是如果你是資安人
02/10 09:13, 50F

02/10 09:13, 4年前 , 51F
員 你要不要轉行?
02/10 09:13, 51F

02/11 09:13, 4年前 , 52F
屁話 按照這邏輯 我大樓消防設備 逃生設備通通都不需要
02/11 09:13, 52F

02/11 09:13, 4年前 , 53F
了 因為都是治標不治本 出事都是人的問題 好棒棒
02/11 09:13, 53F

02/11 09:26, 4年前 , 54F
人類行為靠政策,懂?
02/11 09:26, 54F

02/11 22:56, 4年前 , 55F
所以,不要用最安全又省錢?
02/11 22:56, 55F

04/14 16:14, 4年前 , 56F
程式源頭的漏洞問題 這不是防火牆的工作 合法網路行為防
04/14 16:14, 56F

04/14 16:15, 4年前 , 57F
火牆不擋的
04/14 16:15, 57F
文章代碼(AID): #1UFN4YBA (MIS)
文章代碼(AID): #1UFN4YBA (MIS)