有时候看到板上说公司要搞好资安就要花钱买各式各样的资安产品 资安产品的业务常常把自家产品吹得很厉害一样 买了或许可以降低资安事件的风险 但是说真的能降低多少也没人知道 可能花了好几百万结果只是从80%降低到75%而已 很多资安产品会宣称可以达到那些效果 但他们却绝口不提有各种破解和绕过的方法可以突破他们所宣称的限制 甚至搞不好装了之後反而又会新增另外的资安风险 举几个例子好了 1.McAfee防毒软体爆权限升级漏洞，可让骇客执行攻击程式 https://www.ithome.com.tw/news/134172 防毒软体自己本身就有漏洞 反而骇客能利用此漏洞做提权 2.韩国骇客事件惊人手法：防毒公司沦为派毒工具 https://www.ithome.com.tw/node/79407 企业更新防毒软体的病毒码通常先由一台防毒伺服器线上更新 之後再派送到区域网路内的其他电脑 但是当骇客把恶意程式植入到防毒伺服器 而防毒伺服器也没侦测到那会怎麽样 下场就是整个区域网路的电脑都被派送恶意程式 类似的事件还有这个 华硕电脑升级伺服器遭骇长达5月，超过百万台PC被安装後门程式 https://www.ithome.com.tw/news/129590 同样是更新伺服器被入侵 可见骇客很聪明，知道哪台电脑最值得攻击 3.WAF的SQL注入绕过手段和防御技术 https://kknews.cc/zh-tw/code/arvg6.html WAF是一种能针对应用层攻击的防火墙 主要是用来保护网站 但骇客还是可以用特别的攻击手法绕过WAF 真的必须解决如文中所说的SQL注入漏洞还是必须从源头(程式)下手 4.打破VDI安全神话：控制终端设备就控制了VDI资源 https://kknews.cc/zh-tw/tech/zee3vzl.html VDI的部分我比较不熟 不过从连结中文章的叙述 还是可以看到骇客透过入侵终端设备 一样可以窃取机密资料 5.防火墙 企业一般会用防火墙锁某些IP 以及只开放重要的Port(例如：80、443) 管制上网行为 但是如果使用者拔掉网路线 直接用手机4G分享网路给电脑 等於说就直接绕过防火墙了 6.锁USB 锁USB的方式有很多种 这边只列出本篇文要讨论的主题 通常都是用AD或资产管理软体 但若是使用者用Live USB随身碟开机 这样就可以直接绕过作业系统 当然不管用什麽软体的方式锁都会失效了 ------------------------------------------------------- 最後来说说我的结论好了 我个人是认为资安产品只是帮忙善後处理而已 预防的效果也有限、治标不治本 要解决资安问题还是必须从源头下手 例如：是否每位员工都有足够的资安防护意识、密码是否不是懒人密码、撰写安全的程式码等等 就好像一个人要减肥 光靠吃减肥药但是不控制饮食也不运动 不但花了钱、效果也不一定好 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 106.104.80.164 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1581084962.A.2CA.html ※ 编辑: dp2046 (106.104.80.164 台湾), 02/07/2020 22:25:46 有两篇文章我觉得可以参考看看 主要是讲从源头就能避免的重要性 聊一下关於去年的南韩攻击事件 https://webptt.com/cn.aspx?n=bbs/MIS/M.1394367361.A.234.html 防毒软体对资安的负面影响 https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1496320407.A.79C.html ※ 编辑: dp2046 (106.104.80.164 台湾), 02/08/2020 03:51:30 我觉得好像有人觉得我的意思就是不需要使用任何任何资安产品 我要表达的是不要太完全相信资安产品所带来的防护效果 公司预算充足可以买一堆、预算不够就用开源或免费的 但是买了一堆不代表就完全安全 2013年南韩那个网路攻击就是一个例子 要讲实务上 我就真的看过使用者绕过防火墙的阻挡使用我们禁止通讯的软体 ※ 编辑: dp2046 (106.104.80.164 台湾), 02/08/2020 17:33:36