[恕删] 虽然这个版上很多前辈， 但是还是忍不住班门弄斧， 在前面先向大家赔罪。 ※ 引述《anecdotes (*++i >> j != &k << *l--)》之铭言： : → asdfghjklasd: 先跟我说你的云平台经过什麽资安认证? 08/27 11:42 : 我们自己用nmap.org自己认证。 : : 《资安大哉论》 : https://www.linkedin.com/pulse/%25E8%25B3%2587%25E5%25AE%2589%25E5%25A4%25A7%25E5%2593%2589%25E8%25AB%2596-cn-liou/ 帮缩网址： https://reurl.cc/vv7vQk (其实是我自己要连很不方便) 拥有一次单挑多项资安标准作法的勇气我是很钦佩啦， 不过上面这篇文章是不是值得丢去事实查核中心查核一下挖？ 有点强大！！ 身为多年的资讯与资安从业人员， 我认为还是需要稍微稍微说明以正视听，避免误导大众。 首先针对推文，Nmap他的主要功能是扫描开启的连接埠， 搭配NSE也可以测试部分CVE或已知弱点。(但是有些功能的准确度还有点呵呵呵) 但用各种方法精准拿到各系统版本号後去Github找Exploit或PoC来玩的成功率远高於NSE。 请问您如何使用Nmap认证您的系统、环境、流程符合各种资安要求？ 是否有具公信力的方法论、测试流程、测试报告与第三方认可？ (注：Nmap并非具备第三方公信单位认证的弱点检测软体) 接着想对您的文章一些很特别的地方跟大家一起讨论讨论。 由於令人疑惑的地方实在太多了，所以只挑几个重点来探讨。 首先， 您在文章中很直接地否决了OWASP Top 10这个十多年来业界针对网站资安检测的圭臬， 不可否认OWASP Top 10在很多时候都被神化，有些项目PT、VA根本没办法完整检测， 但是大家有没有发现文中提到 "厂商提高软体与基础设施品质" 部分， 全部都不出OWASP Top 10 2003迄今十多年来多个版本的范畴？ <---以下是流水帐废话---> 甲、应用软体，也就是软体程式的细节，诸如： - SQL injection attack --> A03:2021 Injection - cross site scripting attack --> A03:2021 Injection / A07:2017 XSS - buffer overflow attack --> A05:2004 Buffer Overflow 乙、基础设施，infrastructure，诸如： - 作业系统（Operating System, OS）参数：例如关闭port？关闭login prompt？ --> A05:2021 Security Misconfiguration - Email伺服器软体参数 --> A05:2021 Security Misconfiguration - 网路规划：是否设置private network、防火墙？ --> A01:2021 Broken Access Control / A02:2017 Broken Authentication - 通讯协定：例如TCP port？Unix domain socket？IPsec？ --> 这个跟前面作业系统的异同？ 加密与否吗？ A06:2021 Sensitive Data Exposure 其中只有Buffer Overflow这件近年来都没进Top10， 原因很简单，现在大家的应用程式大部分都爱采用Framework开发， 会在自行开发的产品直接产生溢位的机会大大降低， 如果是框架问题，那就会规在A06:2021 Vulnerable and Outdated Components的问题， 被要求更新元件。 所以虽然说OWASP TOP 10真的很废，但他真的包山包海包屁股， 在应用环境遇到的弱点要没办法归纳在这十项还真的要有点技巧。 所以标案说要没有OWASP TOP 10弱点对甲方来说是很GY很负责任的安全牌， 因为只要弱点在范畴内，都是厂商的问题，厂商没写好、第三方验证没验出来， 依合约就是得标厂商或第三方验证厂商要头大，甲方完全过关。 (结果就是乙方跟验证方毛在烧看到底谁要吞这样。) <---以上是流水帐废话---> 另外，您提到 "拥有资料库读取权的资讯人员嫌疑最大。"， 所以各种Guideline、Best Practice不是都提到权限切割、职责分离吗？ 那使用您的云服务如何证明您不是风险最大的资讯人员呢？ 要有一个基本认知：上云不会让问题消失，只会让问题一起跑到云上而已。 服务上云了，DBA、IT问题不也一起上云了吗？怎麽会觉得说上云这些问题就会消失呢？ 您认为 "非拥有资料库读取权的人员难以供应【大规模】【结构性】资料。" SQL Injection的目标不就是从外部Web UI透过各种手法在不取得额外资料库存取权 的前提下【大规模】【结构性】取得资料库里的大量资料吗？ 不然您认为的SQL Injection只是 or 1=1--可以莫名登入系统就这样而已吗？ 正确掌握SQL Injection弱点与操作方法的攻击者也可以在组织外部透过Web UI执行以下： "依照买方要求条件，执行一道SQL SELECT指令，3秒钟内筛选出有效资料，下载并贩卖。" 至於2300万笔个资外泄这是我国政府单位的笑话，不可否认。 但是用这2300万笔个资直接压在这些单位的DBA、IT头上，是否过於武断？ 不可否认各种政府系统千疮百孔，但千疮百孔不就等於历史共业吗？ 怎麽可以让DBA、IT直接吞呢lol。 您质疑台湾哪一间上市柜公司可以吸引IT人员每天8hr高标准工作， 不知道您有没有耳闻神山等级的IT或是Vender如何工作， 也许您可以跟您说这达不到的神的领域比较一下有什麽差异。 客观来说其实差异没多少，您没看过不代表不存在。 (https://ithelp.ithome.com.tw/articles/10035534) (https://webptt.com/cn.aspx?n=bbs/Tech_Job/M.1720094772.A.6EB.html) 此外，有关资安长，您认为需要资安全才，我比较好奇，是否能类推如下： 美国总统是否应是美国全才？习大大是否应是中国全才？ 能综理全单位资安政策者必须要事必躬亲吗？ 还有，零信任的确不是万灵丹，但也跟您的猜测八竿子打不着， 更跟使用不使用M$解决方案一点关系也没有，建议您可以多看几篇iThome稍微补完一下。 大家才不会看得满脸问号。 最後，个人认为在评论一张证照、证书废不废、有没有用之前，建议先考到、通过再说。 只有吃过烂苹果的人才能体会个中滋味。 PS. 依照Nmap提供的版本号， 您其中一台主机的ssh使用的版本OpenSSH 8.4p1具有中风险弱点， 且其中已有至少一个弱点已有Exploit在网路上流传，建议立即更新。 建议您在深入研究一下Nmap的功能与能耐，他可以做的是比您想像的更多。 Ref.https://www.cybersecurity-help.cz/vdb/openssh/openssh/8.4p1/ Ref.https://github.com/LucasPDiniz/CVE-2023-38408 小小意见提供大家参考， 文字中如有不妥，请多多海涵。 Best Regards, by ASimon --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 140.134.25.104 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1724789107.A.D25.html