[恕刪] 雖然這個版上很多前輩， 但是還是忍不住班門弄斧， 在前面先向大家賠罪。 ※ 引述《anecdotes (*++i >> j != &k << *l--)》之銘言： : → asdfghjklasd: 先跟我說你的雲平台經過什麼資安認證? 08/27 11:42 : 我們自己用nmap.org自己認證。 : : 《資安大哉論》 : https://www.linkedin.com/pulse/%25E8%25B3%2587%25E5%25AE%2589%25E5%25A4%25A7%25E5%2593%2589%25E8%25AB%2596-cn-liou/ 幫縮網址： https://reurl.cc/vv7vQk (其實是我自己要連很不方便) 擁有一次單挑多項資安標準作法的勇氣我是很欽佩啦， 不過上面這篇文章是不是值得丟去事實查核中心查核一下挖？ 有點強大！！ 身為多年的資訊與資安從業人員， 我認為還是需要稍微稍微說明以正視聽，避免誤導大眾。 首先針對推文，Nmap他的主要功能是掃描開啟的連接埠， 搭配NSE也可以測試部分CVE或已知弱點。(但是有些功能的準確度還有點呵呵呵) 但用各種方法精準拿到各系統版本號後去Github找Exploit或PoC來玩的成功率遠高於NSE。 請問您如何使用Nmap認證您的系統、環境、流程符合各種資安要求？ 是否有具公信力的方法論、測試流程、測試報告與第三方認可？ (註：Nmap並非具備第三方公信單位認證的弱點檢測軟體) 接著想對您的文章一些很特別的地方跟大家一起討論討論。 由於令人疑惑的地方實在太多了，所以只挑幾個重點來探討。 首先， 您在文章中很直接地否決了OWASP Top 10這個十多年來業界針對網站資安檢測的圭臬， 不可否認OWASP Top 10在很多時候都被神化，有些項目PT、VA根本沒辦法完整檢測， 但是大家有沒有發現文中提到 "廠商提高軟體與基礎設施品質" 部分， 全部都不出OWASP Top 10 2003迄今十多年來多個版本的範疇？ <---以下是流水帳廢話---> 甲、應用軟體，也就是軟體程式的細節，諸如： - SQL injection attack --> A03:2021 Injection - cross site scripting attack --> A03:2021 Injection / A07:2017 XSS - buffer overflow attack --> A05:2004 Buffer Overflow 乙、基礎設施，infrastructure，諸如： - 作業系統（Operating System, OS）參數：例如關閉port？關閉login prompt？ --> A05:2021 Security Misconfiguration - Email伺服器軟體參數 --> A05:2021 Security Misconfiguration - 網路規劃：是否設置private network、防火牆？ --> A01:2021 Broken Access Control / A02:2017 Broken Authentication - 通訊協定：例如TCP port？Unix domain socket？IPsec？ --> 這個跟前面作業系統的異同？ 加密與否嗎？ A06:2021 Sensitive Data Exposure 其中只有Buffer Overflow這件近年來都沒進Top10， 原因很簡單，現在大家的應用程式大部分都愛採用Framework開發， 會在自行開發的產品直接產生溢位的機會大大降低， 如果是框架問題，那就會規在A06:2021 Vulnerable and Outdated Components的問題， 被要求更新元件。 所以雖然說OWASP TOP 10真的很廢，但他真的包山包海包屁股， 在應用環境遇到的弱點要沒辦法歸納在這十項還真的要有點技巧。 所以標案說要沒有OWASP TOP 10弱點對甲方來說是很GY很負責任的安全牌， 因為只要弱點在範疇內，都是廠商的問題，廠商沒寫好、第三方驗證沒驗出來， 依合約就是得標廠商或第三方驗證廠商要頭大，甲方完全過關。 (結果就是乙方跟驗證方毛在燒看到底誰要吞這樣。) <---以上是流水帳廢話---> 另外，您提到 "擁有資料庫讀取權的資訊人員嫌疑最大。"， 所以各種Guideline、Best Practice不是都提到權限切割、職責分離嗎？ 那使用您的雲服務如何證明您不是風險最大的資訊人員呢？ 要有一個基本認知：上雲不會讓問題消失，只會讓問題一起跑到雲上而已。 服務上雲了，DBA、IT問題不也一起上雲了嗎？怎麼會覺得說上雲這些問題就會消失呢？ 您認為 "非擁有資料庫讀取權的人員難以供應【大規模】【結構性】資料。" SQL Injection的目標不就是從外部Web UI透過各種手法在不取得額外資料庫存取權 的前提下【大規模】【結構性】取得資料庫裡的大量資料嗎？ 不然您認為的SQL Injection只是 or 1=1--可以莫名登入系統就這樣而已嗎？ 正確掌握SQL Injection弱點與操作方法的攻擊者也可以在組織外部透過Web UI執行以下： "依照買方要求條件，執行一道SQL SELECT指令，3秒鐘內篩選出有效資料，下載並販賣。" 至於2300萬筆個資外洩這是我國政府單位的笑話，不可否認。 但是用這2300萬筆個資直接壓在這些單位的DBA、IT頭上，是否過於武斷？ 不可否認各種政府系統千瘡百孔，但千瘡百孔不就等於歷史共業嗎？ 怎麼可以讓DBA、IT直接吞呢lol。 您質疑台灣哪一間上市櫃公司可以吸引IT人員每天8hr高標準工作， 不知道您有沒有耳聞神山等級的IT或是Vender如何工作， 也許您可以跟您說這達不到的神的領域比較一下有什麼差異。 客觀來說其實差異沒多少，您沒看過不代表不存在。 (https://ithelp.ithome.com.tw/articles/10035534) (https://webptt.com/m.aspx?n=bbs/Tech_Job/M.1720094772.A.6EB.html) 此外，有關資安長，您認為需要資安全才，我比較好奇，是否能類推如下： 美國總統是否應是美國全才？習大大是否應是中國全才？ 能綜理全單位資安政策者必須要事必躬親嗎？ 還有，零信任的確不是萬靈丹，但也跟您的猜測八竿子打不著， 更跟使用不使用M$解決方案一點關係也沒有，建議您可以多看幾篇iThome稍微補完一下。 大家才不會看得滿臉問號。 最後，個人認為在評論一張證照、證書廢不廢、有沒有用之前，建議先考到、通過再說。 只有吃過爛蘋果的人才能體會箇中滋味。 PS. 依照Nmap提供的版本號， 您其中一台主機的ssh使用的版本OpenSSH 8.4p1具有中風險弱點， 且其中已有至少一個弱點已有Exploit在網路上流傳，建議立即更新。 建議您在深入研究一下Nmap的功能與能耐，他可以做的是比您想像的更多。 Ref.https://www.cybersecurity-help.cz/vdb/openssh/openssh/8.4p1/ Ref.https://github.com/LucasPDiniz/CVE-2023-38408 小小意見提供大家參考， 文字中如有不妥，請多多海涵。 Best Regards, by ASimon --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.134.25.104 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1724789107.A.D25.html