行動開始前,如何利用威脅情報

今天很多小伙伴都開始HW行動了,在過去的一個月里面,我和幾位售前工程師同行也為了今天的戰役準備和籌備很多,在這個值得紀念的日子里,我也總結一下工作內容。

時間大約回到兩個月前,某客戶在籌備行動開始階段,針對自己內部環境進行了一次有針對性的摸底排查過程。細節此處省略一萬字。我們僅談論安全相關的部分。

首先我的客戶在2019年討論了一個2006年開始討論的問題,我的系統到底為啥要使用2048 bit的數字證書。他的強度如何呢?

The Lenstra group estimated that factoring a 1024-bit RSA modulus would be about 1,000 timesharder than their record effort with the 768-bit modulus, or in other words, onthe same hardware, with the same conditions, it would take about 1,000 times aslong.

They also estimated thattheir record achievement would have taken 1,500 years if they normalizedprocessing power to?that of the standard desktop machine at the time -this assumption is basedon a 2.2 Ghz AMD Opteron processor with 2GB RAM.?that standard desktopcomputing power would take 4,294,967,296 x?1.5 million years?tobreak a 2048-bit SSL certificate. Or, in other words, a little over 6.4quadrillion years.

但是我也看到國外媒體在預測量子計算機對算力的貢獻。

—NIST的美國國家標準技術研究所給出的規劃是到2030年。

In case you’re curiouswhere we got the idea of 2048-bit keys being safe to use until 2030, check outthe?NIST Special Publication800-57 Part1. In Table 2 of that document, it says 2048-bit RSA keysare roughly equivalent to a Security Strength of 112. Security strength issimply a number associated with the amount of work required to break acryptographic algorithm. Basically, the higher that number, the greater theamount of work required.

 

2048對應的安全長度是112

Thesame NIST document also has a table (Table 4) that shows the period over whicheach Security Strength is deemed acceptable. According to that publication, 112security strength (which corresponds to 2048-bit keys) is considered to beacceptable until 2030.

2016年修改的修訂稿? SP800-57 Part 1 Rev. 4

Date Published:?January 2016

 

 

看明白了嗎?其實如果這個時候我們還沉寂于跟客戶去講,Bob 和Alice的愛情故事,再把那個賤人Spy拿出來搞破壞的事情,演繹一個很好的版本給我們的客戶。我覺得客戶壓根不會感興趣。

售前工程師都知道,這并不是一個好的選擇,在火燒眉毛的時候,憑誰都需要在第一時間響應安全問題及安全漏洞。

既然事已至此,不如我們開始幫助客戶進行有效的防守。

通常來講,企業根本無法辨別威脅。企業經常花費太多錢在攻擊發生之后對漏洞的修補和調查問題上,而不打算在攻擊出現之前就修復它。我們的客戶對內網進行了一次主機漏洞掃描,并把這份報告拿出來研究。

–? –? – 保密,報告就不發了。 – – –

一般來說,建議客戶漏洞管理結合risk風險值來進行計算后,根據權重分配分值,再進行全面管理。可是現狀真實的就是,大部分客戶對自己的資產,尤其是數字資產中的軟件資產不是很清楚,cmdb效果不佳。安全可視性當然就約等于幾乎沒有了;另外,沒有專業的安全人員輔助進行風險度量,預測基本不可能了,大量依賴外部的威脅情報數據。

我們這里拿一個CVE出來研究一下。

CVE-2015-0204

https://exchange.xforce.ibmcloud.com/vulnerabilities/99707

這里給出了,補救措施。

IBM 的IPS產品,可以提供虛擬補丁功能的防護。

這里我們看到有695個產品都收到影響。有的是一個產品的不同版本。

其中有169個網站和引用。

這里吐槽一點,如果你不把鼠標移過來看描述的話,這么多link,點。。

openssl的漏洞一般都是影響面比較大。我們重點關注一下。

我們查詢一下,國內的情報網站。這里有中文的描述和評分。

也給出了可供的參考信息。

參考信息給出了相關產品的網址。

漏洞類型及評分。

應對措施。

看看Xforce的內容。基本是英文為主。

再看Xforce網站。

我們看一個高分的漏洞?CVE-2019-4279

 

我們看一個高分的漏洞?CVE-2019-4279。在Xforce。

這是個9分的。

這里可以通過相關的知識庫文章,針對產品進行修復和驗證。

有的時候,會有熱心人哦。

會有人留言,適配的那個support link。

寫到這里,大家基本可以了解,我們平時通過威脅情報,幫助客戶查詢漏洞和漏洞修復信息。指導運營或者運維人員去完成漏洞的修補和系統加固。系統加固,其實有很多方法和技巧,我們在這里就不介紹了。

這里面我們從企業內部的情報搜集和可視化角度分析一下。

做好安全風險可視化的基礎是對數字資產的搜集和管理,另外建立成熟的體系和防御機制,離不開運營和運維人員的配合。比如軟件資產庫的建立,企業漏洞管理平臺,風險管理平臺的計算和權重設計都需要大量的人力和物力。也是信息安全工作一體化的具體體現,我們就不多說了。

IBM?有本紅寶書,這里安利一下大家。Using the IBM Security Framework?and IBM Security Blueprintto Realize Business-Driven Security。這本書有240頁。

http://www.redbooks.ibm.com/abstracts/sg248100.html?Open

其實,情報在HW行動中,還有廣泛的應用,比如,IP地址,DNS,域名等網絡安全信息都可以查詢。

相信,最近幾天的零日漏洞也會獲得大家的特別關注。

聊完了,威脅情報,我們來學習一下,漏洞管理和發布的機制。

IBM Product Security Incident Response? Blog?會發布IBM?安全漏洞。

https://www.ibm.com/blogs/psirt/

https://www.ibm.com/security/secure-engineering/bulletins.html

這里面有研發人員,也有安全專家,也給白帽子提供提交漏洞的渠道。

可以自行訂閱產品的通知消息。

其實各個廠商都建立了相對應的安全響應機制及門戶,有點類似國內各個公司的SRC,安全應急響應中心。

IBM Product Security Incident Response Team (PSIRT) Overview

寫在最后,主動的安全管理并不應該用來應付檢查,我也希望更多的用戶能夠在日常管理和運營過程中,落到實處,定時定期進行安全加固工作。當然不僅僅是漏洞管理,其實從細節做起,安全無小事。

發表評論