【51CTO 4月18日外電頭條】當(dāng)安全產(chǎn)品企業(yè)本身也需要利用種種途徑來(lái)購(gòu)買其產(chǎn)品的漏洞描述時(shí)，事態(tài)到底會(huì)變成什么樣？正如我們近期不斷聽(tīng)到的關(guān)于HBGary，RSA以及Comodo攻擊的新聞，安全產(chǎn)品如今也已淪為緩沖區(qū)溢出及目錄檢索等攻擊方式的犧牲品。

大多數(shù)人都會(huì)誤以為我們的安全保障工具本身是安全的。但實(shí)際情況是，安全產(chǎn)品與那些經(jīng)常遭受0day漏洞困擾的桌面應(yīng)用程序并沒(méi)有本質(zhì)上的不同——它們都是由程序員編寫的。程序員也是人，而人總會(huì)犯下錯(cuò)誤并由此形成漏洞。

[[21644]] 

推薦閱讀：安全產(chǎn)品不安全？NSS Labs評(píng)測(cè)：83%的防火墻有漏洞

殘酷的現(xiàn)實(shí)是：安全產(chǎn)品同任何一款軟件或設(shè)備一樣，在實(shí)際應(yīng)用之前都要經(jīng)歷類似的檢驗(yàn)過(guò)程。

企業(yè)不應(yīng)該盲目地引進(jìn)一個(gè)全新的安全解決方案。正如在選擇那些與安全無(wú)關(guān)的產(chǎn)品時(shí)一樣，他們最好是根據(jù)IT組織對(duì)該款新安全工具所做出的相關(guān)風(fēng)險(xiǎn)評(píng)估來(lái)進(jìn)行判斷。評(píng)估內(nèi)容包括檢查其代碼在開(kāi)發(fā)過(guò)程中是否安全以及部署一套模擬解決方案以進(jìn)行滲透測(cè)試。

檢驗(yàn)的第一步是要進(jìn)行風(fēng)險(xiǎn)評(píng)估工作，以確保設(shè)備的安置及軟件的安裝不會(huì)對(duì)環(huán)境安全產(chǎn)生負(fù)面影響。有這樣一個(gè)值得思考的重要問(wèn)題：如果攻擊者成功利用了安全軟件中的某個(gè)漏洞，會(huì)帶來(lái)何種程度的后果？攻擊者到底能通過(guò)獲取企業(yè)系統(tǒng)訪問(wèn)權(quán)限來(lái)破壞或竊取到哪些信息？

早在2006年末，"Big Yellow"蠕蟲(chóng)病毒就為上述問(wèn)題提供了一些極具威脅性的回應(yīng)。攻擊者能夠在運(yùn)行著賽門鐵克殺毒軟件的Windows系統(tǒng)上輕松獲得遠(yuǎn)程訪問(wèn)及管理的全部權(quán)限。借由這種途徑，蠕蟲(chóng)病毒得以利用僵尸網(wǎng)絡(luò)的形式滲入系統(tǒng)，進(jìn)而使攻擊者獲得了對(duì)系統(tǒng)的遠(yuǎn)程控制能力。

如果事先做過(guò)風(fēng)險(xiǎn)評(píng)估工作，各類機(jī)構(gòu)可能會(huì)在如何更好地選擇安全產(chǎn)品方面得出較為明確的結(jié)論。被利用于遠(yuǎn)程管理的漏洞端口本應(yīng)只限于與管理服務(wù)器間溝通，有了這些清醒的認(rèn)識(shí)，我們就可以大大降低蠕蟲(chóng)病毒的傳播機(jī)率與造成的損失。#p#

許多打算采購(gòu)安全產(chǎn)品的企業(yè)壓根忘記了向供應(yīng)廠商詢問(wèn)其產(chǎn)品是否遵循安全編碼規(guī)范。他們是否具備一套包括安全性測(cè)試在內(nèi)的標(biāo)準(zhǔn)軟件開(kāi)發(fā)周期（簡(jiǎn)稱SDLC）。顯然，如果我們問(wèn)起，電話那頭的工作人員往往會(huì)給出肯定的答案，別松懈，繼續(xù)從他那里套出更多信息。他們的源代碼進(jìn)行過(guò)審核嗎？有沒(méi)有第三方給出的分析結(jié)果及滲透測(cè)試報(bào)告？

當(dāng)然，在這種情況下，大家恐怕不得不姑且聽(tīng)信供應(yīng)商的口頭承諾。不過(guò)多進(jìn)行交談并了解其處理過(guò)程（只要不觸及核心技術(shù)，工作人員是會(huì)進(jìn)行介紹的）可以讓我們更安心。話題還應(yīng)該涉及到在未來(lái)的應(yīng)用中遇到問(wèn)題時(shí)的情況--供應(yīng)商如何避免產(chǎn)品缺陷，又會(huì)以何種方式來(lái)解決突發(fā)情況？

在產(chǎn)品的評(píng)估階段進(jìn)行滲透測(cè)試--或是模擬一次小型攻擊--也同樣有機(jī)會(huì)暴露那些在風(fēng)險(xiǎn)評(píng)估過(guò)程中沒(méi)有被注意到的細(xì)小問(wèn)題。例如該產(chǎn)品在安裝時(shí)可能需要利用訪問(wèn)控制，而這一步驟會(huì)削弱當(dāng)前運(yùn)行環(huán)境的安全性；該產(chǎn)品可能包含一個(gè)能夠避過(guò)識(shí)別掃描的漏洞；應(yīng)用協(xié)議內(nèi)容模糊不清等等。

如今許多安全解決方案都會(huì)提供基于頁(yè)面的管理界面，而這將會(huì)導(dǎo)致另一個(gè)安全隱患，專家如是說(shuō)。該管理界面所存在的缺口有可能使整個(gè)企業(yè)遭受攻擊。經(jīng)由該頁(yè)面管理（或者是任何頁(yè)面應(yīng)用程序）漏洞，我們可能會(huì)受到包括跨站點(diǎn)腳本（簡(jiǎn)稱XSS）、偽造跨站請(qǐng)求（簡(jiǎn)稱CSRF）、SQL注入或未經(jīng)授權(quán)的遠(yuǎn)程命令執(zhí)行等各種我們不希望見(jiàn)到的侵害。

有時(shí)漏洞來(lái)自于同安全產(chǎn)品捆綁在一起的底層頁(yè)面服務(wù)。說(shuō)起這個(gè)話題，我先舉兩個(gè)實(shí)例：案例一中，某位供應(yīng)商由于使用了過(guò)時(shí)的目錄安裝結(jié)構(gòu)而導(dǎo)致了安全漏洞，進(jìn)而使數(shù)十萬(wàn)名病人的病歷遭到曝光。這個(gè)安全問(wèn)題很有意思，因?yàn)樗暮蠊麑?duì)客戶而言極其嚴(yán)重，而避免的辦法只需在安全解決方案部署之前進(jìn)行一次評(píng)估即可。

第二個(gè)案例是在一臺(tái)JBOSS服務(wù)器上發(fā)現(xiàn)了類似的漏洞。在一次滲透測(cè)試中，服務(wù)器被發(fā)現(xiàn)有遭受入侵的跡象，該漏洞導(dǎo)致攻擊者能夠在運(yùn)行著JBOSS服務(wù)的Windows主機(jī)上能夠獲得全部遠(yuǎn)程訪問(wèn)權(quán)限。在這種情況之下，客戶在購(gòu)買并部署這套安全工具之前，向供應(yīng)商提交了問(wèn)題報(bào)告及修復(fù)建議。

沒(méi)人希望一款安全產(chǎn)品中存在著漏洞，但這種情況卻無(wú)法完全避免。進(jìn)行風(fēng)險(xiǎn)評(píng)估、向供應(yīng)商正確發(fā)問(wèn)以及做好滲透測(cè)試可以幫助降低--甚至消除--漏洞造成巨大損失的可能性。請(qǐng)記住，我們付費(fèi)購(gòu)買產(chǎn)品是為了保護(hù)自己的計(jì)算機(jī)運(yùn)行環(huán)境，而不是使其更不安全。采取適當(dāng)?shù)念A(yù)防措施，才能確保安全產(chǎn)品發(fā)揮其應(yīng)有的保護(hù)作用。

原文鏈接：

http://www.darkreading.com/vulnerability-management/167901026/security/vulnerabilities/229400725/tech-insight-when-security-products-attack.html

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. Web安全產(chǎn)品分析
2. 認(rèn)識(shí)數(shù)據(jù)庫(kù)安全威脅　保護(hù)數(shù)據(jù)安全（1）
3. Web應(yīng)用與Web應(yīng)用防火墻之網(wǎng)絡(luò)安全產(chǎn)品追述
4. 六大網(wǎng)絡(luò)安全威脅發(fā)展趨勢(shì)