一、前言
(相关资料图)
"漏洞修复"是安全管理的重要内容,很多安全管理者谈到"打补丁"都非常头痛,担心打完补丁会影响业务系统的正常运行。是否有不修复漏洞,同时能保障业务系统安全运行的好方法?当然有,这篇文章告诉你。
笔者在漏洞管理方面具有多年的实践,现分享部分经过实战检验的"干货"给大家,相信一定能助力大家提升安全管理水平,同时欢迎各位安全管理者联系笔者进行交流。
本公众号发表的内容不包含企业秘密,仅代表个人言论,仅供各位参考。
二、一个故事
很多年前,某机构安全管理者向笔者咨询等级保护测评的应对措施,情况是机构被测评单位扫描发现数据库存在漏洞,机构不想修复漏洞。笔者的回复是:我们不会让测评机构扫描到数据库,数据库仅限相应的应用系统服务器访问!安全管理者秒懂,进行简单的安全防护配置后顺利通过等级保护测评。
三、不被利用的漏洞可以忽略
修复漏洞的初衷是不希望漏洞被攻击者利用,如果可以控制攻击者无法利用漏洞也就实现了与修复漏洞一样的安全管理效果。如上述故事中的场景,严格控制对数据库的访问,同时保护好应用系统服务器的安全,此时数据库的漏洞就不会被利用,也就可以忽略。
四、管理实践
为了让读者更容易理解,以下通过举例的方式进行详细说明,有条件的读者可以参照单位的实际情况进行系统加固。
1、采用网络防火墙进行隔离
上图中数据库服务器(10.10.10.88)存在MySQL某漏洞,可以在网络防火墙配置一条仅允许应用服务器(172.16.16.66等)访问数据库服务器TCP3306端口的安全策略,禁止其他访问TCP3306端口。同样,该服务器存在OpenSSL某漏洞,可以在网络防火墙配置一条仅允许运维堡垒机(172.16.58.55等)访问TCP22端口的安全策略,禁止其他访问22端口,一条仅允许系统监控访问指定端口,其他全部禁止。
2、采用本机防火墙进行隔离
如果不具备网络防火墙隔离的条件,同时数据库服务器存在多个漏洞,此时可以在数据库服务器启用本机防火墙,仅允许应用服务器访问TCP3306端口、运维堡垒机访问TCP22端口和系统监控访问指定端口,其他全部禁止。
3、采用纵深安全防御体系进行隔离
防御来自互联网侧的攻击是安全管理者的工作重点,常规的做法是采用纵深安全防御体系(南北向安全控制)来防护应用系统,最新安全流量编排技术本质上是灵活的纵深安全防御体系,其最终目标均是避免应用服务器上的漏洞或弱项被攻击者利用。例如发现某WEB系统上出现一个漏洞,应用系统的漏洞补丁正在开发中,此时可以通过WAF进行特定暂时防护。这里需要注意,安全管理者不能完全依赖检测和防护系统,在高手面前,没有绕不过的WAF、IPS等。
4、有条件需及时安装补丁
微软公司的操作系统、办公软件、基础组件存在大量漏洞,微软公司每月补丁日将发布漏洞修复补丁。WSUS可以将微软补丁进行统一管理,将每月新增补丁进行定向通知或安装,实现灰度修复,一般修复顺序为(第1周)指定办公电脑和虚拟测试服务器->(第2周)剩余办公电脑和虚拟测试服务器->(第3周)指定业务电脑和生产服务器->(第4周)剩余业务电脑和生产服务器。特别说明:生产服务器不自动安装补丁,由系统管理员自行下载、安装、重启。
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,其实早在2017年3月19日微软已发布系统补丁,笔者当时及时更新补丁,未受任何影响。
5、关停无须运行的服务
在WannaCry大爆发时,经过分析,WannaCry通过TCP445端口进行网络传播,为彻底根治各类利用TCP445端口进行传播的病毒,笔者基于对公司业务的深入了解,通过域组策略将所有办公电脑的Server服务进行禁用,办公电脑停止监听TCP445端口,漏洞利用入口直接消失。补充说明,可以使用域组策略统一禁用U盘、移动磁盘的自动运行,能阻断AutoRun类恶意软件、病毒的利用条件。
6、新建系统时修复漏洞
如果说对正在运行的业务系统进行修复漏洞存在风险,新建系统时对漏洞进行修复是不存在任何障碍的。例如对虚拟机模版进行漏洞修复是一个较好的方案,毕竟新系统需通过严格的测试,若影响新系统的运行可以进行处理,相关各方都比较好接受。
关键词: 管理实践 原创|不对漏洞进行修复的安全管理