Rakesh N
2017-11-20 14:39:51 UTC
我最近加入了我組織中的安全社區。我們的許多產品都部署在Intranet(內部部署)中,而沒有部署在公共雲中。因此,只能在組織的網絡內訪問內部門戶。
最近,發布了第三方Apache庫的安全漏洞(顯然是遠程執行代碼)。我們的安全主管要求我們立即將庫升級到最新的固定版本。
我問過:“ 由於僅在防火牆後面的Intranet中訪問門戶,因此我們仍然需要升級庫嗎?”。負責人由於時間緊迫而無法提供詳細的解釋,並確認無論如何都需要進行升級。這樣的漏洞不會影響我們”。
首先,並非所有內部用戶都是受信任的。您不希望所有人看到或能夠更改所有內容。有足夠的合規性框架要求完全隔離。其次是深度防禦的原理,攻擊者可能使它繞過防火牆,並且應限制其橫向移動。如今,借助BYOD,WLAN,現場訪問和麵向互聯網的服務,外圍不再是最後一道防線(而是第一道防線)。但是,只有第一點可以解釋緊急性。
美國國家安全局(NSA)是美國政府機構中對安全性要求最高,對員工進行最嚴格背景檢查的機構之一,如今已遭到其自身之一的破壞。信任您的員工是件好事,對系統打補丁甚至更好。
您知道為什麼防火牆被稱為“防火牆”嗎?防火牆是可以抵抗火勢蔓延的牆壁。您是否會說“我們在防火牆後面,所以我們不需要煙霧報警器,噴水滅火系統或緊急出口?”防火牆*抵抗*火勢蔓延;他們並沒有“預防”它們,而是打算作為“防禦戰略”的一部分。
“如果我們在大門後面,我們還需要鎖上前門嗎?”
因此,您可以防止來自外部的直接攻擊。如果您的一台Intranet PC受到攻擊,然後再發起攻擊,該怎麼辦?IT安全的第一法則:不信任任何人
“我們試圖捍衛城堡的城牆,但攻擊來自大廳內部”-如果您不修復內部的煤氣洩漏,防火牆很快就會變得毫無意義。
“最近,發布了一個第三方Apache庫的安全漏洞(顯然是一個遠程執行代碼)。”在這裡進行任何概念性討論之後,如今修補Apache服務器是如此之簡單和易於操作,因此甚至不應將其視為人們認為可選的東西。如果您對使用補丁程序破壞系統感到疑惑,那說明糟糕的系統實現非常麻煩,因為通過軟件包安裝程序對Apache進行補丁非常簡單。