关于安全与业务关系的思考 | 长亭季度漏洞观察报告 2019Q2

点击二维码下载长亭 2019Q2 季度漏洞观察报告

链接:https://pan.baidu.com/s/12QwH77dLYZOVpfcqDMxAjA 
提取码:hznf 

 

若干年后回首,具有实战色彩的 2019 年第二季度,或许会成为网络安全行业由虚转实的加速点,我们能够从中学到什么?

安全攻防归根结底是人的博弈,长亭科技《季度漏洞观察报告 2019Q2》用来自一线服务团队的日常观察,辅助审视安全与业务的关系,帮助企业形成有效安全策略。

 

 

本期报告发现

2019 年第二季度,全球范围内共发生Web攻击 13.08 亿次,其中指向我国境内的约为 0.27 亿次,占全球总量的 2.05%。
国家级漏洞库中新增缓冲区错误类漏洞最多,跨站脚本类数量次之;以受影响对象分类,影响应用程序的漏洞数量依旧最多,占比超过 50%。
本季度爆发的重要漏洞涉及办公系统、邮件系统、 Windows 系统、常用中间件和服务器等各个方面,它们在攻防对抗中具有较高的利用价值。
纵观全球安全事件,数据安全、物联网安全、第三方安全在本季度较为突出,值得关注。

扫码在线阅读


随着网络空间发展和国家安全议题的不断融合,数字时代的安全价值凸显。

国与国的较量中,“网络战”成为关键词,加强网络安全管理已成趋势。第二季度,等保2.0相关的国家标准正式发布,网信办就多个办法公开征求意见……全国范围内还掀起了声势浩大的攻防演练,由虚转实,一场荷枪实弹的实战对抗对于推动我国网络安全行业发展的作用不言而喻。

企业间的竞争里,数据安全不但关乎品牌声誉,影响业务延续,而且当保障不到位时还有可能招致数额可观的行政罚单。

7-Eleven 旗下应用 7pay 存在安全漏洞,导致其用户损失合计超 50 万美元
铝业巨头 Norsk Hydro 发布财报,3月勒索软件事件使其损失约 5200 万美元
由于 737 Max 飞控系统被发现新缺陷,西南与联合航空公司延长了该机的停飞时间
GDPR 实施首年,欧盟各国监管机构共开出约 5600 万欧元罚单

透过形形色色的安全漏洞与热点事件,我们能够看到什么?

 

贴地飞行,安全建设以业务为原点

业务与安全的关系,是网络安全从业者每日思考实践的永恒主题。漏洞修补、员工培训、应急处理,乃至部署新的安全产品,这些看似平凡、普通的日常工作也需要站在一定高度决策。如果没有对业务的足够洞察和对趋势的匹配调整,显然难以应对当下不断增高的安全需求——从不妨碍业务运行,到赋能企业发展,再到政府部门主导的合规管理与攻防演练,企业安全部门需要掌握主动权。

根据长亭安全服务团队的研究数据,本季度业务逻辑漏洞与越权漏洞仍然高居榜首,它们需要在系统设计开发之初,以及系统上线后的日常运维中被重点关注。


图:高频Web漏洞类型

就整体安全建设而言,选择好的框架以及提高安全编码意识能够有效减少 SQL 注入、XSS 等常规漏洞。把安全环节提前,结合业务情况落实 SDL 流程仍然是当前应对此类问题较为经济、有效的解决方案。

安全建设是一个庞大而系统性的话题,从传统安全的“老三样”(防火墙、防病毒、入侵检测),到近年来不少公司推陈出新开发出来的各种新武器(威胁情报、流量分析、态势感知、安全大数据平台等),安全的本质和内涵从未改变,那就是始终围绕业务,所以安全产品也应当紧密联系业务。

安全产品并不是一件简单的“装备”,穿上就可以战无不胜,它更像是一匹尚未被发掘的骏马,等待被日常业务数据“驯服”,被具有一定安全素养的团队“驯化”。

 

关注通用风险,维护业务生态安全

随着数字化转型日益成熟,复杂生态的关联风险已经成为业务风险的一部分,相较于层层防护的对外业务系统,合作伙伴和供应商也可能成为企业安全的薄弱环节。

在本季度的攻防对抗中,保障域环境、办公、邮件等系统安全的重要性体现得淋漓尽致。报告整理回顾了影响范围大、风险等级高的通用漏洞,对此类漏洞的关注与修复,能够卓有成效地降低外部引入风险。

致远 OA A8 系统远程代码执行漏洞
Coremail 邮件系统配置信息泄露漏洞
WebLogic 远程代码执行漏洞
WebLogic wls9-async 反序列化漏洞
WebLogic 多个高危漏洞
Windows NTLM 认证漏洞
Windows DHCP 服务器远程代码执行漏洞
Microsoft 远程桌面服务远程代码执行漏洞
Confluence 路径穿越漏洞
Apache HTTP Server 提权漏洞

从安全事件来看,本季度曝光出存在漏洞的第三方依赖涵盖了各种硬件、操作系统及软件,如内存、 NVIDIA 显卡、 Linux 操作系统、邮件服务器、 SQLite 数据库、 Apache 服务器软件、VMware 虚拟化组件等。由于当前几乎没有企业可以脱离第三方系统、组件的支撑,因此无论是作为业务系统的基础,还是作为办公系统的一部分,外部引入的第三方安全隐患都可能成为企业防线的突破口。

对于此类威胁,安全人员不但需要找到适合自己的漏洞信息收集渠道,以便快速、准确地掌握安全预警及专家分析,而且需要沿着时间脉络进行历史回顾,对曾经发生一系列高危漏洞的第三方依赖进行重点关注与预防,以便后续出现新问题时能够快速响应。


自 2018 年起,长亭科技持续发布安全报告,以一线服务团队的定期观察为基础,审视一段时间内的漏洞特征,同时呈现企业安全建设现状,传递安全提升建议。聚沙成塔,以期提供给读者一个相对客观且有延续性的信息参考。

企业与攻击者的攻防对抗每天都在上演,不断成熟完善的安全建设成果也是必然,长亭科技与您共同见证。

(完)