【51CTO 4月18日外電頭條】當(dāng)安全產(chǎn)品企業(yè)本身也需要利用種種途徑來購買其產(chǎn)品的漏洞描述時，事態(tài)到底會變成什么樣？正如我們近期不斷聽到的關(guān)于HBGary，RSA以及Comodo攻擊的新聞，安全產(chǎn)品如今也已淪為緩沖區(qū)溢出及目錄檢索等攻擊方式的犧牲品。

大多數(shù)人都會誤以為我們的安全保障工具本身是安全的。但實際情況是，安全產(chǎn)品與那些經(jīng)常遭受0day漏洞困擾的桌面應(yīng)用程序并沒有本質(zhì)上的不同——它們都是由程序員編寫的。程序員也是人，而人總會犯下錯誤并由此形成漏洞。

[[21644]] 

推薦閱讀：安全產(chǎn)品不安全？NSS Labs評測：83%的防火墻有漏洞

殘酷的現(xiàn)實是：安全產(chǎn)品同任何一款軟件或設(shè)備一樣，在實際應(yīng)用之前都要經(jīng)歷類似的檢驗過程。

企業(yè)不應(yīng)該盲目地引進(jìn)一個全新的安全解決方案。正如在選擇那些與安全無關(guān)的產(chǎn)品時一樣，他們最好是根據(jù)IT組織對該款新安全工具所做出的相關(guān)風(fēng)險評估來進(jìn)行判斷。評估內(nèi)容包括檢查其代碼在開發(fā)過程中是否安全以及部署一套模擬解決方案以進(jìn)行滲透測試。

檢驗的第一步是要進(jìn)行風(fēng)險評估工作，以確保設(shè)備的安置及軟件的安裝不會對環(huán)境安全產(chǎn)生負(fù)面影響。有這樣一個值得思考的重要問題：如果攻擊者成功利用了安全軟件中的某個漏洞，會帶來何種程度的后果？攻擊者到底能通過獲取企業(yè)系統(tǒng)訪問權(quán)限來破壞或竊取到哪些信息？

早在2006年末，"Big Yellow"蠕蟲病毒就為上述問題提供了一些極具威脅性的回應(yīng)。攻擊者能夠在運行著賽門鐵克殺毒軟件的Windows系統(tǒng)上輕松獲得遠(yuǎn)程訪問及管理的全部權(quán)限。借由這種途徑，蠕蟲病毒得以利用僵尸網(wǎng)絡(luò)的形式滲入系統(tǒng)，進(jìn)而使攻擊者獲得了對系統(tǒng)的遠(yuǎn)程控制能力。

如果事先做過風(fēng)險評估工作，各類機(jī)構(gòu)可能會在如何更好地選擇安全產(chǎn)品方面得出較為明確的結(jié)論。被利用于遠(yuǎn)程管理的漏洞端口本應(yīng)只限于與管理服務(wù)器間溝通，有了這些清醒的認(rèn)識，我們就可以大大降低蠕蟲病毒的傳播機(jī)率與造成的損失。#p#

許多打算采購安全產(chǎn)品的企業(yè)壓根忘記了向供應(yīng)廠商詢問其產(chǎn)品是否遵循安全編碼規(guī)范。他們是否具備一套包括安全性測試在內(nèi)的標(biāo)準(zhǔn)軟件開發(fā)周期（簡稱SDLC）。顯然，如果我們問起，電話那頭的工作人員往往會給出肯定的答案，別松懈，繼續(xù)從他那里套出更多信息。他們的源代碼進(jìn)行過審核嗎？有沒有第三方給出的分析結(jié)果及滲透測試報告？

當(dāng)然，在這種情況下，大家恐怕不得不姑且聽信供應(yīng)商的口頭承諾。不過多進(jìn)行交談并了解其處理過程（只要不觸及核心技術(shù)，工作人員是會進(jìn)行介紹的）可以讓我們更安心。話題還應(yīng)該涉及到在未來的應(yīng)用中遇到問題時的情況--供應(yīng)商如何避免產(chǎn)品缺陷，又會以何種方式來解決突發(fā)情況？

在產(chǎn)品的評估階段進(jìn)行滲透測試--或是模擬一次小型攻擊--也同樣有機(jī)會暴露那些在風(fēng)險評估過程中沒有被注意到的細(xì)小問題。例如該產(chǎn)品在安裝時可能需要利用訪問控制，而這一步驟會削弱當(dāng)前運行環(huán)境的安全性；該產(chǎn)品可能包含一個能夠避過識別掃描的漏洞；應(yīng)用協(xié)議內(nèi)容模糊不清等等。

如今許多安全解決方案都會提供基于頁面的管理界面，而這將會導(dǎo)致另一個安全隱患，專家如是說。該管理界面所存在的缺口有可能使整個企業(yè)遭受攻擊。經(jīng)由該頁面管理（或者是任何頁面應(yīng)用程序）漏洞，我們可能會受到包括跨站點腳本（簡稱XSS）、偽造跨站請求（簡稱CSRF）、SQL注入或未經(jīng)授權(quán)的遠(yuǎn)程命令執(zhí)行等各種我們不希望見到的侵害。

有時漏洞來自于同安全產(chǎn)品捆綁在一起的底層頁面服務(wù)。說起這個話題，我先舉兩個實例：案例一中，某位供應(yīng)商由于使用了過時的目錄安裝結(jié)構(gòu)而導(dǎo)致了安全漏洞，進(jìn)而使數(shù)十萬名病人的病歷遭到曝光。這個安全問題很有意思，因為它的后果對客戶而言極其嚴(yán)重，而避免的辦法只需在安全解決方案部署之前進(jìn)行一次評估即可。

第二個案例是在一臺JBOSS服務(wù)器上發(fā)現(xiàn)了類似的漏洞。在一次滲透測試中，服務(wù)器被發(fā)現(xiàn)有遭受入侵的跡象，該漏洞導(dǎo)致攻擊者能夠在運行著JBOSS服務(wù)的Windows主機(jī)上能夠獲得全部遠(yuǎn)程訪問權(quán)限。在這種情況之下，客戶在購買并部署這套安全工具之前，向供應(yīng)商提交了問題報告及修復(fù)建議。

沒人希望一款安全產(chǎn)品中存在著漏洞，但這種情況卻無法完全避免。進(jìn)行風(fēng)險評估、向供應(yīng)商正確發(fā)問以及做好滲透測試可以幫助降低--甚至消除--漏洞造成巨大損失的可能性。請記住，我們付費購買產(chǎn)品是為了保護(hù)自己的計算機(jī)運行環(huán)境，而不是使其更不安全。采取適當(dāng)?shù)念A(yù)防措施，才能確保安全產(chǎn)品發(fā)揮其應(yīng)有的保護(hù)作用。

原文鏈接：

http://www.darkreading.com/vulnerability-management/167901026/security/vulnerabilities/229400725/tech-insight-when-security-products-attack.html

【51CTO.com獨家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. Web安全產(chǎn)品分析
2. 認(rèn)識數(shù)據(jù)庫安全威脅　保護(hù)數(shù)據(jù)安全（1）
3. Web應(yīng)用與Web應(yīng)用防火墻之網(wǎng)絡(luò)安全產(chǎn)品追述
4. 六大網(wǎng)絡(luò)安全威脅發(fā)展趨勢