昨天,就是2016年4月26日这天,Apache Struts2漏洞再次血洗了整个互联网。首先,在这里确实应该给杭州安恒信息安全研究院的同学点个赞,再次体现了国内安全研究团队的技术实力。:)如果没有看上篇内容的话,建议你先看《Apache Struts2远程命令执行漏洞,你受到影响了?》这篇内容。
我们还是回归到本次内容的主题,其实可以分为几个问题?
1、为什么这个漏洞事件影响会如此严重?
国内外使用Apache Struts2框架的企业机构是在太多,安全过渡依赖第三方,甚至能看到本次被第一时间暴漏影响到的是金融行业和运营商。而这些企业机构掌握的核心的数据资产,使得该漏洞的影响更为严重。
当然,几年前的Struts2漏洞影响余波甚至可以追溯到2015年,甚至目前还有一些企业机构外网和内网还存在很多几年前未修复的漏洞现象。而基本经过前几次的补丁升级,现在能看到的大多数企业团队使用的Apache是存在有问题的版本,这方面的数据,其实很期待有更专业的安全团队来进行分析比对,有一组更为直观的数据可以展示。:)
2、我们看到大部分企业正在做的是哪些事情?
当国内第一篇完整的漏洞分析报告被国内的安全公司/团队公开出来时,我们也发现国内陆陆续续有各种安全公司在重复分析相关漏洞细节,并且给出自家企业的修复建议、解决方案去给企业提供预警、检测、提醒服务。我们看到的现象是,更多的企业想证明的是自家的技术实力,体现团队的技术专业能力,想办法带来更多PR的机会,增加曝光度,间接带来商业机会。
3、作为企业机构,更希望看到的什么样的方式?
作为企业方的负责人,更希望的是通过外围的技术团队提供更多的技术能力,去帮助他们去了解该漏洞的原理、严重性、影响范围、自身是否受到影响。更多的需要是帮企业判断影响结果和协助企业如何去决策现阶段企业需要去做的事情。而大多数安全企业做的事情是帮助企业提供检测工具,提供漏洞分析服务,提供漏洞预警服务,在真正帮助企业解决问题,协助企业用心排查安全风险的团队不多。在漏洞细节被公开的情况下,绝大多数企业的相关负责人是处于心慌急躁的状态下,需要有真正的安全专家(顾问)去帮企业排忧解难,晚上能安稳入眠。试问下,有多少企业和团队真正把这件事情做到位了?
4、漏洞爆发时最努力的这些人是谁?
晚上加班的人有三种群体:
第一种,黑帽子在利用漏洞工具完成一系列的攻击,攻击一些手忙脚乱,来不及对相关漏洞进行修复的企业,当然更为高明的黑帽子应该早已得手或者不会在这样尴尬的时间段冒风险去做这样的事情。
第二种,漏洞挖掘利用者,无论是出于好奇心还是处于其他的出发点,301就不给这些人带具体的帽子了。这群体会把互联网上存在相关漏洞的企业、网站进行一次彻底排查。
第三种,企业安全专家正在完成整个救火工作,对现有的业务进行完整的排查,评估漏洞对自身的影响,迅速提供解决办法,判断业务是否有异常情况。
5、最后,这个漏洞事件到底是谁输了?为什么?
如果要从角色位置的角度划分的话,我觉得很多甲方和乙方,甚至第三方的安全研究者输了。很多甲方采购了很多安全产品和服务,其实并没有很好的去利用好相关价值,导致本次事件处于被动的情况;提供服务的企业,无论是安全公司还是一些云服务提供商更多的是在做漏洞分析和PR宣传工作,目的是打广告,没有真正站在存于安全风险的企业角度考虑问题。作为安全研究者,目前互联网上确实有不同的声音,大家都为了抢着技术品牌,想办法做能力输出,而造成安全恐慌,负责任的漏洞披露机制这个话题一直存在争议性。而本次的披露机制是否合理,这个话题,301就不做多的评价,大家可以在留言,评论。
301观点:
这两天还看到有不少安全厂商在撕逼,当然也希望少一些撕逼,多做一些真正有价值的事情。
在没有出现重大安全事件时,我们能从脑补售前/销售团队的同学给企业的相关负责人进行产品的宣讲画面,很多企业都会宣传企业自身的产品和服务可以帮助企业解决很多核心的问题,而真正在需要的时候,并没有把真正的价值表现出来。而这次我们能看到很多企业对这些重大漏洞事件爆发的感知能力,漏洞应急响应能力,客户服务能力上存在很多缺失,能否在短时间内让合作伙伴迅速解除安全警报,安心入眠,这是企业最希望看到的结果。
当然,未来的安全企业/团队,把能力输出实现的过程中把企业用户体验提升才是未来的王者。
如果你是企业的决策者,想必你也希望提供的雪中送炭,而不是雪上加霜,你说呢?
本次的公众号内容为301独立观点,不喜勿喷,能理解我表达的观点的同学,欢迎你评论和转发。
如果觉得这篇内容不是你想要的或者是价值观不符的同学,也欢迎你取消关注。我希望我写的内容观点给到认可我价值的人。
如果你有什么想说的欢迎评论留言,如果有想找我沟通或者在内容上投稿合作的,也欢迎你加我微信。:)
最后,你找到答案了吗?(点击阅读原文查阅知乎专栏)
301强烈推荐内容,想必您会喜欢:
长按二维码,关注301在路上。
微信:2036234
