两高一弱,指高危漏洞,高危端口,弱口令。去年底,公安部专门提出这个问题,要求高度重视。经过今年的HVV,这个问题又重复出现。
问题看上去简单,但长期存在,对安全危害极大。对此,很多安全公司提出了专门的方案,但从公开的信息看,仅靠安全公司的方案,恐怕很难彻底解决。因为安全问题,从来不是安全自身的问题,而是涉及到所有的系统和应用。
两高的重点是高危漏洞,因为高危端口之所以高危,大部分也是因为有漏洞存在。发现两高问题比较简单,各种扫描器,攻击面管理都可以很好的发现它们,但发现离解决的距离有点远,举几个例子:
Centos 7 曾经在很长时间内作为主流操作系统被广泛使用,但它已经在2024年6月30日EOL(生命周期结束)了,也就是说,这之后,不会再有安全补丁发布,那么,现网这些操作系统就处于永远不安全的状态,怎么办?唯一的办法就是把它全部换掉,这是一个大工程,换掉操作系统,意味着有些应用在新的操作系统上运行可能会出问题,还有些centos是在设备里(有很多安全设备用的都是centos),这些设备是否能升级到安全的操作系统,如果不能,也要换掉。
除了centos,网络里应该还有很多生命周期结束的软件,这都是雷。
有些漏洞是与应用程序在一起的,类似log4j这样的漏洞,是需要应用升级的。很多软件都在使用开源,每天都有漏洞发生,这些应用是否能按时发出补丁版本,按时升级,是个难题。
即使有补丁,打补丁也是个复杂的事情,可以参考网络空间安全:补丁之难
这些问题分析分析,就发现这是个几乎不可能完成的任务。这么难,是不是就放弃了?也不能放弃,合理的方法有一些:
做好供应商管理,这是长期细致的工作。几乎所有的漏洞处理都需要相关供应商配合,没有安全能力,没有生命周期管理的供应商及应用,尽快换掉吧。当然这个事代价很大,更换一个应用,都会涉及很多系统,很多用户。
优化网络,按零信任的思想改造,多做微分段和网络隔离,让漏洞暴露的范围尽量小,减少风险。
建立漏洞管理及合理的补丁策略。绝大部分单位是没有能力打齐全部补丁的,尽量保证高危漏洞能得到修复。
从实际的情况看,弱口令可以分为两个大类,一类是口令强度不够,类似123456这种,其实好解决,改成复杂的,就可以,很多系统已经支持不能设置弱口令,直接就没这类问题了。还有一类就比较难了,这就是被记录到文件里的口令。原因很简单,当一个人面对多个系统,每个系统都有个复杂口令需要记住,而且这些口令还需要定期修改,人脑又不是电脑,他只有一个办法,就是找地方记录下来。这个文件一旦被攻击者拿到,后果大家都知道。
解决这个问题是有完整方案的,这个方案包括两部分:
集中权限管理,单点登录。单点登录一般都支持双因素认证,单点登录加双因素认证,基本可以解决丢口令的问题。但集中权限管理实施非常复杂,它要求每个应用都支持集中权限管理并完成对接。有一些老旧应用可能根本不支持,或者支持的集中权限管理系统跟甲方的不一样,这个开发对接工作会非常大。
堡垒机。有些特权帐号及协议,根本就不支持集中权限管理,类似ssh,数据库这些,只能用堡垒机纳管。买个堡垒机容易,把所有特权帐号都进行纳管,也是非常大的工作量,还可能涉及网络改造,以保证堡垒机不被绕过。
两高一弱,所有人都认为应该解决,但它长期存在,必然有其现实不好解决的原因。安全是个体系化的工作,很多网络和应用建设的时候,没有充分考虑安全问题,现在需要的是大规模的补课,整改。同时,安全运营,应急响应的工作要跟上,持续改进。
想一劳永逸,简单的方案是不行的。
END