互联网上信息传播速度和影响力比以前增长了不啻数倍,甲方在响应漏洞的时候,咱得跟上节奏,否则就可能被曝光了,在大水军的推动下,安全行业已经升华为情报行业了,嗯,通俗的说就是安全和娱乐挂钩,优雅点就是安全要接地气,要深入群众深入平常百姓。只要公司所在的领域竞争足够激烈,一定会有人帮你找漏洞的,也一定会有人帮你打广告,因为对他们来说,这是项目,这是KPI,这是人民币,咱需要,他们也同样需要。
心血漏洞已经被媒体撩hi了,互联网媒体报道了,传统媒体也报道了,当老板过问此事的时候,咱的回答也大概反应了咱的专业程度。
要快速,有效的处理openssl heartbeat这类漏洞,建议考虑下面几点:
0、资源清单
有扫描1-65535吗?
平时端口扫描有识别应用吗?
公开的exp有什么危害?私有的exp大概在啥范围传播?
有了这些信息,接下来的事情的速度就有保障了。
如果万一你还能知道什么ip跑的什么域名运行的什么server什么app的什么版本,负责人是谁,那就更犇了,不过这事在互联网公司知易行难。
1、处理思路
有轻重缓急吗?如果老板问起的时候只处理了下面环节中的部分,也是说的过去的,但得思路清晰,有时间点。
公开的https 默认端口–>公开的smtps pops–>公开的https非默认端口–>公开的smtps pops非默认端口
接着按照上面的优先级处理非公开的的SSL。
2、处理要点
能配置解决就配置解决。例如关闭某些应用的TLS支持。
能把公开的变成非公开的争取时间也行。例如加ACL,至于黑客在内部可以绕过ACL了,那是另外的问题了。
要备份原有的ssl库(因为有可能用了新库可能会导致业务不稳定的,要做好回滚的准备,哪怕只是yum update openssl一下)
3、后话
端口扫描看似简单,我知道的端口扫描这事运营的好的公司真不多,我个人认为端口扫描是安全团队基础安全能力的重要体现,共勉之!
当然了,咱的KPI可能不在这,理解万岁:)
另外如果黑客在内部了,处理起来变化会多很多,不过这是另外一个话题了:咱内部有IDS能发现有人在扫SSL漏洞吗?
质量=效率+效果