探讨非 http 供应链产品漏洞防范与不停业务之策| 总第255周

‍‍

0x1本周话题

话题：已知某非http的供应链产品存在漏洞，自己在用，并面向互联网提供服务，漏洞利用条件未知。已知这个资产一旦被入侵，必须停业务。大家觉得做到怎样了，才可以不把这个业务停了。

A1：对供应链提安全要求，修复漏洞呗。安全owner业务，要业务推进。

Q：供应链自己不知道有漏洞，0day。

A2：做好应急，及时监测，出现安全问题切到业务备机跑先，主机及时修复了切回来。上报国家，由国家同步供应链，然后自己提前修复。纵深做容忍，应急做预案，重保监测异常。如果有切面，就自己进去补洞。

Q：必须停业务的原因是什么？

A3：重要且核心业务，多活冗余设计，按服务区域或客户等特定条件分类多活部署，接受部分服务能力缺少，同时互为对照组分析备用，攻坚源代码，根据供应链服务商意愿和能力，针对开源协议、源代码知识产权或者第三方托管情况等情况，内部组织源代码走读... 技术增加入口封装，对延迟不敏感的业务，考虑牺牲用户体验换取变相加强纵深防御能力。

A4：网络侧被绕过正常，但是服务器日志、操作记录、进程、用户、网络连接都完全无问题，感觉八成说没被利用吧。

Q：你是怀疑有漏洞，但没证据还是说确认有漏洞？

A5：考虑漏洞产品增加支持异构平台部署+资源多活，保持应用层业务观察。

A6：你就理解是没有具体细节的情报好了，但领导要求自证，安全了吗，够不够。这个背景可以忽略，课题我觉得是通用的，到了演习期间，一样会有这种事。网络连接这一块有麻烦的点，就是这个业务既需要被any访问特定端口，也需要请求any的dns解析，不需要建立tcp。

A7：可不可以把暴露面收一收，入向访问放在VPN里面。

A8：不同供应商与同一供应商不同技术栈都能有利于对照观察。场景如：一个组织内不同的邮件系统，一个产品部署于信创和传统系统都可以考虑。

A9：就以邮件系统为例好了，信创有漏洞，传统暂时没漏洞，部署两套？那岂不是任何一套有漏洞都会被入侵。

A10：是的，客观上肯定增加了风险面和维护量。好的方面是，可改善了关键业务局部连续性服务能力的可能性、可靠性，接受局部服务能力缺失，压降全局服务中断风险，关键业务可以考虑以冗余和复杂性对抗未知风险。大部分产品对技术栈底座会有差异化依赖，这种差异可以考虑。

A11：这个从业务连续性层面没有问题，换个形式，比如被攻击了就一键切换到异构的另一套，也能满足。但假设说coremail或exchange有个漏洞，可以通过精心构造一个smtp协议数据包实现窃取邮件服务器上的数据，这个时候把两套都部署上反而是增加风险了。

A12：我理解你这需求是防范核心供应链未知漏洞。那只能依靠事中，事后了。建立纵深防护，上安全切面，全面安全监控。按照att&ck一个个落实监控，然后验证策略是否有效。

A13：所以主要想考虑，有0day也好，有nday没修也罢，用切面也好，用拟态也罢，那些监测的点，比如函数，比如进程，比如网络，才是关键，哪些点没异常，才能认为这漏洞没利用成功，没有失陷，不需要切换，怎么算全面？这个东西应用好了，是可以对抗网络战的，一开始可能不全面，逐步演进。

A14：你这是要对抗国家级别的黑客攻击，说真心话，有时候还是躺的好，因为攻击都在你的未知区域。先把我们已知的那类攻击做实，可以发现。

A15：att&ck是攻击技战术，首先防御视角做不到覆盖，其次覆盖的TTP也不代表这个点没问题了，感觉不是好的方法论。

A16：att&ck 不用都全部覆盖，攻击的时候，有时候暴露一点，就可以发现异常。真要防护高水平。像xz后门那样的攻击，太难了。只能等他利用的时候，发现其他痕迹，再追溯。

A17：可以说能发现其他痕迹就是目标。那还是做数基本功。先做到自己紫军，蓝军的攻击都能发现。

A18：这块也每次都能发现问题并改进，蓝军是越来越难了。但蓝军从来不用0day，像此类场景，能显而易见地知道程序内部的调用逻辑监控不到。和自研有很大区别。

A19：精心构造的话，有一定可能性是对特定平台、产品定制化，具体到提及的两个产品，以前学习了阿里有个帖子提到过smtp除了自身安全性低些，在协议组件实现也是有差异的，这种差异可能被利用，反过来也会保持局部有限的服务不受其影响。

A20：异构我理解主要还是解决可用性，保障业务连续性，并不是解决对抗。以前分析Google Beyondcorp构建背后动机时，他们有一个假设是0day是不可能被发现完，然后架构的考虑就变成了，如何在明知可能存在漏洞情况下去进行防护。基于这个假设，Google从http应用层上去构建了统一应用代理网关收敛入口，然后通过实时引擎做基于访问的持续验证。核心对抗逻辑特征检测作为辅助，核心放在通过可信方式做信任链验证，攻击者构造绕过检测和找0day是相对容易的，但要攻破信任体系成本是很高的。所以对抗就变成信任对抗了，信任体系如果无法攻破，数据包就传递不到真实业务系统上，后来出来创业做持安产品后，这套机制在实战过程中效果是很好的。

A21：http我觉得也比较深入了，就是非http盲区多。我理解异构也能做对抗。

Q：怎么异构？如果是两套同时提供服务，其实是增加了暴露面，漏洞范围变广了。

A22：算是类似拟态的逻辑。比如一类阻断设备部署多个品牌厂商，分别判断一次，如果都通过才算。暴露面不能同时，但内部可以。

A23：这感觉是负载均衡和容灾切换。

A24：其实这也有点问题，类似长尾效应，应用侧0day一类的总是没法完全避免，属于大力飞砖

A25：其实本源上就两件事情 NbSP与OVTP，一个是访问控制边界不被绕过，一个是鉴权链路完备，能做到这两点，后门和0day大部分都是一样防范。拟态能防止一部分的非预期nbsp绕过链路，但对ovtp突破型的攻击防御帮助不大。

Q：我理解nbsp是被动防御，我的设计是良好的，基线是符合的，放着不管，攻击不进来 ovtp更强调主动防御，不相信第一范式一定有效，有没有在尝试，有偏离的迹象，要能发现响应理念可以融会贯通，我的问题其实是postfix这类没法插桩没法切面怎么可溯， ovtp也漏了咋办？

A26：postfix有源码的，要插桩也没问题。核心问题还是ovtp可塑链路保障难吧，这个以前我们遇到，更麻烦的是exchange。

A27：exchange后来是外面包了一层来做安全增强，不直接对用户。

A28：那我理解所有的都通用了。能插桩的插桩，不能插桩的，让它自己不对外、不出访，外面包能插桩的提供服务，即便这个不插桩的被利用了，也无法回连。

0x2 群友分享

【安全资讯】