需求

近年來(lái)，由于出現(xiàn)了很多針對(duì)網(wǎng)絡(luò)設(shè)備的惡意攻擊，使得保障網(wǎng)關(guān)、路由器等網(wǎng)絡(luò)設(shè)備安全性的需求迅速增長(zhǎng)，其中VPNFilter和Mirai就是兩個(gè)顯著的例子。這些攻擊針對(duì)的是Linux系統(tǒng)的路由器，嚴(yán)重影響了網(wǎng)絡(luò)功能，甚至使得網(wǎng)絡(luò)癱瘓。

鑒于客戶(hù)、長(zhǎng)期的集成合作伙伴以及監(jiān)管和標(biāo)準(zhǔn)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全的需求不斷增加，這個(gè)廠商決定加強(qiáng)其設(shè)備安全態(tài)勢(shì)和流程。為了向這個(gè)目標(biāo)邁進(jìn)，廠商開(kāi)始了一個(gè)影響巨大的項(xiàng)目：為其旗艦網(wǎng)絡(luò)路由器的最新版本進(jìn)行安全加固。

除了要對(duì)路由器有直接的安全保障成果外，供應(yīng)商希望，他們所采用的安全戒圈方案也能在他們未來(lái)產(chǎn)品的早期開(kāi)發(fā)階段發(fā)揮更好的安全效果。

（用戶(hù)背景：1.全球頂尖的供應(yīng)商 2.總部位于北美 3.服務(wù)于電信、國(guó)防、制造和廣播等多個(gè)行業(yè) 4.政府及大型企業(yè)網(wǎng)絡(luò)路由器的領(lǐng)先供應(yīng)商 5.面臨客戶(hù)和監(jiān)管機(jī)構(gòu)日益增長(zhǎng)的網(wǎng)絡(luò)安全需求。）

挑戰(zhàn)

當(dāng)時(shí)，該供應(yīng)商的開(kāi)發(fā)團(tuán)隊(duì)一直在使用一個(gè)根據(jù)他們的安全需求定制的開(kāi)源代碼掃描工具，由他們的一名開(kāi)發(fā)人員負(fù)責(zé)與產(chǎn)品安全團(tuán)隊(duì)合作，對(duì)掃描出來(lái)的結(jié)果手動(dòng)進(jìn)行優(yōu)先排序。代碼掃描后會(huì)生成一份很長(zhǎng)的發(fā)現(xiàn)清單，開(kāi)發(fā)人員難以評(píng)估和確定漏洞的優(yōu)先級(jí)。此外，開(kāi)發(fā)人員發(fā)現(xiàn)他們也很難確定如何解決發(fā)現(xiàn)的安全問(wèn)題。

雖然代碼掃描工具有對(duì)掃描各種安全問(wèn)題和錯(cuò)誤的功能，但它并沒(méi)辦法呈現(xiàn)出設(shè)備中的實(shí)際安全漏洞是什么，也沒(méi)有說(shuō)明它們?cè)诂F(xiàn)實(shí)攻擊中會(huì)被怎么利用。

解決方案

用戶(hù)最初考慮了兩種實(shí)現(xiàn)安全的方法:

1.加強(qiáng)現(xiàn)有的代碼掃描工具。這種方式可能會(huì)因?yàn)橥ㄟ^(guò)他們內(nèi)部安全專(zhuān)家自己的操作使設(shè)備遭受新的復(fù)雜攻擊的其或他安全漏洞。而且，會(huì)使得擴(kuò)大潛在安全弱點(diǎn)和威脅掃描的覆蓋面、評(píng)估所發(fā)現(xiàn)的問(wèn)題并確定其優(yōu)先次序以及長(zhǎng)期維護(hù)該工具的能力，仍受到個(gè)人能力的限制。

2.使用外包滲透測(cè)試服務(wù)來(lái)進(jìn)行安全檢查。這種方法的主要缺點(diǎn)是項(xiàng)目周期長(zhǎng)：根據(jù)外包團(tuán)隊(duì)的響應(yīng)時(shí)間性和限制因素，每個(gè)產(chǎn)品或版本的人工測(cè)試過(guò)程可能需要數(shù)周時(shí)間，可能導(dǎo)致設(shè)備上市時(shí)間的延誤。此外，由于需要大量的資源，這種方法無(wú)法在許多產(chǎn)品中推廣，也無(wú)法用于每個(gè)產(chǎn)品的迭代安全驗(yàn)證過(guò)程。

除上述問(wèn)題外，這兩種方法都對(duì)用戶(hù)自己的安全團(tuán)隊(duì)專(zhuān)業(yè)性有一定要求，以確定他們能否在識(shí)別安全漏洞，確定其優(yōu)先次序，并在獲得測(cè)試結(jié)果后確定如何解決這些漏洞。.
在得出兩種方法都有顯著缺點(diǎn)的結(jié)論后，供應(yīng)商開(kāi)始尋找其他方案，在這個(gè)過(guò)程中他們了解了Vdoo方案。

選定方案: Vdoo 安全分析與防護(hù)平臺(tái)

這個(gè)廠商決定使用Vdoo設(shè)備安全平臺(tái)對(duì)其路由器產(chǎn)品進(jìn)行安全加固評(píng)估和實(shí)施的主要原因如下：
全面
能夠自動(dòng)檢測(cè)各種安全問(wèn)題，包括已知的漏洞(CVE)、安全誤操作、配置問(wèn)題等，Vdoo的安全團(tuán)隊(duì)會(huì)不斷更新與豐富設(shè)備安全知識(shí)庫(kù)。

快速
作為一個(gè)自動(dòng)化的安全分析解決方案，Vdoo平臺(tái)與人工滲透測(cè)試服務(wù)相比有顯著的速度優(yōu)勢(shì)，它在幾分鐘內(nèi)就能得到結(jié)果，而不是幾周。其次，對(duì)于供應(yīng)商希望在正在進(jìn)行的產(chǎn)品開(kāi)發(fā)工作中流程中加入一個(gè)實(shí)現(xiàn)安全性的流程，這一點(diǎn)尤其重要，因?yàn)樗梢栽诓谎舆t上市時(shí)間的情況下對(duì)新產(chǎn)品進(jìn)行持續(xù)的安全性驗(yàn)證。

高效率和智能優(yōu)先級(jí)排序
對(duì)每一個(gè)檢測(cè)到的安全問(wèn)題進(jìn)行智能影響評(píng)分，并給出明確而詳細(xì)的修復(fù)指南，可以快速有效地確定首要問(wèn)題，并確定如何解決這些問(wèn)題，而不需要用戶(hù)自己必須有安全專(zhuān)家資源。

安全措施實(shí)施過(guò)程

供應(yīng)商選擇通過(guò)反復(fù)的安全分析和漏洞修復(fù)過(guò)程來(lái)實(shí)現(xiàn)全面的安全保障。

供應(yīng)商的目標(biāo)是使路由器達(dá)到允許的安全水平。這意味著使用方案之后不應(yīng)該有未解決的高影響的安全問(wèn)題。如下文所述，Vdoo安全分析防護(hù)平臺(tái)-- Vision平臺(tái)負(fù)責(zé)發(fā)現(xiàn)已知問(wèn)題并評(píng)估其影響。
以下是具體過(guò)程：

Vdoo Vision平臺(tái)的安全分析和修復(fù)指導(dǎo)

第一步是將設(shè)備的二進(jìn)制映像上傳到Vision平臺(tái)，這是一個(gè)基于網(wǎng)頁(yè)的平臺(tái)，用于對(duì)聯(lián)網(wǎng)設(shè)備進(jìn)行自動(dòng)的安全分析。在不到一個(gè)小時(shí)的時(shí)間里，Vision就提供了設(shè)備軟件組件（SBOM）的詳細(xì)信息、檢測(cè)到的安全漏洞和暴露問(wèn)題，以及補(bǔ)救指導(dǎo)。

在第一次迭代分析中，發(fā)現(xiàn)了17個(gè)影響分?jǐn)?shù)較高（或非常高）的安全問(wèn)題，包括7個(gè)CVE和10個(gè)安全暴露問(wèn)題。例如：

安全暴露問(wèn)題 1: 安全強(qiáng)度低的密鑰

• 問(wèn)題：在SSL通信中使用了一個(gè)薄弱的加密密鑰，使其有被強(qiáng)行破解的風(fēng)險(xiǎn)。
• 修復(fù)指導(dǎo)：建議對(duì)所使用的算法采用NIST批準(zhǔn)的密鑰大小，并提供在設(shè)備中使用的SSL軟件中創(chuàng)建強(qiáng)密鑰的說(shuō)明和代碼樣例。

安全暴露問(wèn)題 2: 不安全的密碼

• 問(wèn)題：使用不安全的算法對(duì)存儲(chǔ)在設(shè)備上的系統(tǒng)用戶(hù)密碼進(jìn)行了散列（hash）處理，該算法可以相對(duì)容易地逆轉(zhuǎn)，從而可能使攻擊者能夠訪問(wèn)設(shè)備。
• 修復(fù)指導(dǎo)：提供了具體說(shuō)明以配置操作系統(tǒng)對(duì)用戶(hù)密碼使用安全的散列算法，并使現(xiàn)有密碼過(guò)期，強(qiáng)制更新。

CVE: Linux內(nèi)核中的權(quán)限升級(jí)漏洞

• 問(wèn)題：該設(shè)備使用的Linux內(nèi)核版本暴露在已公布的著名的漏洞中。該漏洞可能允許無(wú)權(quán)限的本地攻擊者實(shí)現(xiàn)根級(jí)訪問(wèn)并控制設(shè)備。發(fā)現(xiàn)沒(méi)有可緩解此漏洞的補(bǔ)丁。
• 修復(fù)指導(dǎo)：提出了四種選擇，包括通過(guò)內(nèi)核升級(jí)進(jìn)行全面修復(fù)，使用補(bǔ)丁進(jìn)行緩解，通過(guò)禁止遠(yuǎn)程訪問(wèn)設(shè)備進(jìn)行緩解，或使用Vdoo ERA（嵌入式運(yùn)行時(shí)代理）進(jìn)行緩解，以防止執(zhí)行未經(jīng)授權(quán)的二進(jìn)制文件。

用戶(hù)在收到分析結(jié)果后，他們的開(kāi)發(fā)小組利用Vision提供的指導(dǎo)解決影響較大的問(wèn)題。在六天內(nèi)，大多數(shù)問(wèn)題都得到了解決。剩下的挑戰(zhàn)是在Linux內(nèi)核中發(fā)現(xiàn)的高影響漏洞：為補(bǔ)救這些被認(rèn)為是非常復(fù)雜和危險(xiǎn)的漏洞而進(jìn)行的內(nèi)核升級(jí)。

在第一個(gè)解決階段之后，供應(yīng)商進(jìn)行了第二次迭代分析。他們確認(rèn)，除Linux內(nèi)核外，所有影響較大的漏洞和所有影響較大的CVE都已解決，符合他們的預(yù)期。最后，小組考慮了剩余漏洞的緩解方案，并評(píng)估決定使用Vdoo ERA。

用ERA (嵌入式運(yùn)行代理)簡(jiǎn)化減緩漏洞方式

用戶(hù)評(píng)估后決定使用ERA來(lái)緩解Linux內(nèi)核漏洞情況，從而不需要修改現(xiàn)有設(shè)備代碼。他們直接從Vision中自動(dòng)生成一個(gè)優(yōu)化的特定設(shè)備ERA代理，并使用一個(gè)簡(jiǎn)單的過(guò)程將代理安裝到設(shè)備上。通過(guò)在實(shí)驗(yàn)室中的測(cè)試，用戶(hù)確保設(shè)備性能和功能不會(huì)降低。
超越初期項(xiàng)目的益處
除了增強(qiáng)本項(xiàng)目范圍內(nèi)的目標(biāo)產(chǎn)品外，用戶(hù)還可以利用分析結(jié)果立即改善與路由器共享代碼的類(lèi)似產(chǎn)品的安全態(tài)勢(shì)，并應(yīng)用他們的經(jīng)驗(yàn)來(lái)加速未來(lái)的安全工作。

總結(jié)

以上是生活随笔為你收集整理的用户案例：网络设备厂商选择Vdoo平台强化其旗舰路由器的安全性的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。