昨天看到山石网科发布的《关于近期网络传播“SG-6000设备存在漏洞的情况通报”的说明》,作为安全从业人员,发现多方均有脆弱性,在此和大家探讨一下,如有不对之处,敬请指正。
用户方面:防火墙作为重要边界防护安全设备,设置为弱密码说明管理人员的安全意识很差,不具备基本的安全管理素质,建议安全管理人员须持证上岗,持续培训,可避免发生同类事件。
山石网科方面:仅强调是用户配置弱密码而非系统自身漏洞是欠妥的。系统要最大程度拒绝用户设置弱密码,例如首次登陆时要求修改为强密码和用户设置弱密码要先关闭强密码策略等,如果用户“执意”设置为弱密码,此时与你无关,在上述说明中没有看到此描述。山石网科防火墙作为国内一流的安全产品,希望能重视细节,牢记“系统默认需要安全”这个基本属性。
白帽方面:单一用户设置不当引发的“漏洞”和系统本身漏洞是有本质区别的。提交漏洞要本着认真和负责的态度,随意提交漏洞会给各方造成干扰,不能为了一张通用型CNVD证书而偏离初心。
CNVD方面:作为权威的漏洞共享平台,《山石网科下一代防火墙SG-6000存在弱口令漏洞》是不该审核通过的。工作谨慎性或业务能力需要提高,否则会给引用漏洞信息的监管机构挖坑,监管机构很忙的,也会给安全厂家造成麻烦,因为安全厂家不认为这是系统漏洞,修复方案编不出来。
结束语:最近0day满天飞,安全厂家(乙方)忙于攻击、防守、打补丁和推销业务,忙得不亦乐乎。作为甲方,我们越来越看重安全产品的“能力(包括安全性)”,“促进乙方产品能力提升群”已成立,大型甲方陆续入群,试图忽悠甲方是不可能了,实实在在做好安全产品才是正道。
注1:作者陈建茂(微信号shenzhenmao),金融从业人员,十余年信息安全管理经验;
注2:本文封面照片来自互联网,如有侵权,敬请联系;
声明:本文来自信息安全运营,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
