需求

近年來，由于出現了很多針對網絡設備的惡意攻擊，使得保障網關、路由器等網絡設備安全性的需求迅速增長，其中VPNFilter和Mirai就是兩個顯著的例子。這些攻擊針對的是Linux系統的路由器，嚴重影響了網絡功能，甚至使得網絡癱瘓。

鑒于客戶、長期的集成合作伙伴以及監管和標準機構對網絡安全的需求不斷增加，這個廠商決定加強其設備安全態勢和流程。為了向這個目標邁進，廠商開始了一個影響巨大的項目：為其旗艦網絡路由器的最新版本進行安全加固。

除了要對路由器有直接的安全保障成果外，供應商希望，他們所采用的安全戒圈方案也能在他們未來產品的早期開發階段發揮更好的安全效果。

（用戶背景：1.全球頂尖的供應商 2.總部位于北美 3.服務于電信、國防、制造和廣播等多個行業 4.政府及大型企業網絡路由器的領先供應商 5.面臨客戶和監管機構日益增長的網絡安全需求。）

挑戰

當時，該供應商的開發團隊一直在使用一個根據他們的安全需求定制的開源代碼掃描工具，由他們的一名開發人員負責與產品安全團隊合作，對掃描出來的結果手動進行優先排序。代碼掃描后會生成一份很長的發現清單，開發人員難以評估和確定漏洞的優先級。此外，開發人員發現他們也很難確定如何解決發現的安全問題。

雖然代碼掃描工具有對掃描各種安全問題和錯誤的功能，但它并沒辦法呈現出設備中的實際安全漏洞是什么，也沒有說明它們在現實攻擊中會被怎么利用。

解決方案

用戶最初考慮了兩種實現安全的方法:

1.加強現有的代碼掃描工具。這種方式可能會因為通過他們內部安全專家自己的操作使設備遭受新的復雜攻擊的其或他安全漏洞。而且，會使得擴大潛在安全弱點和威脅掃描的覆蓋面、評估所發現的問題并確定其優先次序以及長期維護該工具的能力，仍受到個人能力的限制。

2.使用外包滲透測試服務來進行安全檢查。這種方法的主要缺點是項目周期長：根據外包團隊的響應時間性和限制因素，每個產品或版本的人工測試過程可能需要數周時間，可能導致設備上市時間的延誤。此外，由于需要大量的資源，這種方法無法在許多產品中推廣，也無法用于每個產品的迭代安全驗證過程。

除上述問題外，這兩種方法都對用戶自己的安全團隊專業性有一定要求，以確定他們能否在識別安全漏洞，確定其優先次序，并在獲得測試結果后確定如何解決這些漏洞。.
在得出兩種方法都有顯著缺點的結論后，供應商開始尋找其他方案，在這個過程中他們了解了Vdoo方案。

選定方案: Vdoo 安全分析與防護平臺

這個廠商決定使用Vdoo設備安全平臺對其路由器產品進行安全加固評估和實施的主要原因如下：
全面
能夠自動檢測各種安全問題，包括已知的漏洞(CVE)、安全誤操作、配置問題等，Vdoo的安全團隊會不斷更新與豐富設備安全知識庫。

快速
作為一個自動化的安全分析解決方案，Vdoo平臺與人工滲透測試服務相比有顯著的速度優勢，它在幾分鐘內就能得到結果，而不是幾周。其次，對于供應商希望在正在進行的產品開發工作中流程中加入一個實現安全性的流程，這一點尤其重要，因為它可以在不延遲上市時間的情況下對新產品進行持續的安全性驗證。

高效率和智能優先級排序
對每一個檢測到的安全問題進行智能影響評分，并給出明確而詳細的修復指南，可以快速有效地確定首要問題，并確定如何解決這些問題，而不需要用戶自己必須有安全專家資源。

安全措施實施過程

供應商選擇通過反復的安全分析和漏洞修復過程來實現全面的安全保障。

供應商的目標是使路由器達到允許的安全水平。這意味著使用方案之后不應該有未解決的高影響的安全問題。如下文所述，Vdoo安全分析防護平臺-- Vision平臺負責發現已知問題并評估其影響。
以下是具體過程：

Vdoo Vision平臺的安全分析和修復指導

第一步是將設備的二進制映像上傳到Vision平臺，這是一個基于網頁的平臺，用于對聯網設備進行自動的安全分析。在不到一個小時的時間里，Vision就提供了設備軟件組件（SBOM）的詳細信息、檢測到的安全漏洞和暴露問題，以及補救指導。

在第一次迭代分析中，發現了17個影響分數較高（或非常高）的安全問題，包括7個CVE和10個安全暴露問題。例如：

安全暴露問題 1: 安全強度低的密鑰

• 問題：在SSL通信中使用了一個薄弱的加密密鑰，使其有被強行破解的風險。
• 修復指導：建議對所使用的算法采用NIST批準的密鑰大小，并提供在設備中使用的SSL軟件中創建強密鑰的說明和代碼樣例。

安全暴露問題 2: 不安全的密碼

• 問題：使用不安全的算法對存儲在設備上的系統用戶密碼進行了散列（hash）處理，該算法可以相對容易地逆轉，從而可能使攻擊者能夠訪問設備。
• 修復指導：提供了具體說明以配置操作系統對用戶密碼使用安全的散列算法，并使現有密碼過期，強制更新。

CVE: Linux內核中的權限升級漏洞

• 問題：該設備使用的Linux內核版本暴露在已公布的著名的漏洞中。該漏洞可能允許無權限的本地攻擊者實現根級訪問并控制設備。發現沒有可緩解此漏洞的補丁。
• 修復指導：提出了四種選擇，包括通過內核升級進行全面修復，使用補丁進行緩解，通過禁止遠程訪問設備進行緩解，或使用Vdoo ERA（嵌入式運行時代理）進行緩解，以防止執行未經授權的二進制文件。

用戶在收到分析結果后，他們的開發小組利用Vision提供的指導解決影響較大的問題。在六天內，大多數問題都得到了解決。剩下的挑戰是在Linux內核中發現的高影響漏洞：為補救這些被認為是非常復雜和危險的漏洞而進行的內核升級。

在第一個解決階段之后，供應商進行了第二次迭代分析。他們確認，除Linux內核外，所有影響較大的漏洞和所有影響較大的CVE都已解決，符合他們的預期。最后，小組考慮了剩余漏洞的緩解方案，并評估決定使用Vdoo ERA。

用ERA (嵌入式運行代理)簡化減緩漏洞方式

用戶評估后決定使用ERA來緩解Linux內核漏洞情況，從而不需要修改現有設備代碼。他們直接從Vision中自動生成一個優化的特定設備ERA代理，并使用一個簡單的過程將代理安裝到設備上。通過在實驗室中的測試，用戶確保設備性能和功能不會降低。
超越初期項目的益處
除了增強本項目范圍內的目標產品外，用戶還可以利用分析結果立即改善與路由器共享代碼的類似產品的安全態勢，并應用他們的經驗來加速未來的安全工作。

總結

以上是生活随笔為你收集整理的用户案例：网络设备厂商选择Vdoo平台强化其旗舰路由器的安全性的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。