需求

近年来，由于出现了很多针对网络设备的恶意攻击，使得保障网关、路由器等网络设备安全性的需求迅速增长，其中VPNFilter和Mirai就是两个显著的例子。这些攻击针对的是Linux系统的路由器，严重影响了网络功能，甚至使得网络瘫痪。

鉴于客户、长期的集成合作伙伴以及监管和标准机构对网络安全的需求不断增加，这个厂商决定加强其设备安全态势和流程。为了向这个目标迈进，厂商开始了一个影响巨大的项目：为其旗舰网络路由器的最新版本进行安全加固。

除了要对路由器有直接的安全保障成果外，供应商希望，他们所采用的安全戒圈方案也能在他们未来产品的早期开发阶段发挥更好的安全效果。

（用户背景：1.全球顶尖的供应商 2.总部位于北美 3.服务于电信、国防、制造和广播等多个行业 4.政府及大型企业网络路由器的领先供应商 5.面临客户和监管机构日益增长的网络安全需求。）

挑战

当时，该供应商的开发团队一直在使用一个根据他们的安全需求定制的开源代码扫描工具，由他们的一名开发人员负责与产品安全团队合作，对扫描出来的结果手动进行优先排序。代码扫描后会生成一份很长的发现清单，开发人员难以评估和确定漏洞的优先级。此外，开发人员发现他们也很难确定如何解决发现的安全问题。

虽然代码扫描工具有对扫描各种安全问题和错误的功能，但它并没办法呈现出设备中的实际安全漏洞是什么，也没有说明它们在现实攻击中会被怎么利用。

解决方案

用户最初考虑了两种实现安全的方法:

1.加强现有的代码扫描工具。这种方式可能会因为通过他们内部安全专家自己的操作使设备遭受新的复杂攻击的其或他安全漏洞。而且，会使得扩大潜在安全弱点和威胁扫描的覆盖面、评估所发现的问题并确定其优先次序以及长期维护该工具的能力，仍受到个人能力的限制。

2.使用外包渗透测试服务来进行安全检查。这种方法的主要缺点是项目周期长：根据外包团队的响应时间性和限制因素，每个产品或版本的人工测试过程可能需要数周时间，可能导致设备上市时间的延误。此外，由于需要大量的资源，这种方法无法在许多产品中推广，也无法用于每个产品的迭代安全验证过程。

除上述问题外，这两种方法都对用户自己的安全团队专业性有一定要求，以确定他们能否在识别安全漏洞，确定其优先次序，并在获得测试结果后确定如何解决这些漏洞。.
在得出两种方法都有显著缺点的结论后，供应商开始寻找其他方案，在这个过程中他们了解了Vdoo方案。

选定方案: Vdoo 安全分析与防护平台

这个厂商决定使用Vdoo设备安全平台对其路由器产品进行安全加固评估和实施的主要原因如下：
全面
能够自动检测各种安全问题，包括已知的漏洞(CVE)、安全误操作、配置问题等，Vdoo的安全团队会不断更新与丰富设备安全知识库。

快速
作为一个自动化的安全分析解决方案，Vdoo平台与人工渗透测试服务相比有显著的速度优势，它在几分钟内就能得到结果，而不是几周。其次，对于供应商希望在正在进行的产品开发工作中流程中加入一个实现安全性的流程，这一点尤其重要，因为它可以在不延迟上市时间的情况下对新产品进行持续的安全性验证。

高效率和智能优先级排序
对每一个检测到的安全问题进行智能影响评分，并给出明确而详细的修复指南，可以快速有效地确定首要问题，并确定如何解决这些问题，而不需要用户自己必须有安全专家资源。

安全措施实施过程

供应商选择通过反复的安全分析和漏洞修复过程来实现全面的安全保障。

供应商的目标是使路由器达到允许的安全水平。这意味着使用方案之后不应该有未解决的高影响的安全问题。如下文所述，Vdoo安全分析防护平台-- Vision平台负责发现已知问题并评估其影响。
以下是具体过程：

Vdoo Vision平台的安全分析和修复指导

第一步是将设备的二进制映像上传到Vision平台，这是一个基于网页的平台，用于对联网设备进行自动的安全分析。在不到一个小时的时间里，Vision就提供了设备软件组件（SBOM）的详细信息、检测到的安全漏洞和暴露问题，以及补救指导。

在第一次迭代分析中，发现了17个影响分数较高（或非常高）的安全问题，包括7个CVE和10个安全暴露问题。例如：

安全暴露问题 1: 安全强度低的密钥

• 问题：在SSL通信中使用了一个薄弱的加密密钥，使其有被强行破解的风险。
• 修复指导：建议对所使用的算法采用NIST批准的密钥大小，并提供在设备中使用的SSL软件中创建强密钥的说明和代码样例。

安全暴露问题 2: 不安全的密码

• 问题：使用不安全的算法对存储在设备上的系统用户密码进行了散列（hash）处理，该算法可以相对容易地逆转，从而可能使攻击者能够访问设备。
• 修复指导：提供了具体说明以配置操作系统对用户密码使用安全的散列算法，并使现有密码过期，强制更新。

CVE: Linux内核中的权限升级漏洞

• 问题：该设备使用的Linux内核版本暴露在已公布的著名的漏洞中。该漏洞可能允许无权限的本地攻击者实现根级访问并控制设备。发现没有可缓解此漏洞的补丁。
• 修复指导：提出了四种选择，包括通过内核升级进行全面修复，使用补丁进行缓解，通过禁止远程访问设备进行缓解，或使用Vdoo ERA（嵌入式运行时代理）进行缓解，以防止执行未经授权的二进制文件。

用户在收到分析结果后，他们的开发小组利用Vision提供的指导解决影响较大的问题。在六天内，大多数问题都得到了解决。剩下的挑战是在Linux内核中发现的高影响漏洞：为补救这些被认为是非常复杂和危险的漏洞而进行的内核升级。

在第一个解决阶段之后，供应商进行了第二次迭代分析。他们确认，除Linux内核外，所有影响较大的漏洞和所有影响较大的CVE都已解决，符合他们的预期。最后，小组考虑了剩余漏洞的缓解方案，并评估决定使用Vdoo ERA。

用ERA (嵌入式运行代理)简化减缓漏洞方式

用户评估后决定使用ERA来缓解Linux内核漏洞情况，从而不需要修改现有设备代码。他们直接从Vision中自动生成一个优化的特定设备ERA代理，并使用一个简单的过程将代理安装到设备上。通过在实验室中的测试，用户确保设备性能和功能不会降低。
超越初期项目的益处
除了增强本项目范围内的目标产品外，用户还可以利用分析结果立即改善与路由器共享代码的类似产品的安全态势，并应用他们的经验来加速未来的安全工作。

总结

以上是生活随笔为你收集整理的用户案例：网络设备厂商选择Vdoo平台强化其旗舰路由器的安全性的全部内容，希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错，欢迎将生活随笔推荐给好友。