警告:滥用安全工具可能会对你不利

希腊有句谚语:“他们派狼看管羊群。”

在安全上下文中，这是一个关于确保我们用来保护信息隐私的工具实际上不会导致数据泄露的警告。在本文中，我将讨论一些我遇到过的安全工具泄露了它们想要保护的数据的情况。

VirusTotal问题

VirusTotal (VT)是一个多扫描仪，个人研究人员可以自由上传任何他们认为可疑的文件。然后，他们可以查看许多结果杀毒(AV)产品，以确定文件是否被认为是恶意软件。虽然这是一个惊人的服务，我相信每个人在信息安全世界经常使用，它的使用需要仔细考虑。

有些人没有意识到的是，你提交到VirusTotal的每个文件都会保存在VT的服务器上，并且可以完全搜索。通过使用一个叫做恶意软件RetroHunting的内部VT工具，恶意软件猎人能够搜索文本和二进制模式，以便找到与他可能正在分析或跟踪的恶意软件相似的恶意软件。

这是一个很棒的特性，但正如您可以想象的那样，就像有人可以搜索[插入您选择的恶意字符串]一样，他们也可以很容易地搜索“Account Number:”，这可能会导致大量包含此类数据的文档。重要的是让人们意识到这一事实，这样人们就可以正确地使用这个工具，而不会危及他们的私人数据。

我将介绍几个滥用VirusTotal的案例，作为对那些可能考虑使用二流/非官方工具或采用基于VT构建的实践的用户的警告。

案例1:no AV参数

我经常听到人们这样说:“我不需要杀毒软件。当文件看起来可疑时，我就会免费发送给录像学院。”

我认为这种方法有缺陷的原因是显而易见的。如前所述，如果您将收到的所有文件提交给VT，那么您将面临泄露私人信息的风险。现在，如果您排除了从特定的“可信”地址扫描文件(为了不泄露机密数据)，那么您就冒着从欺骗的联系人获得恶意软件钓鱼到您的风险。不用说，这不是一种安全的保护自己的方法。

案例2:API的使用

使用VirusTotal API也可能是危险的。代码或逻辑中的错误很容易导致大量私有文件的上传。这是一个危险是否你正在构建自己的工具或使用工具像WINJA,自动提交的文件VT。这里唯一的建议是确保您正在使用的工具是著名的或自己的独立代码所做的审计,以确保没有错误可能导致数据泄漏。

当使用其他有信誉的安全工具时，明智的做法是阅读所有的文档，并确保您理解给定的工具将如何以及何时合并VT。

案例3:VT电子邮件扫描服务

不幸的是，我在网上看到了一些文章和论坛帖子，人们一直在建议使用VT附件扫描服务。基本上，通过发送电子邮件附件到scan@virustotal.com，发件人可以收到关于VT发现的附件的回复。

请不要采纳这样的建议，除非您确定您正在扫描的文件不包含私人数据。这是一场冒险的游戏。如果您担心恶意文件感染您的计算机，那么合乎逻辑的结论是买一个杀毒软件具有良好的声誉和拦截恶意文件的技术。

如果你选择将所有可能的私人邮件发送给VT(任何人都可以搜索到)，那么无论如何，暴露你的所有数据实质上都是在破坏任何潜在的安全或隐私利益。当你已经将敏感数据发送到公共数据库时，间谍软件又能造成什么损害呢?

EXE文件问题

我想谈的下一个案例，虽然不那么敏感，但很可能被忽视。

在企业环境中，我们不能依赖每个人手动向安全工程师提交附件或文件——所有这些都是自动化的。从我过去的经验和与安全工程师同行的交谈中，我发现，所有进入公司网络的可执行文件都会被绑定到特定平台的各种插件自动扫描，这是很常见的。在这种情况下，我将重点介绍Carbon Black，这是一个企业杀毒程序，尽管许多其他安全供应商也有这个问题。

当一个新的exe进入网络时，Carbon Black会将它存储起来，但它也有能力将给定的文件与各种插件和工具进行交叉引用，这些插件和工具是内置在或添加到平台上的。例如，您可以单击网络中任何给定文件上的冒泡，这将给出针对野火沙箱的结果。当然，这个话题在今年的媒体中收到了如此多的热度——VT插件。

现在，虽然他们已经解决了提交文件以避免数据泄露的问题，但他们仍然提交前任。等等，那又怎样?这不正是我们想要的吗?

它是正确的,。自动化是每个公司在其安全基础设施中所追求的目标。提交和扫描在网络上流动的前任的根本想法并没有错。然而，如果没有适当的计划，自动化有时也会带来一些折衷。

我评估了许多公司网络的安全基础设施，在这些评估中，我发现在试图扫描所有新前任的恶意软件时，公司内部的可执行程序最终也被扫描了。

所以现在，保密的前任在不知情的情况下被曝光，泄露了可以说是更敏感的数据和知识产权。另外，考虑一下软件开发人员通常是如何编码的。在测试功能时，开发人员通常会硬编码一些凭证、路径或其他测试构建的揭示信息。当然，在他们完成之后，对于生产构建，它可能会被更改以隐藏这些信息并使其动态，但同时，这些演示构建已经被EDR选中并通过各种插件扫描。

同样，这不是EDR本身的问题，而是它的实现的问题，完全是使用软件的客户的责任。

补救和预防

这并不意味着我们需要因为担心数据泄露而放弃使用安全工具;这只是意味着我们需要做一些调整。那么，企业怎样才能防止自己的数据泄露给公众呢?

有许多选项将取决于给定公司的遵从性要求和需求，但我有几个基本的考虑建议。

基于规则的分类

当EDR基于用户组看到一个新文件时，我总是建议分段所采取的操作，而不是采用自动扫描所有内容的覆盖式自动化。例如，可能开发人员组中的用户没有将驻留在特定目录中的二进制文件发送给自动扫描。

然而，这说起来容易做起来难，因为仅仅启用这种类型的规则可能会带来灾难性的后果，可能会让开发人员自由地秘密开发恶意软件。这就是为什么当一个安全规则对给定用户放松时，必须增加另一个规则来弥补它。所以在这个理论场景中，我们只是给了开发人员一个免费通行证，让他的可执行文件不被扫描。因此，我们关闭了一扇门，但打开了另一扇门。

为了弥补这一点，一个想法可能是密切关注允许开发机器通信的ip和端口。如果开发人员需要与他的软件的特定IP进行通信，他应该事先得到安全工程师的批准。此时，我们可以让开发者继续创建恶意软件，但如果他的MAC地址或IP被发现试图与未经预先批准的IP或端口进行通信，就会发出警报。使用良好的EDR平台创建这种类型的规则是很简单的。

必须事先充分了解给定员工的机器的角色和预期行为，以便能够对网络保持适当的控制。

了解你使用的工具

重要的是要理解安全工具是为通用用途而设计的。创建者并不知道你的公司具体做什么，你的隐私政策是什么。他们不知道你是要在现场开发自己的软件，还是只是使用该工具扫描下载的文件。

也就是说，这取决于您，负责评估的用户或安全工程师，以确保您理解工具提供的所有功能和选项。

开发人员使用VT创建自动扫描电子邮件附件的工具并不一定是恶意的。对于某些用户，可能是那些没有在文档中创建和存储信息的用户，这可能是世界上最好的工具，正是他们需要自动化操作的工具。对于另一家以Word文档形式发送合同的公司来说，这可能是灾难性的。归根到底，责任不能归咎到工具上，因为它的行为与宣传的完全一致。这取决于用户自己的研究，并了解该工具的作用，以及它将如何影响隐私和安全。