安全评估与加固中遇到的问题与思考

  掐指一算,以乙方的角色做了一年有多的安全评估工作了,在与客户、加固人员交流的过程中遇到了不少问题,也思考了应该怎么去改进,本文写写一些想法,欢迎批评指正。

  面临的问题:

  1.客户和加固人员认为:安全评估不就是拿个扫描器扫一扫、然后丢出一个报表嘛,谁不会;

  2.内网扫描报告,往往有让人望而却步的高、中、低危漏洞千百个,你让客户情何以堪,你让加固人员怎么活命;

  3.评估人员、加固人员、客户由于“道行”不同,或者“立场”不同,导致对漏洞的理解各不相同,扯皮时有发生;

  4.扫描报告中的高、中、低危险标识,不和资产价值、业务系统重要程度挂钩,导致加固没有次重点,多次加固评估无法体现风险的消减程度;

  希望做到:

  1.区别对待千百个高、中、低危险漏洞,可以做撒网式扫描,不能做撒网式加固;

  2.尝试以更加专业的角度面对客户和加固人员,对扫描结果进一步深加工处理;

  3.把漏洞和资产价值,业务系统挂钩,区别的对待安全漏洞让加固工作更具可操作性;

  下面提供一些深加工扫描报告的思路

  1.漏洞分类:

  操作系统漏洞:微软的,Unix的,Linux的,Solaris的等

  业务软件漏洞:oracle,weblogic,struts2,PHP等

  网络和安全设备漏洞:cisco,h3c,华为等

  辅助程序漏洞:ftp,office,ie,openssh等

  2.漏洞利用难易程度

  直接利用成功率高:

  弱口令

  MS08-067,Struts

  间接利用成功率高:

  IE漏洞—需要制造木马网页,引诱用户点击

  office漏洞—需要发送病毒文档,通过打开病毒文档入侵

  (存在运气成分,而且基本只能在PC终端才会中招)

  成功率很低的漏洞:

  一些溢出漏洞(和用户环境、版本、语言等相关性高)

  偏门的程序漏洞(没有现成的exp,需要代码级的能力)

  3.漏洞真实性、准确性

  了解扫描器的扫描原理有助于我们对漏洞的把握,及时排除误报漏洞。

  精确扫描:本次为精确扫描,极少出现误报。

  原理扫描:本次扫描根据原理进行,可能存在误报。

  版本扫描:本次扫描根据版本进行,可能存在误报。

  暴力破解:本次扫描通过暴力猜测方式证实目标主机上的XX服务存在可猜测的口令。

  4.加固思路

  加固最好有计划、有步骤进行,加固顺序参考业务系统重要程度。

  优先加固利用成本低成功率高的漏洞(弱口令等)。。。。

  操作系统漏洞:强烈建议安装修复

  业务软件漏洞:需要评估对业务系统的影响

  网络和安全设备漏洞:较少

  辅助程序漏洞:特别关注辅助程序是否需要用,是否有可替代的程序。特别关注一些默认安装带来的不必要漏洞。

  5.更进一步,我们可能应该学习和关注的

  业务漏洞

  逻辑漏洞

  物理漏洞等等扫描器扫不出来,但是影响很大的漏洞

 

发表评论

邮箱地址不会被公开。 必填项已用*标注