安全評估與加固中遇到的問題與思考
責編:admin |2015-02-10 14:36:52掐指一算,以乙方的角色做了一年有多的安全評估工作了,在與客戶、加固人員交流的過程中遇到了不少問題,也思考了應該怎么去改進,本文寫寫一些想法,歡迎批評指正。
面臨的問題:
1.客戶和加固人員認為:安全評估不就是拿個掃描器掃一掃、然后丟出一個報表嘛,誰不會;
2.內網掃描報告,往往有讓人望而卻步的高、中、低危漏洞千百個,你讓客戶情何以堪,你讓加固人員怎么活命;
3.評估人員、加固人員、客戶由于“道行”不同,或者“立場”不同,導致對漏洞的理解各不相同,扯皮時有發生;
4.掃描報告中的高、中、低危險標識,不和資產價值、業務系統重要程度掛鉤,導致加固沒有次重點,多次加固評估無法體現風險的消減程度;
希望做到:
1.區別對待千百個高、中、低危險漏洞,可以做撒網式掃描,不能做撒網式加固;
2.嘗試以更加專業的角度面對客戶和加固人員,對掃描結果進一步深加工處理;
3.把漏洞和資產價值,業務系統掛鉤,區別的對待安全漏洞讓加固工作更具可操作性;
下面提供一些深加工掃描報告的思路
1.漏洞分類:
操作系統漏洞:微軟的,Unix的,Linux的,Solaris的等
業務軟件漏洞:oracle,weblogic,struts2,PHP等
網絡和安全設備漏洞:cisco,h3c,華為等
輔助程序漏洞:ftp,office,ie,openssh等
2.漏洞利用難易程度
直接利用成功率高:
弱口令
MS08-067,Struts
間接利用成功率高:
IE漏洞—需要制造木馬網頁,引誘用戶點擊
office漏洞—需要發送病毒文檔,通過打開病毒文檔入侵
(存在運氣成分,而且基本只能在PC終端才會中招)
成功率很低的漏洞:
一些溢出漏洞(和用戶環境、版本、語言等相關性高)
偏門的程序漏洞(沒有現成的exp,需要代碼級的能力)
3.漏洞真實性、準確性
了解掃描器的掃描原理有助于我們對漏洞的把握,及時排除誤報漏洞。
精確掃描:本次為精確掃描,極少出現誤報。
原理掃描:本次掃描根據原理進行,可能存在誤報。
版本掃描:本次掃描根據版本進行,可能存在誤報。
暴力破解:本次掃描通過暴力猜測方式證實目標主機上的XX服務存在可猜測的口令。
4.加固思路
加固最好有計劃、有步驟進行,加固順序參考業務系統重要程度。
優先加固利用成本低成功率高的漏洞(弱口令等)。。。。
操作系統漏洞:強烈建議安裝修復
業務軟件漏洞:需要評估對業務系統的影響
網絡和安全設備漏洞:較少
輔助程序漏洞:特別關注輔助程序是否需要用,是否有可替代的程序。特別關注一些默認安裝帶來的不必要漏洞。
5.更進一步,我們可能應該學習和關注的
業務漏洞
邏輯漏洞
物理漏洞等等掃描器掃不出來,但是影響很大的漏洞