掐指一算,以乙方的角色做了一年有多的安全评估工作了,在与客户、加固人员交流的过程中遇到了不少问题,也思考了应该怎么去改进,本文写写一些想法,欢迎批评指正。
面临的问题:
1.客户和加固人员认为:安全评估不就是拿个扫描器扫一扫、然后丢出一个报表嘛,谁不会;
2.内网扫描报告,往往有让人望而却步的高、中、低危漏洞千百个,你让客户情何以堪,你让加固人员怎么活命;
3.评估人员、加固人员、客户由于“道行”不同,或者“立场”不同,导致对漏洞的理解各不相同,扯皮时有发生;
4.扫描报告中的高、中、低危险标识,不和资产价值、业务系统重要程度挂钩,导致加固没有次重点,多次加固评估无法体现风险的消减程度;
希望做到:
1.区别对待千百个高、中、低危险漏洞,可以做撒网式扫描,不能做撒网式加固;
2.尝试以更加专业的角度面对客户和加固人员,对扫描结果进一步深加工处理;
3.把漏洞和资产价值,业务系统挂钩,区别的对待安全漏洞让加固工作更具可操作性;
下面提供一些深加工扫描报告的思路
1.漏洞分类:
操作系统漏洞:微软的,Unix的,Linux的,Solaris的等
业务软件漏洞:oracle,weblogic,struts2,PHP等
网络和安全设备漏洞:cisco,h3c,华为等
辅助程序漏洞:ftp,office,ie,openssh等
2.漏洞利用难易程度
直接利用成功率高:
弱口令
MS08-067,Struts
间接利用成功率高:
IE漏洞—需要制造木马网页,引诱用户点击
office漏洞—需要发送病毒文档,通过打开病毒文档入侵
(存在运气成分,而且基本只能在PC终端才会中招)
成功率很低的漏洞:
一些溢出漏洞(和用户环境、版本、语言等相关性高)
偏门的程序漏洞(没有现成的exp,需要代码级的能力)
3.漏洞真实性、准确性
了解扫描器的扫描原理有助于我们对漏洞的把握,及时排除误报漏洞。
精确扫描:本次为精确扫描,极少出现误报。
原理扫描:本次扫描根据原理进行,可能存在误报。
版本扫描:本次扫描根据版本进行,可能存在误报。
暴力破解:本次扫描通过暴力猜测方式证实目标主机上的XX服务存在可猜测的口令。
4.加固思路
加固最好有计划、有步骤进行,加固顺序参考业务系统重要程度。
优先加固利用成本低成功率高的漏洞(弱口令等)。。。。
操作系统漏洞:强烈建议安装修复
业务软件漏洞:需要评估对业务系统的影响
网络和安全设备漏洞:较少
辅助程序漏洞:特别关注辅助程序是否需要用,是否有可替代的程序。特别关注一些默认安装带来的不必要漏洞。
5.更进一步,我们可能应该学习和关注的
业务漏洞
逻辑漏洞
物理漏洞等等扫描器扫不出来,但是影响很大的漏洞