安全评估与加固中遇到的问题与思考


掐指一算,以乙方的角色做了一年有多的安全评估工作了,在与客户、加固人员交流的过程中遇到了不少问题,也思考了应该怎么去改进,本文写写一些想法,欢迎批评指正。


面临的问题:

   1.客户和加固人员认为:安全评估不就是拿个扫描器扫一扫、然后丢出一个报表嘛,谁不会;

   2.内网扫描报告,往往有让人望而却步的高、中、低危漏洞千百个,你让客户情何以堪,你让加固人员怎么活命;

   3.评估人员、加固人员、客户由于“道行”不同,或者“立场”不同,导致对漏洞的理解各不相同,扯皮时有发生;

   4.扫描报告中的高、中、低危险标识,不和资产价值、业务系统重要程度挂钩,导致加固没有次重点,多次加固评估无法体现风险的消减程度;


希望做到:

   1.区别对待千百个高、中、低危险漏洞,可以做撒网式扫描,不能做撒网式加固;

   2.尝试以更加专业的角度面对客户和加固人员,对扫描结果进一步深加工处理;

   3.把漏洞和资产价值,业务系统挂钩,区别的对待安全漏洞让加固工作更具可操作性;


下面提供一些深加工扫描报告的思路


1.漏洞分类:

   操作系统漏洞:微软的,Unix的,Linux的,Solaris的等

   业务软件漏洞:oracleweblogicstruts2PHP

   网络和安全设备漏洞:ciscoh3c,华为等

   辅助程序漏洞:ftpofficeieopenssh


2.漏洞利用难易程度

   直接利用成功率高:

       弱口令

       MS08-067Struts

   间接利用成功率高:

 IE漏洞需要制造木马网页,引诱用户点击

 office漏洞需要发送病毒文档,通过打开病毒文档入侵

 (存在运气成分,而且基本只能在PC终端才会中招)

   成功率很低的漏洞:

 一些溢出漏洞(和用户环境、版本、语言等相关性高)

 偏门的程序漏洞(没有现成的exp,需要代码级的能力)


3.漏洞真实性、准确性

   了解扫描器的扫描原理有助于我们对漏洞的把握,及时排除误报漏洞。

       精确扫描:本次为精确扫描,极少出现误报。

       原理扫描:本次扫描根据原理进行,可能存在误报。

       版本扫描:本次扫描根据版本进行,可能存在误报。

       暴力破解:本次扫描通过暴力猜测方式证实目标主机上的XX服务存在可猜测的口令。


4.加固思路

    加固最好有计划、有步骤进行,加固顺序参考业务系统重要程度。

    优先加固利用成本低成功率高的漏洞(弱口令等)。。。。

       操作系统漏洞:强烈建议安装修复

       业务软件漏洞:需要评估对业务系统的影响

       网络和安全设备漏洞:较少

       辅助程序漏洞:特别关注辅助程序是否需要用,是否有可替代的程序。特别关注一些默认安装带来的不必要漏洞。


5.更进一步,我们可能应该学习和关注的

    业务漏洞

    逻辑漏洞

    物理漏洞等等扫描器扫不出来,但是影响很大的漏洞


你可能感兴趣的:(漏洞扫描,加固,安全评估)