条件有限的甲方如何安排实施漏洞评估?
Vulnerability Assessment)也称为脆弱性评估,是对企业组织内部信息系统的管理和技术防护体系的安全弱点的系统性审查。
笔者:国际认证信息系统审计师、软考系统分析师
漏洞评估的目的是找出信息系统是否容易受到任何已知漏洞的影响,对确认存在的漏洞分配定义严重性级别,并在需要时提出补救或缓解漏洞影响的建议。
进行漏洞评估,首先需要对当前信息行业软件漏洞的情况有所了解。安全管理和技术防范是网络安全工作的两面,而对漏洞情况的了解是做好这两面的基础。
仅在2020年,就发现了超过2.3万个新的软件漏洞,并被公开报告(注意不是所有的软件漏洞都会获得CVE编号)。
这个数字对外行来说可能相当震撼,但网络安全行业对此已经司空见惯。
有些漏洞可能只能影响很小的范围,造成很少的损失。但个别“核弹”级别的漏洞,比如2021年底爆出的Log4Shell漏洞,造成全球性的影响。
国家互联网应急中心:Apache Log4j2远程代码执行漏洞排查及修复手册
https://www.cert.org.cn/publish/main/9/2021/20211215154225883558274/20211215154225883558274_.html
黑客组织对企业发起攻击的重要途径,就是通过外部扫描发现漏洞,并利用漏洞进行攻击。
信息系统为何会有“漏洞”,这是故意的吗?
考虑到很多甲方其实确实不太懂信息行业,尤其是不了解软件开发为何会有那么多漏洞,这里插入几句。
软件开发是人的思维活动的结果,是人就有可能犯错误,这是无可避免的。
所以,软件必然包含错误,只是错误的程度各不相同。
有些错误可能完全无害,比如提示文本写错几个字;有些错误可能会产生局部性的不良后果,比如企业内部业务逻辑走错方向;但最严重的可能会被加以利用,使不仅系统本身,而且还使整个企业组织都处于危险之中。这类最严重的漏洞,一般都是存在于操作系统、中间件、数据库系统等基础软件之中。
漏洞评估的主要目的就是赶在黑客之前,发现属于最严重情况的漏洞。
作为资源有限的甲方,要有效应对网络安全风险,就必须通过漏洞评估,主动发现自身存在的弱点,以“防范于未然”的心态,通过漏洞评估过程去发现漏洞,并通过对漏洞从发现到完成修补的过程管理,把风险扼杀在襁褓之中。否则等到亡羊才打算补牢就为时已晚。
漏洞评估和渗透测试(Penetration Testing)有什么区别?
对于甲方来说,漏洞评估和渗透测试很容易混为一谈,尤其是许多安全服务公司会同时提供这两种服务,因此它们之间的区别对于甲方来说就更模糊。
两者的区分,应该以具体过程如何完成来判断。漏洞评估通常是自动化测试,使用一个或多个自动化工具,按预先编排设计的脚本或程序进行检查测试,并生成报告。而渗透测试主要依赖于渗透测试人员的知识和经验,基本上是以手工方式去识别和确认系统中是否存在漏洞的过程。
最优做法当然是把漏洞评估过程自动化执行后,再结合定期的手动渗透测试,从而实现系统安全性的持续确认和循环加固......只是作为资源有限的甲方,这并不是很现实。
漏洞评估需要使用什么工具?
如前所述,漏洞评估主要通过自动化工具软件实现。这类工具软件大多数都是为网络安全专业人员或有相当网络安全专业知识的人员而设计。
随着网络安全服务行业不断发展,一些专门面向甲方网络安全知识有限人员的整体化解决方案也逐渐产品化。只是这些产品使用与否,取决于甲方自身资源配置情况,具体说就是甲方愿意为服务付费(别人动手)还是为资产付费(自己动手)。
漏洞扫描工具本身也有一定的分类,区分面向不同的网络安全细分领域。比较常见分类包括网络扫描、WEB应用扫描、物联网扫描、容器安全扫描等。甲方本身内网复杂度越高,就越需要通过应用更多的漏洞扫描工具去提高漏洞扫描的覆盖率。
一些比较流行的工具包括有:
Nmap,强大的主机发现和端口扫描工具:
Tenable Nessus,漏洞扫描评估工具:
Greenbone Vulnerability Manager (GVM),资产漏洞扫描管理工具:
sqlmap,专门面向SQL注入漏洞扫描的工具:
国内也有厂商提供此类工具。
有了工具之后,执行漏洞评估的步骤是如何的?
有了正确的工具,您就可以通过以下步骤进行漏洞评估:
资产发现永远是网络安全的首要和必要的工作。企业组织必须清楚掌握自身信息化数字化基础设施的情况,才能有针对性地计划和开展漏洞扫描。
比较关键的影响因素包括:
移动设备:智能手机、笔记本电脑、平板电脑等设备,会经常在企业内部和外部流转使用,并通常允许比如从员工家里远程接入企业内网。
物联网设备:物联网设备是企业信息化基础设施的一部分,但可能只连接到电信服务商的移动网络而对企业内网不可见。
基于云服务的基础设施:云服务提供商会导致使用部门脱离信息化部门,自行创建出直接暴露在互联网上的资产(服务器)。
即使企业组织制定了完善的网络安全管理制度,但实际情况始终会和理想化有出入,无穷资源的甲方是不存在的。要实现对企业内其他部门、人员产生的网络安全影响因素严格管理,需要有自动化工具进行支撑。
完成资产发现清查后,甲方应按自己的资源能力情况,结合资产的重要程度,安排对资产进行漏洞评估扫描的先后次序和排期实施。
尤其是漏洞扫描需要依赖于外部服务商时,服务费用和预算之间的冲突问题是甲方管理者必须清晰衡量和取舍的。优先级安排的例子比如:
最优:面向互联网的服务
第二:面向客户的应用程序
第三:包含敏感信息的数据库
第四:其它内部应用
根据网络安全实际情况,应重点对面向互联网的服务和移动设备(尤其是笔记本电脑)进行漏洞评估扫描。这两种资产最常用于无针对性的网络攻击行为。
3.、漏洞扫描
漏洞扫描器基于已知的安全漏洞数据库对资产进行检查。检查的具体内容包括有资产对外开放的端口、内部运行的服务程序、各种软件包括硬件固件的版本、软件的配置信息(是否存在不当的配置)等。这些信息的组合如果与安全漏洞数据库中记录的漏洞信息相匹配,漏洞扫描器就会记录并形成漏洞扫描报告。
对于一些比较特殊的漏洞,漏洞扫描器会向系统服务发送特定的探针信息,比如一段安全的漏洞利用脚本程序,通过该探针信息被系统服务接收处理后的情况去判断漏洞是否存在。如果漏洞确实存在,探针信息就会向漏洞扫描器返回成功执行的反馈信息。典型如“命令注入攻击”、“跨站脚本XSS攻击”以及默认用户名密码组合这些漏洞类型,都需要通过这一过程进行探测。
漏洞扫描需要时间去运行,具体时长视企业组织资产数量、网络复杂度等因素而定。
漏洞扫描完成后,漏洞扫描器给出评估报告。甲方应基于评估报告,结合资源情况,制定修补计划。对评估报告,需要理解好以下两项关键因素去判断修复的对象和优先级:
严重程度:安全漏洞数据库中每一项漏洞都有严重程度评分,漏洞扫描器会根据该评分再结合实际环境情况给出潜在漏洞的严重程度。制定修补计划当然应首先关注最严重的漏洞,但必须避免忽略掉其它漏洞。多个轻微级别的漏洞被连锁利用构成严重漏洞的例子并不少见。有些漏洞扫描工具还会给出漏洞修补的建议时间表。
漏洞暴露面:面向互联网的系统漏洞更有可能被执行随机扫描攻击的黑客利用,因此结合漏洞严重程度,可以认为此类漏洞的修补优先级是最高的。其次就是之前说的,笔记本之类的移动设备需要重点关注。除此之外,任何承载有企业敏感数据、影响企业业务运行的资产设备,其修补优先级都应该相对较高。
对于操作系统、中间件、数据库等基础软件而已,其存在的漏洞一般都由厂家或开发团队提供专门的补丁或发布新版本进行修补,需要注意有些修补方法可能需要修改程序运行的配置,或者有其它依赖比如引入其它支撑性质的软件组件,需要先行配置。
执行漏洞修补后,必须重新进行漏洞扫描,以确认漏洞已经得到修复。另外,在一些特殊情况下,漏洞补丁还可能会因为不当的安装或配置操作而引入新的安全问题,再次执行漏洞扫描是发现这些情况的唯一有效方法。
对于具备一定专业背景知识的甲方管理人员来说,当开始认识到甲方自身信息化基础环境的复杂性和潜在漏洞情况的相互交织影响时,就应该能明白到漏洞可能会被利用的范围和后果。
漏洞扫描的结果,实际是企业组织在特定时间点上,自身信息化基础设施的漏洞情况的“快照”。
随着时间推移,企业内部运行管理、基础设施升级、新系统部署、新漏洞被发现等因素实际都会破坏掉之前进行的漏洞扫描结果,引入新的安全风险。
因此,漏洞管理是持续的过程,而不是一锤子买卖。网络安全并不仅仅是技术防范,制定合适的管理措施并良好执行,是网络安全措施有效性的保证。
一些具有安全意识和能力的软件开发商,会把自动漏洞评估集成到自身的持续集成和部署(CI/CD)通道,持续对自身的软件产品进行漏洞评估,在软件发布前识别和修正漏送,从而避免发布后因漏洞问题而频繁升级发布补丁所带来的各种成本和负面影响。
甲方在选择软件系统供应商时,可以把这一点作为对供应商的衡量评估依据。
定期的漏洞评估,对企业组织能否维持强壮的网络安全态势至关重要。
网络上已知漏洞的数量是如此的巨大,结合到甲方自身信息化基础设施的普遍复杂性,可以认为任何企业组织在未进行漏洞评估修补前,几乎一定会有一个能直接威胁到企业组织生存的未修补漏洞。如果攻击者早于企业组织发现了这个漏洞,企业组织将面临数据泄露、勒索等重大安全风险。
而漏洞评估的实施执行却是如此的简单和自动化,只要有一定的专业知识、正确的工具、严格的管理周期就可以自己动手,从而降低网络安全风险。
本页网址二维码: