您现在的位置是:首页 > 网络信息安全

漏洞之痛

xiaozq2021-09-16网络信息安全

简介漏洞是几乎所有安全事件的源头,所以漏洞挖掘是几乎所有组织安全运维必备的一项工作,同时这也是一个很庞大的话题。本文主要讨论的是技术层面的漏洞,关于安保和员工意识导致的漏洞不在本文讨论的范围之内。

这里声明一下,漏洞挖掘工作在作者所在的团队也在摸索,其中很多思路和见解都来源于甲方公司的安全大牛和安全厂商,在此感谢所有帮助过我们的朋友!

说到技术漏洞很多安全从业者就比较熟悉了,一般从“资产发现”、“漏洞扫描”、“渗透测试”、“漏洞管理”几个阶段来做,我们在这方面刚刚开始展开更细致的工作,下面简单展开一下。

 

       首先说说资产发现,这个重要性不用多说,如果连有什么资产都不知道更不要说在资产上发现漏洞了。这个方面我们有过惨痛的教训,因为我们资产统计不全导致一个病毒的爆发,还通过一些通道试图影响其他单位的系统(幸亏当时控制的及时,否则会很被动)。

       目前有的安全厂商有专门的资产发现产品,效果也不错,其实所谓的效果主要就是效率。模式基本上基本上有两类,一是全端口扫描,好处是全面,速度肯定慢;另外就是常用端口扫描,速度肯定快,但漏报也是难免的。

       我们现在的思路是:1.IP资产方面,7*24小时用多个nmap做常用端口扫描,定期(比如1个月)做一次全端口扫描,在nmap之上做个简单的任务分配程序,这样可以做到至少每天可以将1万台以内的主机扫一遍(有的企业十几万台每天也能跑一遍,膜拜一下);2.域名资产方面,通过DNS配置和访问流量解析做域名统计,再结合业务和解析量确定优先级。

         然后就是常规的漏洞扫描了,我们多年来都是利用商用扫描器做漏洞扫描,今年正在推进自主开发扫描器的工作。为什么要自研呢?最主要的需求就是效率!商用扫描器相信很多人都用过,因为要考虑普适性,所以规则会很多。而且商业产品开放的接口有限,很难做到通过一个调度系统实现能力的平行扩展。这种能力很难满足现在媒体越来越多的应对重要播出活动保障的情况。自研的思路总体是这样:第一是分布式,这很好理解,多台的效率一定比一台高;第二是高并发,作用跟第一类似;第三是扫描资产的自定义,用于对接资产发现系统的输出结果;最后就是定制POC,这有些技术门槛,这方面我们的开发团队也在学习中。

       整体策略就是自研扫描器搞负责效率要求,对重点漏洞集中、快速发现。商用扫描器负责全面性要求,慢慢跑,出来的结果补充到漏洞库中。

      接下来提出一个我们自己提出的概念“漏洞生命周期管理”,这个系统我们去年开发完成了V1版本,正在内测中。总体思路是从“发现”、“通知”、“修复”、“复查”、“复发”这五个维度管理漏洞的生命周期。总体逻辑类似于工单系统,功能上可以对所有漏洞管理的同时,可以利用基础数据根据自身情况定制各类的报表(比如:业务超时修复比率),用于督促业务对漏洞进行整改。

      这里简单说明一下加入“复发”这个环节的意义,实际工作中我们就遇到过明明已经修复的漏洞下一轮扫描中原封不动的再次出现的情况,这里原因很多,根本上属于业务方重视程度不够导致的,所以加上这个环节作为“明知故犯”提示。

最后说一下渗透测试,渗透测试是漏洞发现的下一阶段,通过更复杂的手段(目前以人工为主)深入系统内部,发现更深层次的安全隐患。目前大部分甲方的渗透测试工作都是通过安全服务来解决。针对安全服务的整体内容,我会专门写文章讨论,这里稍稍展开一下跟渗透相关的问题。由于渗透工作异常灵活,同时对渗透人员的知识范围要求很高。所以很难有统一的标准评价渗透测试的质量,再加上人员能力参差不齐等问题,目前很多渗透测试工作很难达到预期。我在这里提供两个思路,提前声明一下,这两种思路在项目落地上都存在一定的问题,目前在笔者所在的体系中都没能落地,所以还只是思路:

1、提供竞争机制:如果每年的渗透测试次数超过1次,可以考虑用不只一家公司提供渗透测试服务。这样的竞争机制可以提升服务商的积极性,有助于提升渗透测试的质量。

2、对渗透结果做出要求:明确什么结果才算渗透测试成功。目前我们见到的渗透测试结果很多都是对单一漏洞的利用,拿到主机权限,我们不能说这不算渗透,但肯定是不够深入的渗透。如果能明确渗透的效果(如拿到核心发布系统权限等)就可以对渗透测试的结果有一个比较明确的预期。

另外这里要说明一点,不是拿到很高威胁的权限才是成功的渗透,拿不到权限也是一种结果。这里要评估的是我们自己(或自己的服务商)拿到的结果和外部(兄弟单位、SRC等)提供的威胁之间的差距。

最后的最后再稍微展望一下,目前已经有公司利用机器学习技术配合自动化渗透的手段实现了一定程度的智能渗透,笔者认为这是个很有前景的方向。这类技术一旦成熟基本可以颠覆目前安全服务的模式,这个方面我们也在学习中,希望能在未来的文章中分享我们的学习成果。

ps.这里提出一个供讨论的话题:

如果发现一个高危漏洞,是尽快提交业务修改还是继续渗透寄希望于找到更深层次的问题?我这好像还不能评论,有想法的同志们可以留言给我,或者加我qq:64103075

郑重声明:

本站所有活动均为互联网所得,如有侵权请联系本站删除处理

随便看看

文章排行

本栏推荐

栏目更新