安全评估与加固中遇到的问题与思考-创新互联

掐指一算,以乙方的角色做了一年有多的安全评估工作了,在与客户、加固人员交流的过程中遇到了不少问题,也思考了应该怎么去改进,本文写写一些想法,欢迎批评指正。

创新互联公司2013年至今,先为台儿等服务建站,台儿等地企业,进行企业商务咨询服务。为台儿企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。

面临的问题:

  1.客户和加固人员认为:安全评估不就是拿个扫描器扫一扫、然后丢出一个报表嘛,谁不会;

  2.内网扫描报告,往往有让人望而却步的高、中、低危漏洞千百个,你让客户情何以堪,你让加固人员怎么活命;

  3.评估人员、加固人员、客户由于“道行”不同,或者“立场”不同,导致对漏洞的理解各不相同,扯皮时有发生;

  4.扫描报告中的高、中、低危险标识,不和资产价值、业务系统重要程度挂钩,导致加固没有次重点,多次加固评估无法体现风险的消减程度;

希望做到:

  1.区别对待千百个高、中、低危险漏洞,可以做撒网式扫描,不能做撒网式加固;

  2.尝试以更加专业的角度面对客户和加固人员,对扫描结果进一步深加工处理;

  3.把漏洞和资产价值,业务系统挂钩,区别的对待安全漏洞让加固工作更具可操作性;

下面提供一些深加工扫描报告的思路

1.漏洞分类:

  操作系统漏洞:微软的,Unix的,Linux的,Solaris的等

  业务软件漏洞:oracle,weblogic,struts2,PHP等

  网络和安全设备漏洞:cisco,h4c,华为等

  辅助程序漏洞:ftp,office,ie,openssh等

2.漏洞利用难易程度

  直接利用成功率高:

    弱口令

    MS08-067,Struts

  间接利用成功率高:

 IE漏洞—需要制造***网页,引诱用户点击

 office漏洞—需要发送病毒文档,通过打开病毒文档***

 (存在运气成分,而且基本只能在PC终端才会中招)

  成功率很低的漏洞:

 一些溢出漏洞(和用户环境、版本、语言等相关性高)

 偏门的程序漏洞(没有现成的exp,需要代码级的能力)

3.漏洞真实性、准确性

  了解扫描器的扫描原理有助于我们对漏洞的把握,及时排除误报漏洞。

    精确扫描:本次为精确扫描,极少出现误报。

    原理扫描:本次扫描根据原理进行,可能存在误报。

    版本扫描:本次扫描根据版本进行,可能存在误报。

    暴力破解:本次扫描通过暴力猜测方式证实目标主机上的XX服务存在可猜测的口令。

4.加固思路

  加固最好有计划、有步骤进行,加固顺序参考业务系统重要程度。

  优先加固利用成本低成功率高的漏洞(弱口令等)。。。。

    操作系统漏洞:强烈建议安装修复

    业务软件漏洞:需要评估对业务系统的影响

    网络和安全设备漏洞:较少

    辅助程序漏洞:特别关注辅助程序是否需要用,是否有可替代的程序。特别关注一些默认安装带来的不必要漏洞。

5.更进一步,我们可能应该学习和关注的

  业务漏洞

  逻辑漏洞

  物理漏洞等等扫描器扫不出来,但是影响很大的漏洞

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


文章标题:安全评估与加固中遇到的问题与思考-创新互联
当前网址:http://hbruida.cn/article/hgjhg.html