设为首页 - 加入收藏 武汉站长网 (http://www.027zz.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 什么 系统 手机 区块
当前位置: 首页 > 云计算 > 正文

青藤云安全:漏洞管理新说

发布时间:2019-09-29 20:12 所属栏目:[云计算] 来源:云头条
导读:副标题#e# 漏洞管理(Vulnerability Management)是一个老生常谈的概念,也是信息安全领域最为人熟知的概念。漏洞管理不等于漏洞扫描,漏洞扫描充其量只是过程中的一个步骤。大家经常会把漏洞管理和补丁管理(Patch Management)混为一谈,两者区别也在这里说下

漏洞管理(Vulnerability Management)是一个老生常谈的概念,也是信息安全领域最为人熟知的概念。漏洞管理不等于漏洞扫描,漏洞扫描充其量只是过程中的一个步骤。大家经常会把漏洞管理和补丁管理(Patch Management)混为一谈,两者区别也在这里说下,补丁管理是指更新软件、操作系统和应用的一个过程,补丁通常包括功能类、性能类和安全类补丁。把漏洞管理和补丁管理放在一起,基本有一定的衔接关系,在存在漏洞的时候,需要打补丁来进行修复。但是有时候的漏洞短时间内并没有补丁,比如0Day,或者是放弃维护的软件、系统以及应用,比如Windows XP。漏洞有时候就算发现了,也会因为业务问题而无法打补丁,要通过其他的方式降低影响,比如安全流量设备的虚拟补丁。

将企业的漏洞管理计划与安全框架或标准进行对照,如 Center for Internet Security (CIS, 互联网安全中心) Controls,将有助于揭示有差距以及潜在的改进领域。目前CIS Controls的版本是V7.1发布时间是2019年4月。CIS控制是一系列有优先级的纵深防御行为,可以降低大部分常见的攻击方式。CIS控制一共分为三个大的部分,初级、基础级、组织级。每个级别是递进关系,每个级别里面表明了相应的安全手段。如下图所示,这里看到持续的漏洞检测是作为初级能力中的第三项出现,也是在安全能力要求比较低的情况下就需要做出的表现。

青藤云安全:漏洞管理新说

青藤云安全:漏洞管理新说

关于持续漏洞管理的细分要求

上图中共展示了七个要求:3.1 运行自动化扫描工具主要讲的是非认证式扫描,指外部通过网络指纹方式的扫描;3.2 运行认证的扫描,主要指登录到相应的设备进行扫描;3.3 设定专用账号,这个是扫描的方式要求,这样可以一方面方便扫描,另一方面可以降低误报;3.4部署系统的自动化补丁管理工具,是针对于系统的漏洞进行修复;3.5部署软件的自动化补丁管理工具,这是针对于软件的漏洞进行修复;3.6 进行背靠背的漏洞扫描,是为了验证漏洞是否补丁成功的验证性扫描;3.7 采用风险评级流程,是一种按照风险来对漏洞进行评估的方式。以上七个要求只是说明了应该做到的方面,但并不代表漏洞管理流程,下一章将对漏洞管理流程进行解析。

漏洞管理流程

漏洞管理流程一般情况下分为四个步骤:漏洞识别、漏洞评估、漏洞处理、漏洞报告。

漏洞识别是我们通常意义下的漏洞扫描,也是漏洞管理的第一步。根据现有资产的情况,目前可分为笔记本、PC、服务器、新万博app新万博app_西甲联赛预测 万博app_万博体育app 登陆不进去库、防火墙、交换机、路由器、打印机等。漏洞扫描进行全部资产的扫描发现已知的漏洞。后面会详细介绍漏洞识别的相关原理。

漏洞评估是在漏洞识别的基础上进行漏洞严重性的评估,这一步非常重要会影响到后面的处理步骤。比较常见的漏洞评估是使用CVSS评分法,根据CVSS的分数可以分为危急、高危、中危和低危。但是这种评估方法被业界诟病太多,需要结合其他的方式来进行评估。做法会更进一步结合资产的重要性来评估漏洞影响,更好的方式是结合风险和威胁评估。后文也会重点说明这种方式。

漏洞处理是在漏洞评估的基础上进行相关的修复、降低影响或者不修复的操作。修复动作不是简单的打补丁,是一个流程上的东西。修复过程通常包括以下几个步骤:

1. 获取厂商的补丁;

2. 分析补丁的依赖和系统的兼容性以及补丁的影响;

3. 建立回滚计划,防止补丁对业务造成未知影响;

4. 在测试环境测试补丁修复情况;

5. 在部分生产环境测试补丁修复情况;

6. 进行灰度上线补丁计划,乃至全量补丁修复;

7. 分析补丁修复后的系统稳定并监控;

8. 进行验证补丁是否修复成功,漏洞是否依然存在。

对于很多无法直接根除漏洞进行补丁修复的情况,比如0Day,不在支持范围的系统或者软件,业务需求无法中断,补丁速度滞后等情况。我们要采取降低漏洞影响的操作,如下图所示:

青藤云安全:漏洞管理新说

通常关于漏洞减轻的措施三个大的方面:网络、终端、应用和新万博app新万博app_西甲联赛预测 万博app_万博体育app 登陆不进去,细分可包括:

1. 隔离系统网络,包括防火墙规则和网络区域划分;

2. 网络访问控制;

3. NIPS、WAF、SW、DAP、RASP等软件或者设备签名规则更新;

4. HIPS终端类安全产品进行阻断;

5. EPP类安全产品类似白名单机制、系统加固等;

6. 阻断有漏洞软件的网络连接;

7. 主机防火墙进行端口阻断。

漏洞报告是漏洞管理的最后一个步骤,也是最终的一个产出物。这个报告的目的是为了总结每一次漏洞管理的成果以及记述过程,存档后也可以对下一次的漏洞管理行为做参考。依照报告的涉及深度可以由浅至深分为:合规报告、修复过程报告、基于风险报告、重点漏洞分析报告、趋势和指标报告、持续改进报告。合规的报告比如PCI-DSS类型的报告,仅仅为了合规的需求。报告本身其实能够说明每一次管理过程的成果,以及每次评估方法的多样性以及合理性。

综上所诉,漏洞管理的成熟度,可以参看下表:

青藤云安全:漏洞管理新说

漏洞识别原理

漏洞识别一般是通过漏洞扫描器实现的,识别漏洞的形式无外乎有四种:非认证式扫描、认证式扫描、API扫描、被动流量扫描。前两种是最普遍的方式。非认证方式扫描,也叫网络扫描方式(Network Scanning),基本原理就是发送Request包,根据Response包的banner或者回复的报文来判断是否有漏洞,这种分析Response包内容的主要逻辑是版本比对或者根据PoC验证漏洞的一些详情来判断。认证式扫描也叫主机扫描方式(Agent Based Scanning),这种方式可以弥补网络方式的很多误报或者漏报的情况,扫描结果更准,但是会要求开发登录接口,需要在主机进行扫描。拿Nessus举例,基本就是下发一个脚本执行引擎和NASL脚本进行执行,在主机保存相关新万博app新万博app_西甲联赛预测 万博app_万博体育app 登陆不进去然后上报服务端,最后清理工作现场。API扫描与接近于应用扫描方式,这里不做深入分析,跟之前写的一篇文章中DAST相关。被动式流量扫描比主动式的流量扫描从带宽IO上没有任何影响,但是需要对所有请求和返回包进行分析,效果来说最差,因为某些应用如果没有请求过就无法被动地获取相关流量新万博app新万博app_西甲联赛预测 万博app_万博体育app 登陆不进去进行分析。

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章