之前有跟大家講解一些關(guān)于漏洞掃描的一些情況。這期呢主要想簡單的聊一下安全運(yùn)營里,關(guān)于漏洞掃描的一些簡單常識。
漏洞掃描是信息安全工作里,完成風(fēng)險評估很常見的一種手段。就像是醫(yī)生用X光來檢查一下病人的身體,是不是有毛病一樣,安全工作者經(jīng)常通過漏洞掃描來評估目標(biāo)系統(tǒng)是否存在漏洞,進(jìn)而決策如何做下一步的安全防護(hù)。
漏洞掃描的原理是發(fā)送特定的請求,到遠(yuǎn)程服務(wù),根據(jù)遠(yuǎn)程服務(wù)返回的行為,判斷是否存在某個具體漏洞(也有很多時候是根據(jù)返回的版本號信息來判斷)。
1、漏洞掃描有什么影響
1.1 網(wǎng)絡(luò)影響
請求網(wǎng)絡(luò)包的頻率、數(shù)量,對網(wǎng)絡(luò)和應(yīng)用造成影響,交換機(jī)/路由器可能因此宕機(jī),引發(fā)連鎖反應(yīng),QPS過高可能超出服務(wù)的性能極限,導(dǎo)致業(yè)務(wù)中斷;
1.2 異常處理影響
業(yè)務(wù)無法正確處理請求包里的特殊輸入,引發(fā)異常宕機(jī),比如一個私有協(xié)議的服務(wù)也許只是碰巧聽在了TCP 80端口,收到一個HTTP Get請求就直接掛了;
1.3 日志影響
請求公網(wǎng)的業(yè)務(wù)時,每一個URL的探測,都可能造成一個40x或者50x的錯誤日志。而業(yè)務(wù)的正常監(jiān)控邏輯正是用Access Log里的狀態(tài)碼來進(jìn)行的。不做任何處理的話,突然40x猛增,業(yè)務(wù)的SRE和RD必然要進(jìn)行響應(yīng),如果他們從半夜、假期著急忙慌的登錄VPN查了半天發(fā)現(xiàn)是安全工程師觸發(fā)的,甚至還連帶了1.1、1.2的影響,把某業(yè)務(wù)弄出事了,這個責(zé)任一定是安全工程師要背負(fù)的。
2、產(chǎn)生了什么問題
對于安全工程師而言,不掃描可能意味著無法開展工作了,無法得知公司風(fēng)險,無從開展治理工作;對于業(yè)務(wù)方而言,掃描意味著添亂,業(yè)務(wù)不可用的風(fēng)險是較大的風(fēng)險;有不少同行因此背鍋黯然受傷的,也有一些強(qiáng)勢的同行得罪了業(yè)務(wù)的。
3、錯在了哪兒
漏洞掃描對于業(yè)務(wù)側(cè)來說,是一種新的變化。一個變化的一次引入,有問題是必然的,沒問題才是異常的。合理的做法是遵循ITIL里的“變更管理”。
變更計(jì)劃:掃描的時間、IP/URL/端口范圍、QPS、測試用例集(有DoS的測試用例選擇、有Delete/Update相關(guān)的資產(chǎn)選擇、有POST隱蔽接口的選擇)
變更風(fēng)險評估:交換機(jī)路由器的流量和容量、業(yè)務(wù)的QPS、業(yè)務(wù)/網(wǎng)絡(luò)掛掉的較極端風(fēng)險評估
變更知會:業(yè)務(wù)的管理者、RD、SRE、DBA、QA甚至網(wǎng)絡(luò)維護(hù)方,是否知道上述所有關(guān)鍵信息,并授權(quán)同意進(jìn)行掃描(全公司強(qiáng)制的至少做到知會)
回滾計(jì)劃:如果出了問題,怎么很快速的停止掃描和恢復(fù)業(yè)務(wù)(有些動作要上面的變更知情范圍的關(guān)鍵干系人配合)
變更觀察:執(zhí)行掃描的時候,大家有沒有在盯著服務(wù)是否出錯(以及判斷業(yè)務(wù)是否正常),以便在出問題的很快做出響應(yīng);
變更總結(jié):灰度執(zhí)行過程中總結(jié)不到位的地方,在下一次工作中改進(jìn)
嚴(yán)格的說,不按照這些方法,上來就一通猛掃的,的確是安全同行自身沒有做到足夠?qū)I(yè)。不能怪業(yè)務(wù)側(cè)不理解不支持。
4、解決建議:公網(wǎng)堅(jiān)決掃,內(nèi)網(wǎng)謹(jǐn)慎
按網(wǎng)絡(luò)分類:互聯(lián)網(wǎng)公開業(yè)務(wù)、內(nèi)網(wǎng)業(yè)務(wù)
按服務(wù)類型分類:Web類、高危服務(wù)類、私有協(xié)議類
公網(wǎng)Web服務(wù),業(yè)務(wù)必須接受安全檢查,因?yàn)槲覀儾粧?,黑也會沒日沒夜的盯著業(yè)務(wù)掃。與其未來無計(jì)劃的被黑掃掛,不如有節(jié)奏的按變更計(jì)劃,逐步適應(yīng)被掃描。
在遵守變更管理原則的前提下,也就是上線稍微繁瑣痛苦一些,比如業(yè)務(wù)側(cè)需要1個月時間修改監(jiān)控邏輯(忽略掃描器觸發(fā)的錯誤請求),需要對某些掃描觸發(fā)的異常進(jìn)行兼容適配,甚至某些無人維護(hù)的業(yè)務(wù)被掃描之后改不了,只好加白名單。這些需要磨合。磨合完畢,也就是安全團(tuán)隊(duì)可以例行周期不間斷掃描的時候,上述問題根本就不再是問題了。
公網(wǎng)高危服務(wù):只識別協(xié)議,不做漏洞檢測,因?yàn)楦呶7?wù)的端口開放出來就是不可取的,直接關(guān)掉服務(wù)比較直接,檢測漏洞只是浪費(fèi)更多的資源罷了;
公網(wǎng)私有協(xié)議:大多數(shù)掃描器并不能支持這些協(xié)議的漏洞檢測,只能忽略不做掃描,當(dāng)然這里會存在盲點(diǎn),暫時不展開;
內(nèi)網(wǎng)服務(wù)的復(fù)雜度比上面高很多倍,一方面,內(nèi)網(wǎng)你不掃,黑進(jìn)來掃的幾率沒那么大。另一方面,大家對傳統(tǒng)的特權(quán)的依賴導(dǎo)致內(nèi)網(wǎng)漏洞比公網(wǎng)多很多,也更禁不住掃,你一掃,大概率就是會出事的。
所以,如果只做端口掃描,確定交換機(jī)路由器還扛得住的情況下(嗯,之前遇到過老舊的網(wǎng)絡(luò)設(shè)備你稍微開一點(diǎn)掃描請求它直接掛掉的現(xiàn)象),相對可接受。
協(xié)議識別這一步可能觸發(fā)某些脆弱的服務(wù)掛掉,賬號爆破則可能觸發(fā)賬號封禁(繼而引發(fā)連帶的事故),而漏洞掃描風(fēng)險更大。
所以,多數(shù)時候其實(shí)并不鼓勵使用網(wǎng)絡(luò)掃描的方式來做內(nèi)網(wǎng)風(fēng)險評估,如果agent能夠采集到版本號、配置、賬號相關(guān)的信息,其實(shí)也能完成風(fēng)險數(shù)據(jù)的采集,不必死盯著網(wǎng)絡(luò)掃描這一個手段。
可是,這樣內(nèi)網(wǎng)豈不是很多風(fēng)險了?
殘酷的事實(shí)是,是的,這是現(xiàn)在的絕大多數(shù)企業(yè)的現(xiàn)狀,非??膳拢瑢γ??如果某些漏洞特別情急(比如MS17-010),針對特定的端口服務(wù),內(nèi)網(wǎng)其實(shí)也可以遵守上面的標(biāo)準(zhǔn)流程去掃描的,但是全量全范圍的漏洞掃描,就很難實(shí)施了。
以上就是漏洞掃描的一些運(yùn)營常識,大家可以參考一下,想要了解更多,歡迎關(guān)注本網(wǎng)站或者致電上海觀初網(wǎng)絡(luò)科技有限公司了解更多小知識。