之前有跟大家講解一(yī)些關于漏洞掃描的(de)一(yī)些情況。這期呢(ne)主要想簡單的(de)聊一(yī)下安全運營裏,關于漏洞掃描的(de)一(yī)些簡單常識。
漏洞掃描是信息安全工作裏,完成風險評估很常見的(de)一(yī)種手段。就像是醫生用X光來檢查一(yī)下病人的(de)身體,是不是有毛病一(yī)樣,安全工作者經常通過漏洞掃描來評估目标系統是否存在漏洞,進而決策如(rú)何做(zuò)下一(yī)步的(de)安全防護。
漏洞掃描的(de)原理(lǐ)是發送特定的(de)請求,到遠程服務,根據遠程服務返回的(de)行為(wèi),判斷是否存在某個具體漏洞(也有很多時候是根據返回的(de)版本号信息來判斷)。
1、漏洞掃描有什麽影響
1.1 網絡影響
請求網絡包的(de)頻率、數量,對網絡和(hé)應用造成影響,交換機/路由器可(kě)能因此宕機,引發連鎖反應,QPS過高(gāo)可(kě)能超出服務的(de)性能極限,導緻業務中斷;
1.2 異常處理(lǐ)影響
業務無法正确處理(lǐ)請求包裏的(de)特殊輸入,引發異常宕機,比如(rú)一(yī)個私有協議的(de)服務也許隻是碰巧聽在了TCP 80端口,收到一(yī)個HTTP Get請求就直接挂了;
1.3 日志影響
請求公網的(de)業務時,每一(yī)個URL的(de)探測,都可(kě)能造成一(yī)個40x或者50x的(de)錯誤日志。而業務的(de)正常監控邏輯正是用Access Log裏的(de)狀态碼來進行的(de)。不做(zuò)任何處理(lǐ)的(de)話,突然40x猛增,業務的(de)SRE和(hé)RD必然要進行響應,如(rú)果他們從半夜、假期着急忙慌的(de)登錄VPN查了半天發現是安全工程師觸發的(de),甚至還連帶了1.1、1.2的(de)影響,把某業務弄出事了,這個責任一(yī)定是安全工程師要背負的(de)。
2、産生了什麽問題
對于安全工程師而言,不掃描可(kě)能意味着無法開展工作了,無法得知公司風險,無從開展治理(lǐ)工作;對于業務方而言,掃描意味着添亂,業務不可(kě)用的(de)風險是較大的(de)風險;有不少同行因此背鍋黯然受傷的(de),也有一(yī)些強勢的(de)同行得罪了業務的(de)。
3、錯在了哪兒
漏洞掃描對于業務側來說,是一(yī)種新的(de)變化。一(yī)個變化的(de)一(yī)次引入,有問題是必然的(de),沒問題才是異常的(de)。合理(lǐ)的(de)做(zuò)法是遵循ITIL裏的(de)“變更管理(lǐ)”。
變更計劃:掃描的(de)時間、IP/URL/端口範圍、QPS、測試用例集(有DoS的(de)測試用例選擇、有Delete/Update相關的(de)資産選擇、有POST隐蔽接口的(de)選擇)
變更風險評估:交換機路由器的(de)流量和(hé)容量、業務的(de)QPS、業務/網絡挂掉的(de)較極端風險評估
變更知會:業務的(de)管理(lǐ)者、RD、SRE、DBA、QA甚至網絡維護方,是否知道(dào)上述所有關鍵信息,并授權同意進行掃描(全公司強制的(de)至少做(zuò)到知會)
回滾計劃:如(rú)果出了問題,怎麽很快速的(de)停止掃描和(hé)恢複業務(有些動作要上面的(de)變更知情範圍的(de)關鍵幹系人配合)
變更觀察:執行掃描的(de)時候,大家有沒有在盯着服務是否出錯(以及判斷業務是否正常),以便在出問題的(de)很快做(zuò)出響應;
變更總結:灰度執行過程中總結不到位的(de)地(dì)方,在下一(yī)次工作中改進
嚴格的(de)說,不按照這些方法,上來就一(yī)通猛掃的(de),的(de)确是安全同行自(zì)身沒有做(zuò)到足夠專業。不能怪業務側不理(lǐ)解不支持。
4、解決建議:公網堅決掃,內(nèi)網謹慎
按網絡分類:互聯網公開業務、內(nèi)網業務
按服務類型分類:Web類、高(gāo)危服務類、私有協議類
公網Web服務,業務必須接受安全檢查,因為(wèi)我們不掃,黑也會沒日沒夜的(de)盯着業務掃。與其未來無計劃的(de)被黑掃挂,不如(rú)有節奏的(de)按變更計劃,逐步适應被掃描。
在遵守變更管理(lǐ)原則的(de)前提下,也就是上線稍微繁瑣痛苦一(yī)些,比如(rú)業務側需要1個月時間修改監控邏輯(忽略掃描器觸發的(de)錯誤請求),需要對某些掃描觸發的(de)異常進行兼容适配,甚至某些無人維護的(de)業務被掃描之後改不了,隻好加白名單。這些需要磨合。磨合完畢,也就是安全團隊可(kě)以例行周期不間斷掃描的(de)時候,上述問題根本就不再是問題了。
公網高(gāo)危服務:隻識别協議,不做(zuò)漏洞檢測,因為(wèi)高(gāo)危服務的(de)端口開放出來就是不可(kě)取的(de),直接關掉服務比較直接,檢測漏洞隻是浪費更多的(de)資源罷了;
公網私有協議:大多數掃描器并不能支持這些協議的(de)漏洞檢測,隻能忽略不做(zuò)掃描,當然這裏會存在盲點,暫時不展開;
內(nèi)網服務的(de)複雜度比上面高(gāo)很多倍,一(yī)方面,內(nèi)網你不掃,黑進來掃的(de)幾率沒那麽大。另一(yī)方面,大家對傳統的(de)特權的(de)依賴導緻內(nèi)網漏洞比公網多很多,也更禁不住掃,你一(yī)掃,大概率就是會出事的(de)。
所以,如(rú)果隻做(zuò)端口掃描,确定交換機路由器還扛得住的(de)情況下(嗯,之前遇到過老舊(jiù)的(de)網絡設備你稍微開一(yī)點掃描請求它直接挂掉的(de)現象),相對可(kě)接受。
協議識别這一(yī)步可(kě)能觸發某些脆弱的(de)服務挂掉,賬号爆破則可(kě)能觸發賬号封禁(繼而引發連帶的(de)事故),而漏洞掃描風險更大。
所以,多數時候其實并不鼓勵使用網絡掃描的(de)方式來做(zuò)內(nèi)網風險評估,如(rú)果agent能夠采集到版本号、配置、賬号相關的(de)信息,其實也能完成風險數據的(de)采集,不必死盯着網絡掃描這一(yī)個手段。
可(kě)是,這樣內(nèi)網豈不是很多風險了?
殘酷的(de)事實是,是的(de),這是現在的(de)絕大多數企業的(de)現狀,非常可(kě)怕,對麽?如(rú)果某些漏洞特别情急(比如(rú)MS17-010),針對特定的(de)端口服務,內(nèi)網其實也可(kě)以遵守上面的(de)标準流程去(qù)掃描的(de),但是全量全範圍的(de)漏洞掃描,就很難實施了。
以上就是漏洞掃描的(de)一(yī)些運營常識,大家可(kě)以參考一(yī)下,想要了解更多,歡迎關注本網站或者緻電上海知上網絡科技有限公司了解更多小知識。