網站(zhàn)标題
搜索
取消
清空記錄
曆史記錄
清空記錄
曆史記錄
漏洞掃描的一(yī)些運營常識
之前有跟大家講解一(yī)些關于漏洞掃描的一(yī)些情況。這期呢(ne)主要想簡單的聊一(yī)下(xià)安全運營裡(lǐ),關于漏洞掃描的一(yī)些簡單常識。
2021-05-07 19:00:01943
之前有跟大家講解一(yī)些關于漏洞掃描的一(yī)些情況。這期呢(ne)主要想簡單的聊一(yī)下(xià)安全運營裡(lǐ),關于漏洞掃描的一(yī)些簡單常識。
漏洞掃描是信息安全工(gōng)作裡(lǐ),完成風險評估很常見(jiàn)的一(yī)種手段。就(jiù)像是醫(yī)生(shēng)用X光(guāng)來檢查一(yī)下(xià)病人的身體,是不是有毛病一(yī)樣,安全工(gōng)作者經常通(tōng)過漏洞掃描來評估目标系統是否存在漏洞,進而決策如何做下(xià)一(yī)步的安全防護。
漏洞掃描的原理是發送特定的請求,到(dào)遠(yuǎn)程服務,根據遠(yuǎn)程服務返回的行為(wèi),判斷是否存在某個(gè)具體漏洞(也有很多(duō)時候是根據返回的版本号信息來判斷)。
1、漏洞掃描有什麽影響
1.1 網絡影響
請求網絡包的頻率、數量,對網絡和應用造成影響,交換機(jī)/路(lù)由器(qì)可能(néng)因此宕機(jī),引發連鎖反應,QPS過高(gāo)可能(néng)超出服務的性能(néng)極限,導緻業(yè)務中斷;
1.2 異常處理影響
業(yè)務無法正确處理請求包裡(lǐ)的特殊輸入,引發異常宕機(jī),比如一(yī)個(gè)私有協議的服務也許隻是碰巧聽在了TCP 80端口,收到(dào)一(yī)個(gè)HTTP Get請求就(jiù)直接挂了;
1.3 日志(zhì)影響
請求公網的業(yè)務時,每一(yī)個(gè)URL的探測,都可能(néng)造成一(yī)個(gè)40x或者50x的錯(cuò)誤日志(zhì)。而業(yè)務的正常監控邏輯正是用Access Log裡(lǐ)的狀态碼來進行的。不做任何處理的話,突然40x猛增,業(yè)務的SRE和RD必然要進行響應,如果他們從(cóng)半夜、假期著(zhe)急忙慌的登錄VPN查了半天發現是安全工(gōng)程師(shī)觸發的,甚至還(hái)連帶了1.1、1.2的影響,把某業(yè)務弄出事(shì)了,這個(gè)責任一(yī)定是安全工(gōng)程師(shī)要背負的。
2、産生(shēng)了什麽問題
對于安全工(gōng)程師(shī)而言,不掃描可能(néng)意味著(zhe)無法開(kāi)展工(gōng)作了,無法得知公司風險,無從(cóng)開(kāi)展治理工(gōng)作;對于業(yè)務方而言,掃描意味著(zhe)添亂,業(yè)務不可用的風險是較大的風險;有不少同行因此背鍋黯然受傷的,也有一(yī)些強勢的同行得罪了業(yè)務的。
3、錯(cuò)在了哪兒
漏洞掃描對于業(yè)務側來說,是一(yī)種新的變化。一(yī)個(gè)變化的一(yī)次引入,有問題是必然的,沒問題才是異常的。合理的做法是遵循ITIL裡(lǐ)的“變更管理”。
變更計劃:掃描的時間、IP/URL/端口範圍、QPS、測試用例集(有DoS的測試用例選擇、有Delete/Update相(xiàng)關的資産選擇、有POST隐蔽接口的選擇)
變更風險評估:交換機(jī)路(lù)由器(qì)的流量和容量、業(yè)務的QPS、業(yè)務/網絡挂掉的較極端風險評估
變更知會(huì):業(yè)務的管理者、RD、SRE、DBA、QA甚至網絡維護方,是否知道上(shàng)述所有關鍵信息,并授權同意進行掃描(全公司強制的至少做到(dào)知會(huì))
回滾計劃:如果出了問題,怎麽很快速的停止掃描和恢複業(yè)務(有些動作要上(shàng)面的變更知情範圍的關鍵幹系人配合)
變更觀察:執行掃描的時候,大家有沒有在盯著(zhe)服務是否出錯(cuò)(以及判斷業(yè)務是否正常),以便在出問題的很快做出響應;
變更總結:灰度執行過程中總結不到(dào)位的地方,在下(xià)一(yī)次工(gōng)作中改進
嚴格的說,不按照(zhào)這些方法,上(shàng)來就(jiù)一(yī)通(tōng)猛掃的,的确是安全同行自(zì)身沒有做到(dào)足夠專業(yè)。不能(néng)怪業(yè)務側不理解不支持。
4、解決建議:公網堅決掃,内網謹慎
按網絡分類:互聯網公開(kāi)業(yè)務、内網業(yè)務
按服務類型分類:Web類、高(gāo)危服務類、私有協議類
公網Web服務,業(yè)務必須接受安全檢查,因為(wèi)我們不掃,黑(hēi)也會(huì)沒日沒夜的盯著(zhe)業(yè)務掃。與其未來無計劃的被黑(hēi)掃挂,不如有節奏的按變更計劃,逐步适應被掃描。
在遵守變更管理原則的前提下(xià),也就(jiù)是上(shàng)線稍微繁瑣痛苦一(yī)些,比如業(yè)務側需要1個(gè)月(yuè)時間修改監控邏輯(忽略掃描器(qì)觸發的錯(cuò)誤請求),需要對某些掃描觸發的異常進行兼容适配,甚至某些無人維護的業(yè)務被掃描之後改不了,隻好加白(bái)名單。這些需要磨合。磨合完畢,也就(jiù)是安全團隊可以例行周期不間斷掃描的時候,上(shàng)述問題根本就(jiù)不再是問題了。
公網高(gāo)危服務:隻識别協議,不做漏洞檢測,因為(wèi)高(gāo)危服務的端口開(kāi)放(fàng)出來就(jiù)是不可取的,直接關掉服務比較直接,檢測漏洞隻是浪費(fèi)更多(duō)的資源罷了;
公網私有協議:大多(duō)數掃描器(qì)并不能(néng)支持這些協議的漏洞檢測,隻能(néng)忽略不做掃描,當然這裡(lǐ)會(huì)存在盲點,暫時不展開(kāi);
内網服務的複雜(zá)度比上(shàng)面高(gāo)很多(duō)倍,一(yī)方面,内網你不掃,黑(hēi)進來掃的幾率沒那麽大。另一(yī)方面,大家對傳統的特權的依賴導緻内網漏洞比公網多(duō)很多(duō),也更禁不住掃,你一(yī)掃,大概率就(jiù)是會(huì)出事(shì)的。
所以,如果隻做端口掃描,确定交換機(jī)路(lù)由器(qì)還(hái)扛得住的情況下(xià)(嗯,之前遇到(dào)過老舊(jiù)的網絡設備你稍微開(kāi)一(yī)點掃描請求它直接挂掉的現象),相(xiàng)對可接受。
協議識别這一(yī)步可能(néng)觸發某些脆弱的服務挂掉,賬号爆破則可能(néng)觸發賬号封禁(繼而引發連帶的事(shì)故),而漏洞掃描風險更大。
所以,多(duō)數時候其實并不鼓勵使用網絡掃描的方式來做内網風險評估,如果agent能(néng)夠采集到(dào)版本号、配置、賬号相(xiàng)關的信息,其實也能(néng)完成風險數據的采集,不必死盯著(zhe)網絡掃描這一(yī)個(gè)手段。
可是,這樣内網豈不是很多(duō)風險了?
殘酷的事(shì)實是,是的,這是現在的絕大多(duō)數企業(yè)的現狀,非常可怕,對麽?如果某些漏洞特别情急(比如MS17-010),針對特定的端口服務,内網其實也可以遵守上(shàng)面的标準流程去掃描的,但是全量全範圍的漏洞掃描,就(jiù)很難實施了。
以上(shàng)就(jiù)是漏洞掃描的一(yī)些運營常識,大家可以參考一(yī)下(xià),想要了解更多(duō),歡迎關注本網站(zhàn)或者緻電(diàn)上海通燎網絡科技有限公司了解更多(duō)小(xiǎo)知識。
漏洞掃描是信息安全工(gōng)作裡(lǐ),完成風險評估很常見(jiàn)的一(yī)種手段。就(jiù)像是醫(yī)生(shēng)用X光(guāng)來檢查一(yī)下(xià)病人的身體,是不是有毛病一(yī)樣,安全工(gōng)作者經常通(tōng)過漏洞掃描來評估目标系統是否存在漏洞,進而決策如何做下(xià)一(yī)步的安全防護。
漏洞掃描的原理是發送特定的請求,到(dào)遠(yuǎn)程服務,根據遠(yuǎn)程服務返回的行為(wèi),判斷是否存在某個(gè)具體漏洞(也有很多(duō)時候是根據返回的版本号信息來判斷)。
1、漏洞掃描有什麽影響
1.1 網絡影響
請求網絡包的頻率、數量,對網絡和應用造成影響,交換機(jī)/路(lù)由器(qì)可能(néng)因此宕機(jī),引發連鎖反應,QPS過高(gāo)可能(néng)超出服務的性能(néng)極限,導緻業(yè)務中斷;
1.2 異常處理影響
業(yè)務無法正确處理請求包裡(lǐ)的特殊輸入,引發異常宕機(jī),比如一(yī)個(gè)私有協議的服務也許隻是碰巧聽在了TCP 80端口,收到(dào)一(yī)個(gè)HTTP Get請求就(jiù)直接挂了;
1.3 日志(zhì)影響
請求公網的業(yè)務時,每一(yī)個(gè)URL的探測,都可能(néng)造成一(yī)個(gè)40x或者50x的錯(cuò)誤日志(zhì)。而業(yè)務的正常監控邏輯正是用Access Log裡(lǐ)的狀态碼來進行的。不做任何處理的話,突然40x猛增,業(yè)務的SRE和RD必然要進行響應,如果他們從(cóng)半夜、假期著(zhe)急忙慌的登錄VPN查了半天發現是安全工(gōng)程師(shī)觸發的,甚至還(hái)連帶了1.1、1.2的影響,把某業(yè)務弄出事(shì)了,這個(gè)責任一(yī)定是安全工(gōng)程師(shī)要背負的。
2、産生(shēng)了什麽問題
對于安全工(gōng)程師(shī)而言,不掃描可能(néng)意味著(zhe)無法開(kāi)展工(gōng)作了,無法得知公司風險,無從(cóng)開(kāi)展治理工(gōng)作;對于業(yè)務方而言,掃描意味著(zhe)添亂,業(yè)務不可用的風險是較大的風險;有不少同行因此背鍋黯然受傷的,也有一(yī)些強勢的同行得罪了業(yè)務的。
3、錯(cuò)在了哪兒
漏洞掃描對于業(yè)務側來說,是一(yī)種新的變化。一(yī)個(gè)變化的一(yī)次引入,有問題是必然的,沒問題才是異常的。合理的做法是遵循ITIL裡(lǐ)的“變更管理”。
變更計劃:掃描的時間、IP/URL/端口範圍、QPS、測試用例集(有DoS的測試用例選擇、有Delete/Update相(xiàng)關的資産選擇、有POST隐蔽接口的選擇)
變更風險評估:交換機(jī)路(lù)由器(qì)的流量和容量、業(yè)務的QPS、業(yè)務/網絡挂掉的較極端風險評估
變更知會(huì):業(yè)務的管理者、RD、SRE、DBA、QA甚至網絡維護方,是否知道上(shàng)述所有關鍵信息,并授權同意進行掃描(全公司強制的至少做到(dào)知會(huì))
回滾計劃:如果出了問題,怎麽很快速的停止掃描和恢複業(yè)務(有些動作要上(shàng)面的變更知情範圍的關鍵幹系人配合)
變更觀察:執行掃描的時候,大家有沒有在盯著(zhe)服務是否出錯(cuò)(以及判斷業(yè)務是否正常),以便在出問題的很快做出響應;
變更總結:灰度執行過程中總結不到(dào)位的地方,在下(xià)一(yī)次工(gōng)作中改進
嚴格的說,不按照(zhào)這些方法,上(shàng)來就(jiù)一(yī)通(tōng)猛掃的,的确是安全同行自(zì)身沒有做到(dào)足夠專業(yè)。不能(néng)怪業(yè)務側不理解不支持。
4、解決建議:公網堅決掃,内網謹慎
按網絡分類:互聯網公開(kāi)業(yè)務、内網業(yè)務
按服務類型分類:Web類、高(gāo)危服務類、私有協議類
公網Web服務,業(yè)務必須接受安全檢查,因為(wèi)我們不掃,黑(hēi)也會(huì)沒日沒夜的盯著(zhe)業(yè)務掃。與其未來無計劃的被黑(hēi)掃挂,不如有節奏的按變更計劃,逐步适應被掃描。
在遵守變更管理原則的前提下(xià),也就(jiù)是上(shàng)線稍微繁瑣痛苦一(yī)些,比如業(yè)務側需要1個(gè)月(yuè)時間修改監控邏輯(忽略掃描器(qì)觸發的錯(cuò)誤請求),需要對某些掃描觸發的異常進行兼容适配,甚至某些無人維護的業(yè)務被掃描之後改不了,隻好加白(bái)名單。這些需要磨合。磨合完畢,也就(jiù)是安全團隊可以例行周期不間斷掃描的時候,上(shàng)述問題根本就(jiù)不再是問題了。
公網高(gāo)危服務:隻識别協議,不做漏洞檢測,因為(wèi)高(gāo)危服務的端口開(kāi)放(fàng)出來就(jiù)是不可取的,直接關掉服務比較直接,檢測漏洞隻是浪費(fèi)更多(duō)的資源罷了;
公網私有協議:大多(duō)數掃描器(qì)并不能(néng)支持這些協議的漏洞檢測,隻能(néng)忽略不做掃描,當然這裡(lǐ)會(huì)存在盲點,暫時不展開(kāi);
内網服務的複雜(zá)度比上(shàng)面高(gāo)很多(duō)倍,一(yī)方面,内網你不掃,黑(hēi)進來掃的幾率沒那麽大。另一(yī)方面,大家對傳統的特權的依賴導緻内網漏洞比公網多(duō)很多(duō),也更禁不住掃,你一(yī)掃,大概率就(jiù)是會(huì)出事(shì)的。
所以,如果隻做端口掃描,确定交換機(jī)路(lù)由器(qì)還(hái)扛得住的情況下(xià)(嗯,之前遇到(dào)過老舊(jiù)的網絡設備你稍微開(kāi)一(yī)點掃描請求它直接挂掉的現象),相(xiàng)對可接受。
協議識别這一(yī)步可能(néng)觸發某些脆弱的服務挂掉,賬号爆破則可能(néng)觸發賬号封禁(繼而引發連帶的事(shì)故),而漏洞掃描風險更大。
所以,多(duō)數時候其實并不鼓勵使用網絡掃描的方式來做内網風險評估,如果agent能(néng)夠采集到(dào)版本号、配置、賬号相(xiàng)關的信息,其實也能(néng)完成風險數據的采集,不必死盯著(zhe)網絡掃描這一(yī)個(gè)手段。
可是,這樣内網豈不是很多(duō)風險了?
殘酷的事(shì)實是,是的,這是現在的絕大多(duō)數企業(yè)的現狀,非常可怕,對麽?如果某些漏洞特别情急(比如MS17-010),針對特定的端口服務,内網其實也可以遵守上(shàng)面的标準流程去掃描的,但是全量全範圍的漏洞掃描,就(jiù)很難實施了。
以上(shàng)就(jiù)是漏洞掃描的一(yī)些運營常識,大家可以參考一(yī)下(xià),想要了解更多(duō),歡迎關注本網站(zhàn)或者緻電(diàn)上海通燎網絡科技有限公司了解更多(duō)小(xiǎo)知識。
浏覽器(qì)自(zì)帶分享功能(néng)也很好用哦~相(xiàng)關新聞
賦能(néng)企業(yè)信息安全 Empower your IT security
版權所有 © 上海通燎網絡科技有限公司
選擇區号