1.3. 漏洞评估
只要有时间、资源和动机,攻击者几乎可以侵入任何系统。当前提供的所有安全流程和技术都无法保证所有系统完全安全,不受入侵。路由器有助于保护通往互联网的网关。防火墙有助于保护网络边缘。虚拟专用网络以加密流的方式安全地传输数据。入侵检测系统对恶意活动发出警告。然而,每项技术的成功取决于许多变量,包括:
- 负责配置、监控和维护技术的人员的专业技能.
- 能够快速高效地修补和更新服务及内核的能力。
- 负责人员对网络时刻保持警觉的能力。
考虑到数据系统和技术的动态状态,保护企业资源可能非常复杂。由于这种复杂性,通常很难为所有系统找到专家资源。虽然有可能拥有在许多信息安全领域具有高水平知识的人员,但很难留住在多个主题领域都是专家的人员。这主要是因为信息安全的每个主题领域都需要持续关注和专注。信息安全不会停滞不前。
漏洞评估是对网络和系统安全性的内部审计;其结果表示网络的机密性、完整性和可用性(如 第 1.1.1 节 “标准化安全”中所述)。通常,漏洞评估从勘察阶段开始,在此期间收集有关目标系统和资源的重要数据。此阶段将进入系统就绪阶段,在此阶段,将对目标进行所有已知漏洞的基本检查。准备阶段在报告阶段达到顶峰,在此阶段,调查结果被分为高、中、低风险类别;并讨论了提高目标安全性(或降低漏洞风险)的方法。
如果您要对您的家进行漏洞评估,您可能会检查您家的每一扇门,看看它们是否关闭和上锁了。您还要检查每个窗口,确保它们完全关闭并插好插销了。同样的概念也适用于系统、网络和电子数据。恶意用户是您数据的窃贼和破坏者。然后,您可以专注于自己的工具、精力和措施来应对恶意用户。
1.3.1. 定义评估和测试
漏洞调查可分为两种类型:outside looking in 和 inside looking around。
当进行外部漏洞评估时,您会试图从外部破坏您的系统。站在公司的外部,为您提供破解者的观点。您会看到攻击者可以看到的内容 - 可公开路由的 IP 地址、您的 DMZ 系统、防火墙的外部接口等等。DMZ 代表"非军事区",对应一个计算机或小子网络,该网络位于可信内部网络(如公司专用 LAN)与不可信外部网络(如公共互联网)之间。通常,DMZ 包含可供互联网流量访问的设备,如 Web (HTTP)服务器、FTP 服务器、SMTP (电子邮件)服务器和 DNS 服务器。
当您进行内部漏洞评估时,您处于优势地位,因为您是内部的,而且您的状态被提升到可信。这是您和您的同事登录系统后的观点。您会看到打印服务器、文件服务器、数据库和其他资源。
这两种类型的漏洞评估会有分大区别。作为内部公司,为您提供比外部更多的特权。在大多数机构中,安全性被配置为把入侵者挡在外部。在保护组织内部(如部门防火墙、用户级访问控制和内部资源的身份验证流程)方面所做的工作很少。通常,由于大多数系统都是公司内部的,所以在公司内部有更多的资源。一旦您位于公司以外,您的状态就不被信任。外部可用的系统和资源通常非常有限。
漏洞评估和渗透测试之间是有区别的。可将漏洞评估作为入渗透试的第一步。从评估中获得的信息用于测试。虽然评估是为了检查漏洞及潜在的漏洞,但渗透测试实际上试图利用这些发现。
设计网络基础结构是一个动态过程。安全性信息和物理安全是动态的。执行评估会显示一个概述,它可能会报告假的正状态和假的负状态。假的正状态代表,攻击发现安全漏洞,但这些漏洞实际并不存在。假的负状态代表,没有发现存在的安全漏洞。
安全管理员的所起到的效果取决于使用的工具及自己所具有的知识。使用目前任何一个评估工具对您的系统运行,几乎可以保证会有一些假的正状态。无论是因为程序错误还是用户错误,其结果都是相同的。工具可能会发现假的正状态,但更严重的是假的负状态。
现在,已定义了漏洞评估与中路测试之间的差异,请仔细检查评估结果,然后先仔细检查插入性测试,作为您最新最佳实践方法的一部分。
警告
不要尝试在生产环境中利用漏洞。这样做会对您的系统和网络的生产率效率造成负面影响。
以下列表检查执行漏洞的一些好处。
- 树立主动关注信息安全的意识。
- 在攻击这发现潜在的漏洞之前,发现潜在的漏洞。
- 使系统保持最新,并应用了补丁程序。
- 在开发专业人士方面促进增长和协助。
- 中止商业损失和负面的公共形象。
1.3.2. 为漏洞评估建立方法论
为了帮助选择用于漏洞评估的工具,建立漏洞评估方法是很有帮助的。不幸的是,目前还没有预定义或行业认可的方法;但是,常识和最佳实践可以作为充分的指南。
目标是什么?我们是在看一台服务器,还是在看我们的整个网络和网络内的一切?我们是外部还是内部的?这些问题的答案非常重要,因为它们不仅有助于确定选择哪些工具,而且有助于确定使用这些工具的方式。
要了解有关建立方法的更多信息,请参阅以下网站:
- https://www.owasp.org/ - 开放的 Web 应用程序安全项目
1.3.3. 漏洞评估工具
评估可以从使用某种形式的信息收集工具开始。评估整个网络时,请首先画出布局,以查找正在运行的主机。定位后,单独检查每个主机。专注于这些主机需要另外一组工具。了解使用哪些工具可能是查找漏洞的最关键步骤。
与日常生活的各个方面一样,有很多执行相同工作的不同工具。这个概念也适用于执行漏洞评估。有特定于操作系统、应用程序甚至网络的工具(根据使用的协议)。有些工具是免费的,有些不是。有些工具比较直观且易于使用,而其他工具比较神秘且文档很少,但具有其他工具没有的功能。
寻找合适的工具可能是一项艰巨的任务,最终经验很重要。如果可能,建立一个测试实验室,并尝试尽可能多的工具,注意每种工具的优缺点。查看工具的
README
文件或手册页。此外,可以在互联网上查找更多信息,如文章、分步指南,甚至特定于工具的邮件列表。
以下讨论的工具只是可用工具的一个小抽样。
1.3.3.1. 使用 Nmap 扫描主机
Nmap 是一个流行的工具,可用于确定网络的布局。Nmap 已存在多年,可能是收集信息时最常用的工具。其中包括了一个很好的手册页,它提供了其选项和用法的详细描述。管理员可以在网络上使用 Nmap ,来查找主机系统和这些系统上开放的端口。
Nmap 是漏洞评估中称职的第一步。您可以勾勒出网络中的所有主机,甚至传递一个选项,以允许 Nmap 尝试识别运行在特定主机上的操作系统。Nmap 是使用安全服务并限制未使用服务建立政策的一个良好基础。
要安装 Nmap,请以
root
用户身份运行 yum install nmap 命令。
1.3.3.1.1. 使用 Nmap
Nmap 可以在 shell 提示符中运行,方法是输入 nmap 命令,后跟要扫描的机器的主机名或
IP
地址:
nmap <hostname>
例如,要扫描主机名为
foo.example.com
的机器,请在 shell 提示符下输入以下内容:
~]$ nmap foo.example.com
基本扫描结果(可能需要几分钟时间,具体取决于主机所在的位置和其他网络状况)类似如下:
Interesting ports on foo.example.com: Not shown: 1710 filtered ports PORT STATE SERVICE 22/tcp open ssh 53/tcp open domain 80/tcp open http 113/tcp closed auth
nmap 测试用于侦听或等待服务的最常见网络通信端口。对于希望关闭不必要的或未使用服务的管理员,这些知识会很有用。
有关使用 Nmap 的更多信息,请参见以下 URL 的官方主页:
1.3.3.2. Nessus
Nessus 是一个完整的服务安全扫描程序。Nessus 的插件架构允许用户为其系统和网络自定义它。与任何扫描程序一样,Nessus 就像它所依赖的签名数据库一样。不幸的是,Nessus 经常更新,并具有完整报告、主机扫描和实时漏洞搜索功能。请记住,即使工具中的功能强大且经常更新为 Nessus,也可能会有误报和假的负数。
注意
Nessus 客户端和服务器软件需要使用订阅。本文档中已包含在本文档中,作为可能有兴趣使用此流行应用程序的用户参考。
有关 Nessus 的更多信息,请参见以下 URL 的官方网站:
1.3.3.3. OpenVAS
OpenVAS (开放式漏洞评估系统)是一组工具和服务,可用于扫描漏洞和全面的漏洞管理。OpenVAS 框架提供了多个基于 Web 的桌面和命令行工具,用于控制解决方案的各种组件。OpenVAS 的核心功能由安全扫描程序提供,它使用超过 33 个每日更新的网络漏洞测试(NVT)。与 Nessus 不同(请参阅 第 1.3.3.2 节 “Nessus”),OpenV AS 不需要任何订阅。
有关 OpenVAS 的更多信息,请访问以下 URL 的官方网站:
1.3.3.4. Nikto
Nikto 是非常好的 通用网关接口 (CGI)脚本扫描程序。Nikto 不仅检查 CGI 漏洞,而是以当前的方式进行检查,因此影响入侵检测系统。附带全面的文档,在运行程序之前应仔细检查。如果您有提供 CGI 脚本的 Web 服务器,Nikto 可以作为检查这些服务器安全性的绝佳资源。
有关 Nikto 的更多信息,请访问以下 URL: