網站标題
搜索
取消
清空記錄
曆史記錄
清空記錄
曆史記錄
漏洞掃描的(de)一些運營常識
之前有跟大(dà)家講解一些關于漏洞掃描的(de)一些情況。這(zhè)期呢(ne)主要想簡單的(de)聊一下(xià)安全運營裏,關于漏洞掃描的(de)一些簡單常識。
2021-05-07 19:00:01987
之前有跟大(dà)家講解一些關于漏洞掃描的(de)一些情況。這(zhè)期呢(ne)主要想簡單的(de)聊一下(xià)安全運營裏,關于漏洞掃描的(de)一些簡單常識。
漏洞掃描是信息安全工作裏,完成風險評估很常見的(de)一種手段。就像是醫生用(yòng)X光(guāng)來(lái)檢查一下(xià)病人(rén)的(de)身體,是不是有毛病一樣,安全工作者經常通(tōng)過漏洞掃描來(lái)評估目标系統是否存在漏洞,進而決策如何做(zuò)下(xià)一步的(de)安全防護。
漏洞掃描的(de)原理(lǐ)是發送特定的(de)請求,到遠(yuǎn)程服務,根據遠(yuǎn)程服務返回的(de)行爲,判斷是否存在某個(gè)具體漏洞(也(yě)有很多(duō)時(shí)候是根據返回的(de)版本号信息來(lái)判斷)。
1、漏洞掃描有什(shén)麽影(yǐng)響
1.1 網絡影(yǐng)響
請求網絡包的(de)頻(pín)率、數量,對(duì)網絡和(hé)應用(yòng)造成影(yǐng)響,交換機/路由器可(kě)能因此宕機,引發連鎖反應,QPS過高(gāo)可(kě)能超出服務的(de)性能極限,導緻業務中斷;
1.2 異常處理(lǐ)影(yǐng)響
業務無法正确處理(lǐ)請求包裏的(de)特殊輸入,引發異常宕機,比如一個(gè)私有協議(yì)的(de)服務也(yě)許隻是碰巧聽(tīng)在了(le)TCP 80端口,收到一個(gè)HTTP Get請求就直接挂了(le);
1.3 日志影(yǐng)響
請求公網的(de)業務時(shí),每一個(gè)URL的(de)探測,都可(kě)能造成一個(gè)40x或者50x的(de)錯誤日志。而業務的(de)正常監控邏輯正是用(yòng)Access Log裏的(de)狀态碼來(lái)進行的(de)。不做(zuò)任何處理(lǐ)的(de)話(huà),突然40x猛增,業務的(de)SRE和(hé)RD必然要進行響應,如果他(tā)們從半夜、假期著(zhe)急忙慌的(de)登錄VPN查了(le)半天發現是安全工程師觸發的(de),甚至還(hái)連帶了(le)1.1、1.2的(de)影(yǐng)響,把某業務弄出事了(le),這(zhè)個(gè)責任一定是安全工程師要背負的(de)。
2、産生了(le)什(shén)麽問題
對(duì)于安全工程師而言,不掃描可(kě)能意味著(zhe)無法開展工作了(le),無法得(de)知公司風險,無從開展治理(lǐ)工作;對(duì)于業務方而言,掃描意味著(zhe)添亂,業務不可(kě)用(yòng)的(de)風險是較大(dà)的(de)風險;有不少同行因此背鍋黯然受傷的(de),也(yě)有一些強勢的(de)同行得(de)罪了(le)業務的(de)。
3、錯在了(le)哪兒(ér)
漏洞掃描對(duì)于業務側來(lái)說,是一種新的(de)變化(huà)。一個(gè)變化(huà)的(de)一次引入,有問題是必然的(de),沒問題才是異常的(de)。合理(lǐ)的(de)做(zuò)法是遵循ITIL裏的(de)“變更管理(lǐ)”。
變更計劃:掃描的(de)時(shí)間、IP/URL/端口範圍、QPS、測試用(yòng)例集(有DoS的(de)測試用(yòng)例選擇、有Delete/Update相關的(de)資産選擇、有POST隐蔽接口的(de)選擇)
變更風險評估:交換機路由器的(de)流量和(hé)容量、業務的(de)QPS、業務/網絡挂掉的(de)較極端風險評估
變更知會:業務的(de)管理(lǐ)者、RD、SRE、DBA、QA甚至網絡維護方,是否知道上述所有關鍵信息,并授權同意進行掃描(全公司強制的(de)至少做(zuò)到知會)
回滾計劃:如果出了(le)問題,怎麽很快(kuài)速的(de)停止掃描和(hé)恢複業務(有些動作要上面的(de)變更知情範圍的(de)關鍵幹系人(rén)配合)
變更觀察:執行掃描的(de)時(shí)候,大(dà)家有沒有在盯著(zhe)服務是否出錯(以及判斷業務是否正常),以便在出問題的(de)很快(kuài)做(zuò)出響應;
變更總結:灰度執行過程中總結不到位的(de)地方,在下(xià)一次工作中改進
嚴格的(de)說,不按照(zhào)這(zhè)些方法,上來(lái)就一通(tōng)猛掃的(de),的(de)确是安全同行自身沒有做(zuò)到足夠專業。不能怪業務側不理(lǐ)解不支持。
4、解決建議(yì):公網堅決掃,内網謹慎
按網絡分(fēn)類:互聯網公開業務、内網業務
按服務類型分(fēn)類:Web類、高(gāo)危服務類、私有協議(yì)類
公網Web服務,業務必須接受安全檢查,因爲我們不掃,黑(hēi)也(yě)會沒日沒夜的(de)盯著(zhe)業務掃。與其未來(lái)無計劃的(de)被黑(hēi)掃挂,不如有節奏的(de)按變更計劃,逐步适應被掃描。
在遵守變更管理(lǐ)原則的(de)前提下(xià),也(yě)就是上線稍微繁瑣痛苦一些,比如業務側需要1個(gè)月(yuè)時(shí)間修改監控邏輯(忽略掃描器觸發的(de)錯誤請求),需要對(duì)某些掃描觸發的(de)異常進行兼容适配,甚至某些無人(rén)維護的(de)業務被掃描之後改不了(le),隻好加白名單。這(zhè)些需要磨合。磨合完畢,也(yě)就是安全團隊可(kě)以例行周期不間斷掃描的(de)時(shí)候,上述問題根本就不再是問題了(le)。
公網高(gāo)危服務:隻識别協議(yì),不做(zuò)漏洞檢測,因爲高(gāo)危服務的(de)端口開放出來(lái)就是不可(kě)取的(de),直接關掉服務比較直接,檢測漏洞隻是浪費更多(duō)的(de)資源罷了(le);
公網私有協議(yì):大(dà)多(duō)數掃描器并不能支持這(zhè)些協議(yì)的(de)漏洞檢測,隻能忽略不做(zuò)掃描,當然這(zhè)裏會存在盲點,暫時(shí)不展開;
内網服務的(de)複雜(zá)度比上面高(gāo)很多(duō)倍,一方面,内網你不掃,黑(hēi)進來(lái)掃的(de)幾率沒那麽大(dà)。另一方面,大(dà)家對(duì)傳統的(de)特權的(de)依賴導緻内網漏洞比公網多(duō)很多(duō),也(yě)更禁不住掃,你一掃,大(dà)概率就是會出事的(de)。
所以,如果隻做(zuò)端口掃描,确定交換機路由器還(hái)扛得(de)住的(de)情況下(xià)(嗯,之前遇到過老舊(jiù)的(de)網絡設備你稍微開一點掃描請求它直接挂掉的(de)現象),相對(duì)可(kě)接受。
協議(yì)識别這(zhè)一步可(kě)能觸發某些脆弱的(de)服務挂掉,賬号爆破則可(kě)能觸發賬号封禁(繼而引發連帶的(de)事故),而漏洞掃描風險更大(dà)。
所以,多(duō)數時(shí)候其實并不鼓勵使用(yòng)網絡掃描的(de)方式來(lái)做(zuò)内網風險評估,如果agent能夠采集到版本号、配置、賬号相關的(de)信息,其實也(yě)能完成風險數據的(de)采集,不必死盯著(zhe)網絡掃描這(zhè)一個(gè)手段。
可(kě)是,這(zhè)樣内網豈不是很多(duō)風險了(le)?
殘酷的(de)事實是,是的(de),這(zhè)是現在的(de)絕大(dà)多(duō)數企業的(de)現狀,非常可(kě)怕,對(duì)麽?如果某些漏洞特别情急(比如MS17-010),針對(duì)特定的(de)端口服務,内網其實也(yě)可(kě)以遵守上面的(de)标準流程去掃描的(de),但是全量全範圍的(de)漏洞掃描,就很難實施了(le)。
以上就是漏洞掃描的(de)一些運營常識,大(dà)家可(kě)以參考一下(xià),想要了(le)解更多(duō),歡迎關注本網站或者緻電上海觀初網絡科技有限公司了(le)解更多(duō)小知識。
漏洞掃描是信息安全工作裏,完成風險評估很常見的(de)一種手段。就像是醫生用(yòng)X光(guāng)來(lái)檢查一下(xià)病人(rén)的(de)身體,是不是有毛病一樣,安全工作者經常通(tōng)過漏洞掃描來(lái)評估目标系統是否存在漏洞,進而決策如何做(zuò)下(xià)一步的(de)安全防護。
漏洞掃描的(de)原理(lǐ)是發送特定的(de)請求,到遠(yuǎn)程服務,根據遠(yuǎn)程服務返回的(de)行爲,判斷是否存在某個(gè)具體漏洞(也(yě)有很多(duō)時(shí)候是根據返回的(de)版本号信息來(lái)判斷)。
1、漏洞掃描有什(shén)麽影(yǐng)響
1.1 網絡影(yǐng)響
請求網絡包的(de)頻(pín)率、數量,對(duì)網絡和(hé)應用(yòng)造成影(yǐng)響,交換機/路由器可(kě)能因此宕機,引發連鎖反應,QPS過高(gāo)可(kě)能超出服務的(de)性能極限,導緻業務中斷;
1.2 異常處理(lǐ)影(yǐng)響
業務無法正确處理(lǐ)請求包裏的(de)特殊輸入,引發異常宕機,比如一個(gè)私有協議(yì)的(de)服務也(yě)許隻是碰巧聽(tīng)在了(le)TCP 80端口,收到一個(gè)HTTP Get請求就直接挂了(le);
1.3 日志影(yǐng)響
請求公網的(de)業務時(shí),每一個(gè)URL的(de)探測,都可(kě)能造成一個(gè)40x或者50x的(de)錯誤日志。而業務的(de)正常監控邏輯正是用(yòng)Access Log裏的(de)狀态碼來(lái)進行的(de)。不做(zuò)任何處理(lǐ)的(de)話(huà),突然40x猛增,業務的(de)SRE和(hé)RD必然要進行響應,如果他(tā)們從半夜、假期著(zhe)急忙慌的(de)登錄VPN查了(le)半天發現是安全工程師觸發的(de),甚至還(hái)連帶了(le)1.1、1.2的(de)影(yǐng)響,把某業務弄出事了(le),這(zhè)個(gè)責任一定是安全工程師要背負的(de)。
2、産生了(le)什(shén)麽問題
對(duì)于安全工程師而言,不掃描可(kě)能意味著(zhe)無法開展工作了(le),無法得(de)知公司風險,無從開展治理(lǐ)工作;對(duì)于業務方而言,掃描意味著(zhe)添亂,業務不可(kě)用(yòng)的(de)風險是較大(dà)的(de)風險;有不少同行因此背鍋黯然受傷的(de),也(yě)有一些強勢的(de)同行得(de)罪了(le)業務的(de)。
3、錯在了(le)哪兒(ér)
漏洞掃描對(duì)于業務側來(lái)說,是一種新的(de)變化(huà)。一個(gè)變化(huà)的(de)一次引入,有問題是必然的(de),沒問題才是異常的(de)。合理(lǐ)的(de)做(zuò)法是遵循ITIL裏的(de)“變更管理(lǐ)”。
變更計劃:掃描的(de)時(shí)間、IP/URL/端口範圍、QPS、測試用(yòng)例集(有DoS的(de)測試用(yòng)例選擇、有Delete/Update相關的(de)資産選擇、有POST隐蔽接口的(de)選擇)
變更風險評估:交換機路由器的(de)流量和(hé)容量、業務的(de)QPS、業務/網絡挂掉的(de)較極端風險評估
變更知會:業務的(de)管理(lǐ)者、RD、SRE、DBA、QA甚至網絡維護方,是否知道上述所有關鍵信息,并授權同意進行掃描(全公司強制的(de)至少做(zuò)到知會)
回滾計劃:如果出了(le)問題,怎麽很快(kuài)速的(de)停止掃描和(hé)恢複業務(有些動作要上面的(de)變更知情範圍的(de)關鍵幹系人(rén)配合)
變更觀察:執行掃描的(de)時(shí)候,大(dà)家有沒有在盯著(zhe)服務是否出錯(以及判斷業務是否正常),以便在出問題的(de)很快(kuài)做(zuò)出響應;
變更總結:灰度執行過程中總結不到位的(de)地方,在下(xià)一次工作中改進
嚴格的(de)說,不按照(zhào)這(zhè)些方法,上來(lái)就一通(tōng)猛掃的(de),的(de)确是安全同行自身沒有做(zuò)到足夠專業。不能怪業務側不理(lǐ)解不支持。
4、解決建議(yì):公網堅決掃,内網謹慎
按網絡分(fēn)類:互聯網公開業務、内網業務
按服務類型分(fēn)類:Web類、高(gāo)危服務類、私有協議(yì)類
公網Web服務,業務必須接受安全檢查,因爲我們不掃,黑(hēi)也(yě)會沒日沒夜的(de)盯著(zhe)業務掃。與其未來(lái)無計劃的(de)被黑(hēi)掃挂,不如有節奏的(de)按變更計劃,逐步适應被掃描。
在遵守變更管理(lǐ)原則的(de)前提下(xià),也(yě)就是上線稍微繁瑣痛苦一些,比如業務側需要1個(gè)月(yuè)時(shí)間修改監控邏輯(忽略掃描器觸發的(de)錯誤請求),需要對(duì)某些掃描觸發的(de)異常進行兼容适配,甚至某些無人(rén)維護的(de)業務被掃描之後改不了(le),隻好加白名單。這(zhè)些需要磨合。磨合完畢,也(yě)就是安全團隊可(kě)以例行周期不間斷掃描的(de)時(shí)候,上述問題根本就不再是問題了(le)。
公網高(gāo)危服務:隻識别協議(yì),不做(zuò)漏洞檢測,因爲高(gāo)危服務的(de)端口開放出來(lái)就是不可(kě)取的(de),直接關掉服務比較直接,檢測漏洞隻是浪費更多(duō)的(de)資源罷了(le);
公網私有協議(yì):大(dà)多(duō)數掃描器并不能支持這(zhè)些協議(yì)的(de)漏洞檢測,隻能忽略不做(zuò)掃描,當然這(zhè)裏會存在盲點,暫時(shí)不展開;
内網服務的(de)複雜(zá)度比上面高(gāo)很多(duō)倍,一方面,内網你不掃,黑(hēi)進來(lái)掃的(de)幾率沒那麽大(dà)。另一方面,大(dà)家對(duì)傳統的(de)特權的(de)依賴導緻内網漏洞比公網多(duō)很多(duō),也(yě)更禁不住掃,你一掃,大(dà)概率就是會出事的(de)。
所以,如果隻做(zuò)端口掃描,确定交換機路由器還(hái)扛得(de)住的(de)情況下(xià)(嗯,之前遇到過老舊(jiù)的(de)網絡設備你稍微開一點掃描請求它直接挂掉的(de)現象),相對(duì)可(kě)接受。
協議(yì)識别這(zhè)一步可(kě)能觸發某些脆弱的(de)服務挂掉,賬号爆破則可(kě)能觸發賬号封禁(繼而引發連帶的(de)事故),而漏洞掃描風險更大(dà)。
所以,多(duō)數時(shí)候其實并不鼓勵使用(yòng)網絡掃描的(de)方式來(lái)做(zuò)内網風險評估,如果agent能夠采集到版本号、配置、賬号相關的(de)信息,其實也(yě)能完成風險數據的(de)采集,不必死盯著(zhe)網絡掃描這(zhè)一個(gè)手段。
可(kě)是,這(zhè)樣内網豈不是很多(duō)風險了(le)?
殘酷的(de)事實是,是的(de),這(zhè)是現在的(de)絕大(dà)多(duō)數企業的(de)現狀,非常可(kě)怕,對(duì)麽?如果某些漏洞特别情急(比如MS17-010),針對(duì)特定的(de)端口服務,内網其實也(yě)可(kě)以遵守上面的(de)标準流程去掃描的(de),但是全量全範圍的(de)漏洞掃描,就很難實施了(le)。
以上就是漏洞掃描的(de)一些運營常識,大(dà)家可(kě)以參考一下(xià),想要了(le)解更多(duō),歡迎關注本網站或者緻電上海觀初網絡科技有限公司了(le)解更多(duō)小知識。
浏覽器自帶分(fēn)享功能也(yě)很好用(yòng)哦~相關新聞
賦能企業信息安全 Empower your IT security
版權所有 © 廣東網界通網絡科技有限公司
京ICP證000000号
選擇區(qū)号