作者简介:张哲旭,男,黑龙江齐齐哈尔人。本科在读,齐齐哈尔工程学院信息系计科111班,方向:计算机信息安全。
摘要:在计算机当中有些攻击和防御工具发布出来,从L0PhtCrack到Anti-Sniff,再到LLINT,还有一些个人和工作专用工具。保护备受关注的各种网络,无论是大型的网络,还是小型的网络,都是很正常的事,受命侵入防御坚固的网络更是平常,但是只是关注这些事情的本身并不能得到什么信息。通过坚持对更加全面情况的理解,可以制定出实际的目标,不管是攻击击还是防御者,都会遇到这个问题。
关键词:什么是漏洞;漏洞评估;漏洞管理
1.引言
本文不是典型的介绍信息技能的书。但是本书还是主要将漏洞管理的技术融入到业务管理中。尽管熟悉最新的黑客技术是很重要的,但是只有当能够把黑客所实施的威胁与对组织所造成的风险联系在一起时,这些知识才是有价值的。
2.什么是漏洞?
2.1那么什么是漏洞呢?在过去,很多人把漏洞看作是有恶意的人能够利用的软件或硬件的缺陷。然而,在近几年中,漏洞的定义发展为有恶意的人能够利用的软件硬件的缺陷及配置错误(misconfiguration)。补丁管理、配置管理和安全管理等常常相互竞争的学科,都已从单一的学科发展成为同一个信息技术(IT)方面的问题,那就是今天的漏洞管理。
2.2从表面上看,漏洞管理像是个简单的工作。不幸的是,在大部分组织的网络中,漏洞管理既困难又复杂。一个典型的组织中包含定制的应用、移动用户及关键服务器,它们有不同的需要,不能只做简单的保护,更不能置之不理。软件厂商仍会发布不安全的代码,加入这些必须遵守的规定使管理者感到紧张,并且处于一种高压状况下,容易导致犯严重的错误。
针对漏洞管理的情况,人们提出了“漏洞窗口”的概念。尽管这好像是一个聪明的文字游戏,把人们的注意力引向了最常用的Windows操作系统,但是它实际上指的是一个系统由于安全缺陷、配置问题或导致降低整个系统安全性的其他因素,而处于易受攻击的状态的时间有多长,漏洞窗口有以下两种类型:
●未知漏洞窗口从发现一个漏洞到系统打上该漏洞的补丁所经过的时间
●已知漏洞窗口从厂商发布一个漏洞补丁到系统打上该漏洞的补丁所经过的时间。
大多数组织更关注第二种类型——已知漏洞窗口,但是当制定减轻风险策略时,计算未知漏洞窗口才是有价值的。
2.3理解漏洞造成的风险
不管一个漏洞是如何公开的,该漏洞都对一个组织造成了风险。漏洞带来的风险大小取决于几个因素:
●厂商对风险的评级
●一个组织中受影响系统的数量
●一个组织中受影响系统的危险程度
●组织中受影响暴露程度
渗透测试者和恶意攻击者通常会首先试图危害易被攻击的系统,它们代表了被一个组织认为不是十分危险因而没有及时修复的系统,这些系统就成为对内部的基础设施及更危险的系统进行进一步的攻击的切入点。也就是说,如果一个组织的记账系统是最危险的系统,那么如何对所有该系统相连的工作站进行评级。如果它们不是同等危险的,那么可能是易受攻击的,并且会被用作真正危险的记账系统的攻击媒介。
3.漏洞评估
3.1如果拥有了一份网络中系统的完整列表,最好执行一项费时的任务——验证工具妻现的数据。在理想的世界里,能够跳过这一步,但是对漏洞评估来说,为了安全最好做这一步。漏掉一台机器就意味着不一样的结果:把一个黑客挡在了网络之外还是让一个黑客进入了网络。要确保对每台机器具有下面的数据:
3.2IP地址这似乎非常明显,但是要注意有的系统可能有多个IP地址。一定要识别出哪些系统有多个连接具有多个IP地址。在有些情况下,这些系统可能在多个网络上通信。
3.3MAC地址正如前面提到的,这对漏洞评估不是必要的,但是有很多原因使得具有全部系统的MAC地址是非常不错的。
3.4操作系统这是很显然的。因为漏洞管理的很多方面是以补丁管理和配置管理为核心的,需要跟踪所有机器上的操作系统。应该把打印机、路由器及其他的网络设备包含进来。
3.5操作系统的补丁级别每个漏洞评估工具应该能提供这个数据点的信息。
3.6服务(网站、数据库、邮件等)关于每个系统为用户提供服务要有一个列表,当考虑安全配置时,这是很必须的。应该检查所有的系统并关闭不需要的任何服务。
3.7安裝的软件要有一个系统中安装的所有授权软件的列表。可以使用一个工具来列出整个系统中所安装的软件的列表,然后用一个授权软件的列表与这个列表相互对照。授权软件的概念不只是与许可有关,而且关系到安全,因为未授权的软件包的补丁等级和全部安全特征对IT来说是不知道的。
3.8这几年中,人们把所有注意力都集中在操作系统中上——特别是Microsoft的操作系统,每个人似乎忘记了应用程序。近来这变得更加显示,因为应用程序级漏洞增加了更多。所以当企业把注意集中在操作系统上时,则会受到应用程序的攻击。幸运的是,大多数好的漏洞评估工具不但可以检测操作系统漏洞,同时也可以检测应用程序漏洞。
4.漏洞管理
4.1昔日,漏洞管理的典型方法是让安全小组确定威胁,然后“抛给”信息技术(IT)管理员来修复。这些年来,随着安全威胁数量的增长,这种不负责任的方法已经不再可行了。前面讨论了通过使用漏洞评估扫描器、补丁管理和配置管理工具来发现漏洞,然后,漏洞管理根本不仅只利用前面所提到的工具。
4.2漏洞管理最好的定义为企业由于各种漏洞而存在着风险,不论这些漏洞是与软件还是与硬件相关,漏洞管理就是一个管理风险的整个过程。漏洞管理在很多方面与漏洞发现和漏洞评估也有直接联系,并且也非常依赖补丁管理过程。
4.3漏洞管理也包括安全实践和安全过程编组,这有助于管理安全责任,允许把漏洞管理集成到现有的信息安全和IT工作流中。
4.4漏洞管理计划同任何计计划一样,除非是书面的,受到当地支持,并且有效地被传达,否则可能不会实现。对于一个漏洞管理计划也是一样,必须写明计划的目的、目标和成功的标准。为了帮助计划执行下去,如果希望执行得更有效,也必须得到领导的认可和支持。如果没有高层管理者的支持,将永远会阻碍漏洞管理的策略、过程及实践的执行效率。
5.总结
随着漏洞管理计划的完善与成熟,能够对组织造成影响的新漏洞的数量应该减少,因为已经制定了步骤和弥补控制来减少漏洞数量,并且建立了一个更成熟的漏洞风险评估方法。与此相关,研究表明未来几年发布的漏洞数量将增长。正因如此,在环境呐修复的漏洞数不能表示度量的标准。随着每年公布的漏洞数量的增加,自然应该比以前修复更多的漏洞。我相信,随着技术的完善,今后的网络环境将更加安全。(作者单位:齐齐哈尔工程学院)
参考文献:
[1]郭涛.内核漏洞的利用与防范.