安全評估與加固中遇到的問題與思考

掐指一算，以乙方的角色做了一年有多的安全評估工作了，在與客戶、加固人員交流的過程中遇到了不少問題，也思考了應該怎么去改進，本文寫寫一些想法，歡迎批評指正。

面臨的問題：

   1.客戶和加固人員認為：安全評估不就是拿個掃描器掃一掃、然后丟出一個報表嘛，誰不會；

   2.內網掃描報告，往往有讓人望而卻步的高、中、低危漏洞千百個，你讓客戶情何以堪，你讓加固人員怎么活命；

   3.評估人員、加固人員、客戶由于“道行”不同，或者“立場”不同，導致對漏洞的理解各不相同，扯皮時有發生；

   4.掃描報告中的高、中、低危險標識，不和資產價值、業務系統重要程度掛鉤，導致加固沒有次重點，多次加固評估無法體現風險的消減程度；

希望做到：

   1.區別對待千百個高、中、低危險漏洞，可以做撒網式掃描，不能做撒網式加固；

   2.嘗試以更加專業的角度面對客戶和加固人員，對掃描結果進一步深加工處理；

   3.把漏洞和資產價值，業務系統掛鉤，區別的對待安全漏洞讓加固工作更具可操作性；

下面提供一些深加工掃描報告的思路

1.漏洞分類：

   操作系統漏洞：微軟的，Unix的，Linux的，Solaris的等

   業務軟件漏洞：oracle，weblogic，struts2，PHP等

   網絡和安全設備漏洞：cisco，h4c，華為等

   輔助程序漏洞：ftp，office，ie，openssh等

2.漏洞利用難易程度

   直接利用成功率高：

       弱口令

       MS08-067，Struts

   間接利用成功率高：

 IE漏洞—需要制造***網頁，引誘用戶點擊

 office漏洞—需要發送病毒文檔，通過打開病毒文檔***

 （存在運氣成分，而且基本只能在PC終端才會中招）

   成功率很低的漏洞：

 一些溢出漏洞（和用戶環境、版本、語言等相關性高）

 偏門的程序漏洞（沒有現成的exp，需要代碼級的能力）

3.漏洞真實性、準確性

   了解掃描器的掃描原理有助于我們對漏洞的把握，及時排除誤報漏洞。

       精確掃描：本次為精確掃描，極少出現誤報。

       原理掃描：本次掃描根據原理進行，可能存在誤報。

       版本掃描：本次掃描根據版本進行，可能存在誤報。

       暴力破解：本次掃描通過暴力猜測方式證實目標主機上的XX服務存在可猜測的口令。

4.加固思路

    加固最好有計劃、有步驟進行，加固順序參考業務系統重要程度。

    優先加固利用成本低成功率高的漏洞（弱口令等）。。。。

       操作系統漏洞：強烈建議安裝修復

       業務軟件漏洞：需要評估對業務系統的影響

       網絡和安全設備漏洞：較少

       輔助程序漏洞：特別關注輔助程序是否需要用，是否有可替代的程序。特別關注一些默認安裝帶來的不必要漏洞。

5.更進一步，我們可能應該學習和關注的

    業務漏洞

    邏輯漏洞

    物理漏洞等等掃描器掃不出來，但是影響很大的漏洞