姚華
小洞不補 大洞吃苦安全漏洞你有嗎?
姚華
為什么大多數(shù)公司似乎滿足于僅僅發(fā)現(xiàn)和登記漏洞安全,而不是隨后也修復(fù)這些漏洞呢?當(dāng)然,安全漏洞的絕對數(shù)量之多肯定讓人頭大。如果公司環(huán)境中的每臺計算機都有數(shù)十個至數(shù)百個安全漏洞,該從何處開始下手?
首先解決那些風(fēng)險最高、危急程度最高的安全漏洞。先從最關(guān)鍵的服務(wù)器和管理員用戶的計算機開始查起,然后再查不大關(guān)鍵的計算機和用戶。這么做的前提是假設(shè)你準(zhǔn)確清查了計算機環(huán)境,詳細(xì)列出了最關(guān)鍵的應(yīng)用程序,而且深入了解它們之間的依賴關(guān)系。
比如說,你的人力資源系統(tǒng)可能很關(guān)鍵,但是還需要別的什么系統(tǒng)來支持它?如今,大多數(shù)系統(tǒng)需要網(wǎng)絡(luò)設(shè)備、接口、DNS、或許活動目錄以及其他基礎(chǔ)設(shè)施支持服務(wù)。關(guān)鍵的用戶工作站不僅包括網(wǎng)絡(luò)和基礎(chǔ)設(shè)施管理員,還包括人力資源系統(tǒng)的權(quán)限提升的用戶。
如果你確確實實認(rèn)真分析了關(guān)鍵業(yè)務(wù)型系統(tǒng)及它們之間的所有依賴關(guān)系,可能會發(fā)現(xiàn),40%或更多的系統(tǒng)被認(rèn)為是關(guān)鍵型。關(guān)鍵系統(tǒng)不應(yīng)該含有危急的安全漏洞,是不是?
當(dāng)然,不是所有被列為“關(guān)鍵”的系統(tǒng)都一樣重要。大多數(shù)安全漏洞掃描軟件程序給安全漏洞排序時使用簡單的描述(低風(fēng)險、中風(fēng)險、高風(fēng)險或危急),或者使用數(shù)值化評分系統(tǒng)。后者方面最有名的例子之一就是常見通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System),它將安全漏洞按從低值(0.0)到高值(10.0)來進行排序。尤其包括其他因素的評分系統(tǒng),比如修復(fù)漏洞需要的工作以及該安全漏洞在外頭是否被人積極利用。
不管第三方如何看待關(guān)鍵或非關(guān)鍵系統(tǒng),真正重要的是,貴公司環(huán)境易受安全漏洞影響的程度以及它在過去是不是成功闖入了貴公司的系統(tǒng)。你的業(yè)務(wù)部門及/或基礎(chǔ)設(shè)施可能有特殊特點,可能會盡量減小或提升某個安全漏洞在貴公司環(huán)境的風(fēng)險系數(shù)。
另外,安全漏洞掃描軟件經(jīng)常報告每一個安全漏洞,不管顯示該安全漏洞的軟件是不是被積極使用。我經(jīng)常發(fā)現(xiàn)有的軟件不僅數(shù)年來沒有運行過,而且不太可能再次運行。大多數(shù)安全漏洞掃描軟件不會作出這種區(qū)別,不過這一點很重要。
牢記一點:連最出色的安全漏洞掃描軟件也并不是非常正確。我知道,自己會從廠商那里收到宣稱其掃描軟件正確無誤的電子郵件,但是安全漏洞掃描軟件比很不可靠的反惡意軟件軟件還不可靠。只要我運行安全漏洞掃描軟件以便手動評估系統(tǒng),我總是會發(fā)現(xiàn)多出50%的安全漏洞。
這不能怪罪于安全漏洞掃描軟件。它只能查找本身旨在可以查找的那些安全漏洞,而計算機異常復(fù)雜。一名較出色的取證分析研究人員或黑客會發(fā)現(xiàn)安全漏洞掃描軟件的“漏網(wǎng)之魚”——奇怪地方的異常文件名、不應(yīng)該出現(xiàn)的軟件、密碼列表,諸如此類;這會導(dǎo)致留下瀏覽路徑記錄(breadcrumb trail),只有人類才能跟蹤分析。
通常來說,大多數(shù)安全漏洞掃描在查找沒有打上補丁的軟件方面很糟糕。一些最出色的補丁管理軟件程序能檢測出成千上萬個不同的程序。最出色的安全漏洞掃描軟件只會查找大約幾百個程序。
要關(guān)注讓黑客有機會得以潛入貴公司環(huán)境的安全漏洞。太多的人一心想知道不法分子一旦手里已經(jīng)拿到了“打開王國的鑰匙”,會搞什么破壞活動。他們會竊取網(wǎng)絡(luò)登錄信息嗎?他們會植入記錄擊鍵內(nèi)容的惡意軟件嗎?他們會竊取關(guān)鍵信息嗎?
一旦不法分子潛入進來,獲得了提升的權(quán)限,這實際上表明勝負(fù)已見分曉:你輸定了。所以,而是應(yīng)當(dāng)首先致力于阻止入侵者獲得訪問你網(wǎng)絡(luò)的權(quán)限提升的登錄信息。
這就引出了另一個忠告:有些安全漏洞(比如無知的用戶)是安全漏洞掃描軟件永遠(yuǎn)發(fā)現(xiàn)不了的。大多數(shù)公司告訴我,它們的環(huán)境最經(jīng)常被沒有打上補丁的軟件和社會工程學(xué)伎倆鉆空子。如果你擯棄了易受攻擊的軟件,別忘了對你的用戶加強安全培訓(xùn)。
如果已經(jīng)列出了成千上萬個安全漏洞,不要坐在那里,什么都不做。要是不堵住其中最危急的安全漏洞,你就無法保護自身環(huán)境的安全。