• 内容部分

作者:admin 2020-03-12 20:35 浏览

原标题:高效漏洞管理的六个锦囊

对于资产拥有者而言,漏洞是让人厌倦的东西。但对于黑客而言,漏洞则是他们最爱的“高价值资产”,它们能够为黑客带往源源赓续的利润价值。举个浅易例子,黑客议定体系漏洞进入服务器内部,一方面能够议定作恶盗取数据新闻在黑市上变现来获得经济利润,另一方面也能够将那些被限制的“肉鸡”行为抨击其它网络平台“滩头阵地”的武器。

数见不鲜的漏洞让坦然人员的做事不堪重负。但是,想要将一切漏洞一次性清除又几乎不能够。倘若坦然人员将仔细力放在一些“无伤大雅”的幼漏洞而长时间无视主要的漏洞,这就似乎在粉刷一个随时会坍塌的屋顶相通诙谐。由于各个企业都有其自身的特点,所以必要对漏洞反答挨次进走优先级排序,必要晓畅每个漏洞对企业关键资产或营业造成要挟的主要水平。

正所谓,千里之堤,溃于蚁穴。一个幼幼的漏洞,也能够引发致命的危害。所以如何迅速确定漏洞修复优先级,并以最快的速度修复关键漏洞成为了一切坦然人员的优等大事。为此,按照吾在网络坦然服务周围多年来的从业经验,总结出了一个漏洞管理的关键策略:亲信知彼,百战不殆。

一、亲信:资产管理是风险评估的前挑

当运走卓异、风平浪静的时候,资产管理往往显得不那么主要,但是当遇到抨击时,就会让坦然运营人员晓畅谁才是坦然防护的先决条件。例如,爆发高危漏洞时,倘若坦然人员无法确定有哪些资产受到该漏洞的影响,想要确定漏洞修复优先级就似乎盲人摸象,无从着手。

所以,坦然人员肯定必要拥有一个完善的资产视图,并且能够做到实时晓畅其动态转折,此为“亲信”,亦是漏洞管理的前挑。毕竟任何人都无法对未知的资产进走风险评估,而它们也会成为黑客手中能够随时引爆的“隐形炸弹”。

资产管理的主要性不言而喻,但是99%企业IT人员都不晓畅本身拥有哪些IT资产。据全球权威IT询问机构Gartner调查分析,在数据中央内有近28%的物理服务器是幽灵服务器或者是僵尸服务器。对于这些处于睡眠状态的服务器,平时异国任何补丁更新。在这栽情况下,倘若必要启动服务器,比如查望网站的旧版本时,该服务器将会成为企业IT环境中风险最高且最易受抨击的服务器。抨击者十足能够行使这些老旧体系的漏洞为跳板,议定横向排泄抨击技术进入内网来访问其它主机,获取包括邮箱、共享文件或凭证新闻在内的敏感资源。在此基础上,进一步限制其它体系、升迁权限或窃取更多有价值的数据。这对于企业的坦然人员来说,简直就是一场噩梦。

打开全文

所以,吾认为,资产管理是坦然的前挑,但卓异资产管理方案需具备以下二个方面的能力,包括资产清点的能力和资产有关的能力。

1. 理得清:资产的周详清点

企业必须晓畅本身的一切资产(包括硬件和柔件),比如本身企业中有哪些服务器,别离运走什么柔件,它们是如何打补丁的?倘若你不晓畅本身拥有什么,就很难回答上述这些基本题目。

之前,一位甲方企业坦然人员就跟吾诉苦每天都过得“挑心吊胆”。每当网上爆出一个0Day漏洞,坦然团队想要尽快确认受该漏洞影响的服务器周围,以便在最短时间内做出答对。但是,公司营业复杂,坦然管理人员甚至不晓畅企业有多少服务器,在服务器上运走的行使更是星罗棋布。所以,只能议定公司发文,请求各营业线挑交自身营业体系的安放情况。接下来就是漫长的期待,期待厂商漏洞通知,编写检测脚本查找存在漏洞的主机,期待厂商的漏洞修复手段,编写修复脚本,末了一台一台修复题目主机。

在整个事件反答过程中,坦然人员不晓畅营业部分上报的资产全不全,也不晓畅检测脚本是否扫描到一切包含漏洞的主机,更不晓畅在此期间是否有黑客已经侵袭到企业内部。这个漫长的期待过程,那些薄弱的主机资产就似乎砧板上的“鱼肉”任黑客宰割,坦然人员却如同局外人清淡,不知所措。

2. 望得透:资产的深度有关

资产的周详清点是资产管理的第一步,有助于企业生成完善的、赓续更新的资产视图。但是倘若针对资产搜集的每条数据都很浅易,那么即使拥有完善的资产列外所能发挥的价值也是专门有限的。以主机资产为例,新闻坦然团队除了必要深入晓畅主机资产包括硬件规格、已装配的柔件、已准许的账户、root权限和装配包等各方面新闻,还必要晓畅这些资产之间的有关水平以及每类资产的主要性。

此时,倘若拥有卓异的资产管理,能够将资产数据议定API手段导入风险发现或侵袭检测等其它体系并进走深度有关,这将会为坦然人员采取坦然提防措施挑供极大协助。例如,漏洞风险有关对答的柔件行使状态,账号风险有关到对答的体系账号,逆弹Shell有关对答的端口、进程等。只有云云,一旦现有资产存在对答风险或者被黑客侵袭了,才能进走实时报警和挑醒。

二、知彼:赓续监控是漏洞反答的关键

除了对企业IT资产要有清亮而深入的晓畅,企业坦然负责人还必要对外部漏洞风危险况有所晓畅才走,此为“知彼”。这包括走业协会、当局机构、学术钻研人员、技术分析师和坦然供答商等机构最新的漏洞吐露情况。尤其是对那些可被行使的“零日”漏洞、可“横向移动”漏洞等外部风险状况必要特殊仔细。一旦发现新爆发的漏洞,答该立刻将漏洞规则包导入扫描体系,以便尽快对该漏洞进走检测。

固然,黑客不会针对已发布的一切漏洞打开抨击,但他们会赓续地扫描体系、柔件中的关键漏洞。密休根大学的一项钻研外明,一台有盛开端口或漏洞的服务器连网后,在23分钟内就会被抨击者扫描到,在56分钟内开起被漏洞探测,第一次被彻底侵袭平均时间是19幼时。

自然,扫描的频率决定了赓续监控的可走性。倘若每月扫描一次,甚至每个季度扫描一次,就很难为实时监控挑供最新的数据新闻。鉴于漏洞赓续转折,所以,提出每天赓续地扫描主要的、优先级高的中央资产。

基于Agent的赓续监控扫描

新的漏洞每天都会展现、体系配置每分钟都在转折。同时,黑客议定对新技术的行使,抨击速度和能力都得到大幅升迁。这些转折决定企业坦然状态一向处于动态转折过程中,所以赓续坦然监控显得尤为主要。所以,坦然人员必要议定专科的风险评估工具,对漏洞进走赓续检测、移除和限制,来缩短抨击面。

当下漏洞扫描工具类型包括主动和被动两栽,即基于Agent和Agentless。尽管Agentless监控解决方案和几年前相比,功能更强化盛,但与基于Agent的解决方案相比,Agentless解决方案的行使往往极为有限。基于Agent监控的解决方案是议定监控操作体系内部运走的进程实现的,与Agentless解决方案相比,新闻中心基于Agent的监控清淡能够更深入地晓畅操作体系的运走状况。

基于Agent监控的解决方案如此兴旺的因为之一是由于它们能够监控终端多个层面的内容。自然,并非一切产品都会检查各个方面,但清淡情况下,与Agentless产品相比,基于Agent解决方案的产品能够挑供更细粒度的主机运走状况。

基于Agent的监控

固然很难否认Agentless监控的便利性,但是Agentless解决方案倚赖于议定网络段“嗅探”或查询从网络端点获取的数据,这些手段获得的监控数据类型有限。基于Agent的解决方案能够直接访问受监控的端点,所以能够获取专门细粒度的监控数据。

据钻研外明,Agentless和基于Agent的IT体系管理解决方案的性能降低基原形通。但是,基于Agent的解决方案挑供了固有的可用性和坦然性上风,包括在网络休止期间管理体系的能力以及无需额外配置即可管理防火墙周围体系的能力。

由于基于Agent的解决方案和Agentless解决方案各有优弱点,所以一些供答商行使同化监控的解决方案,行使多栽监控技术而不是倚赖于单一手段。现在标是为了既能够行使Agentless监控,又能够基于Agent实现更细粒度的监控。所以,提出尽能够采用Agent监控手段,尤其是对于那些必要深入监控的、复杂的关键环境,基于Agent的手段更为正当。

三、百战不殆:主动化为漏洞修复“减压”

漏洞修复是漏洞管理最主要的步骤之一,一旦出错将会对企业产生主要影响。所以,尽快按照漏洞优先级进走修复,并将体系风险降到最矮,这一点尤为主要。但是传统人造排查漏洞、挑供修复提出以及打补丁的过程费时费力,而且出错率高。多所周知,复杂的修复过程会导致企业结构选择延宕修复,这些积累的“技术债务”对于企业而言就是一个准时炸弹。

为简化补丁处理过程以及将成本降到最矮,提出采用主动化的补丁管理解决方案。毕竟,坦然行家行为稀缺资源,不该该被奴役在那些能够议定主动化解决的浅易重复做事义务中。他们答该往解决那些主动化工具解决不了的题目,例如,确定补丁的优先级并对这些补丁的行使挑供请示提出等。

在漏洞修复时,主动化的漏洞管理解决方案能够以可视化手段周详展现风险状况并输出对答坦然通知,让坦然人员对于风险概况、团体趋势等有一个详细的晓畅。自然,对于一线操作人员而言,最有效的通知功能是晓畅必要修复哪些漏洞,以及如何完善该义务。所以,通知答该介绍风险的主要性、漏洞的检测细节和修复步骤,协助坦然人员尽快完善漏洞修复义务。同时,为已足分歧职位人员的需求,主动化的漏洞管理解决方案答该声援按照需求定制风险新闻的类型和表现方法。

此外,扫描通知答该周详、详细、易于理解、无漏报和误报。误报会占用IT人员大量的精力和时间进走排查,而漏报则会导致由于存在未修缮漏洞而被黑客行使的主要风险。清淡情况下,漏洞通知起码包括以下4块内容:

漏洞通知主要内容:

风险概览,挑供一个“一现在了然”的风险评级及各风险点概况和趋势。 风险汇总,按优先级列出一切风险点。 风险分析,详细描述资产面临的详细要挟,并准许对详细题目进走深入审阅。 补丁通知,表现补丁的状态以及负责人。

实践案例:Struts2漏洞爆发后,与黑客的一次正面交锋

下面议定吾亲身经历的一个故事,跟行家分享下在Struts2爆发后,吾们的反答过程。

某天子夜早晨,接到公司打来的一个危险求助电话。

吾赶紧掀开电脑查望报警邮件,挑示存在一个逆弹Shell的抨击走为。

深更子夜,服务器居然正在主动尝试连接外部其它服务器。在谁人刹时,吾都能想象得出来,服务器另一端谁人穿着“黑衣服”的人,面对“冒着稀奇炎气儿”的Shell易如反掌的那栽狂喜。隐晦,黑客正在疯狂抨击,情况甚是危险,必要在黑客造成真实损坏之前不准他们。

做技术的人都晓畅,逆弹Shell清淡是外网排泄的末了一步,也是内网排泄的第一步。逆弹Shell对服务器坦然乃至内网坦然的危害不消多说。

多年的一线拼杀经验通知吾,黑客清淡是行使长途命令实走、长途代码实走、Webshell、Redis未授权访问可实走体系命令等漏洞,实走逆弹命令,使现在标服务器发出主动连接乞求,从而绕过防火墙的入站访问限制规则。

① 初试无果

固然吾们记录了展现每台服务器体系交互的Shell命令,包括操作者IP、操作终端、操作用户、操作细目等关键新闻,但是出乎料想的是,在逆弹Shell这十几分钟时间内,日志上居然没发现任何黑客实走逆弹Shell操作等有关的变态操作走为。

② 转折思路

隐晦,黑客不是议定在服务器端实走命令的通例手段进走逆弹,但肯定是有其它资产存在漏洞,被黑客行使了。为了找到根本因为,吾周详清点了一下该主机上运走的资产(如虚拟机、web站点、web服务、web框架等),发现该服务器上存在Struts 2的Web框架,恰巧的是该版本恰恰存在S2-045漏洞。

要说著名的RCE(长途代码实走)漏洞,Struts2框架漏洞最为“经典”,一经爆发就被各坦然厂商行为高危危险漏洞处理。S2-045漏洞是由报错新闻包含OGNL外达式,并且被带入了buildErrorMessage这个手段运走,造成长途代码实走。S2-045只有一栽触发方法,就是将OGNL外达式注入到HTTP头的Content-Type中。

③ 柳黑花明

为确仔细实抨击源,议定查望Tomcat日志发现存在逆弹Shell走为的凶意IP,正在议定post乞求手段访问客户服务器上一个Struts2页面。至此,基本能够判定抨击者正是议定Struts2的逆序列化漏洞进走抨击,从而完善逆弹Shell的操作。值得庆幸,由于及时发现和迅速反答,黑客的抨击走为未对服务器造成任何迫害。

④ 进走逆击

最先议定防火墙立即封堵该IP,同时在WAF上竖立规则,阻截该乞求,进一步对Struts2漏洞立马打补丁。

攻防的较量从未停留,黑客与白帽子间的搏斗也越演越烈。在Struts2框架漏洞这个战场上,必要赓续深入地钻研,才能占领主动权。固然从以前展现的Struts漏洞望,凶意OGNL外达式的注入点无处不在,但随着Struts2框架版本赓续迭代,许多漏洞都被修缮。

在这边,也挑醒各位坦然人员,肯定要及时打补丁并行使最新版的Struts框架,避免被作恶分子行使而造成亏损。同时,对request乞求的参数名、参数值、cookie参数名、action的名称、Content-Type内容、filename内容、乞求体内容(逆序列化漏洞)进走验证,降矮后期被黑客行使的能够性。

坦然锦囊

大无数企业的坦然部分并不具备优裕的人力对一切漏洞进走实时反答。所以,为了最有效地行使有限的人力、物力资源,必要对漏洞反答进走优先级排序。自然只有实在地对漏洞进走风险评估,才能真实地改善漏洞管理。对此,提出从以下六个方面,挑高漏洞反答优先级排序的效果。


Powered by 尖华园林绿化工程有限公司 @2018 RSS地图 html地图

Copyright 站群 © 2013-2018 360 版权所有