漏洞扫描等工具在安全评估中的作用
姓名:王琦
单位:上海三零卫士信息安全有限公司
摘要:缺陷评估是信息安全评估体系中一个重要的环节,正确认识漏洞扫描、安全审计等安全工具在评估体系中的作用是本文的关键。
关键词:信息安全、风险评估、漏洞扫描、安全审计、安全工具
在当今信息化大潮中,信息化的安全对于每个企业或单位的业务发展起到了越来越关键的支撑作用-――支撑企业或单位的IT架构安全、有效、稳定的运转,信息流也正因此得以充分发挥其快捷性这一无可比拟的优势。对信息安全性进行专业风险评估的需求也越来越迫切。
工具型评估在整体安全评估中所处的阶段
通常在我们谈到评估时,立刻会想到资产、风险、威胁、影响、脆弱点等等一系列风险评估中的术语,对于信息系统而言,安全评估即为信息安全性的风险评估,信息系统安全评估是一个很大的专业工程,目前国内外较大的安全服务提供商一般都经历过采用BS7799和OCTA VE两种评估体系进行指导操作的发展阶段。
我们先谈一谈这两种评估体系的实施特点,在实施中大致可以分为以下几个阶段:
◆明确需求阶段
此阶段完成初期交流、预评估方案、投标和答标文档,客户和服务方均在此阶段逐
步明确评估程度;
◆规划阶段
这是一个典型的Project工程阶段,内容包括问题描述、目标和范围、SWOT分析、工作分解、里程碑、进度计划、双方资源需求、变更控制等;
◆操作执行阶段
此阶段又可分为四个子阶段,见下表:
资产评估阶段系统和业务信息收集/资产列表/资产分类与赋值/资产报告
威胁评估阶段部署IDS获取威胁点/收集并评估策略文档/BS7799顾问访谈
/事件分析/威胁报告
缺陷评估阶段扫描/审计/渗透测试/缺陷报告
风险分析和控制阶段数据整理、入库及分析/安全现状报告/安全解决方案
◆报告阶段
完成此前三个阶段的报告整理以及和用户的交流工作;
◆风险消除阶段
评估仅仅是完成客户当前风险的快照,在风险消除阶段依据此快照和开发的解决方
案进行风险的控制和消除。
以上即为风险评估的五个阶段。亲历过一个完整的评估过程的人都知道,在这个五个阶段中,只有操作执行阶段的“缺陷评估”是完全纯IT技术的操作,此外“威胁评估”中的IDS的部署和使用也涉及到了IT技术操作。在实际的评估流程操作过程当中,我们会发现相当多客户更“乐意”看到缺陷评估这样的可操作性强的报告,因为他们关心:Q1.非规范的操作或者非法的攻击行为是如何发生的?
Q2.技术上的缺陷威胁在哪里?
Q3.如何通过技术手段进行防范?
Q4.如何通过技术手段……?
很显然,客户对风险评估的认知程度和对技术完美的追求决定了他们容易对“关键资产”和“关键资产的保护”产生了相对狭隘的理解:资产必须是有形可见的,操作必须是通过技术手段实现的。这种狭隘的理解无可厚非,因为即使是目前专业的信息安全服务提供商,他们在发展初期对安全评估的理解也仅限于缺陷评估,采用的评估手段也相当有限:
●关键设备的远程/本地漏洞扫描―――借助漏洞扫描工具或人工方式操作
●关键系统的远程/本地漏洞扫描―――借助漏洞扫描工具或人工方式操作
●网络或设备的抽样审计―――借助审计工具(包括入侵检测工具)
●抽样病毒检测与查杀―――借助病毒检测工具或者人工方式操作
●渗透测试―――借助工具,更多是以人工方式操作
这样的评估方式优点是:
☑项目的可操作性强;
☑对技术弱点的把握精确;
☑结论的可指导性强;
☑技术型报告更容易被客户接受;
经过这种评估后,对信息系统进行合适安全加固,基本上可以保证该系统在短期内(在新的缺陷暴露之前)的安全性。
然而,这种简单的评估方式的缺点也显而易见:
☒在安全管理上存在严重不足;
☒对系统整体安全状况把握不足;
☒风险的计算方法通常并不科学;
☒安全加固效果的短期性导致评估必须重复、频繁进行;
这些缺点是否表明工具型的安全评估已经“不合时宜”需要被淘汰了吗?答案当然是否定的。信息安全评估在我国的发展到了今天,工具型的安全评估已经不再是各大安全服务提
供商进行安全评估的全部内容,逐渐演变成其中的一个环节,随着工具检测技术的不断进步,这个环节也逐渐发挥越来越重要的作用。
下面我们结合威胁评估和缺陷评估中使用到的安全工具谈一谈工具型安全评估在实际操作中发挥的作用。
工具型安全评估的作用
在威胁评估和缺陷评估中,按照评估的形式,我把常用的工具分为以下主动型和被动型两种:
⇨主动型:软硬件扫描系统
也称作评估仪,包括端口扫描和漏洞扫描,扫描方式分为本地、远程或者两种相结
合的方式;
⇨被动型:软硬件审计系统
包括网络安全审计和数据库审计等,考虑到数据采集的方式,在这里我们把威胁评
估中使用到的入侵检测系统(IDS)也归入此类;
需要指出的是,以上所说的工具,并非都以一个“系统”的形式存在,在实际操作过程中,这些工具可能是一个小软件,或是一台设备,也可能是在进行渗透测试中临时编写的一个小脚本。
对于人工方式进行的操作系统安全配置检查、网络设备日志审计、安全设备策略审计等审计操作中涉及到的工具,因篇幅原因,不在本文中单独讨论。
主动型扫描系统的应用
扫描系统采用主动探测的方式快速获取目标设备的脆弱点,从而协助评估人员对目标系统建立风险快照。
目前国内各大信息安全服务提供商都开发有自己的扫描系统,这些系统同时具有端口扫描和漏洞扫描的功能,扫描方式也不拘泥于一种形式,通常本地/远程均可。
在这里我们跳过扫描系统的技术实现,主要讨论一下漏洞扫描系统的特点,一个典型的工具例子是开源的漏洞扫描器Nessus(你可以从其官方网站获取该软件的最新版本和源代码),相信大家一定也对它比较熟悉。
Nessus是一款可以运行在Linux、BSD和Solaris以及其他一些系统之上的远程安全扫描软件,可以评估的平台涉及非常广泛,包括各种流行的操作系统、安全设备(如防火墙)、网络设备(如交换机、路由器)等等,截至2004年4月,该软件可检测的漏洞规则已达到2000余条,覆盖Mail服务器、Web服务器、FTP服务器、拒绝服务、缓冲区溢出、流行病毒检测等十余种缺陷类别,该软件自身生成的报告也相当完善。
以下以一个典型的扫描案例为例,说明扫描系统在评估中的作用。
---------------------------------------------------------------------------------------------------------------------- 事件描述:2004年3月,安全评估工程师使用Nessus在一次针对一个C类网段100余
