新闻中心

NEWS CENTER​

网站首页 > 新闻中心 > 行业新闻

漏洞扫描的一些运营常识

发布时间:2021-05-07

浏览次数:895

  之前有跟大家讲解一些关于漏洞扫描的一些情况。这期呢主要想简单的聊一下安全运营里,关于漏洞扫描的一些简单常识。

  漏洞扫描是信息安全工作里,完成风险评估很常见的一种手段。就像是医生用X光来检查一下病人的身体,是不是有毛病一样,安全工作者经常通过漏洞扫描来评估目标系统是否存在漏洞,进而决策如何做下一步的安全防护。

  漏洞扫描的原理是发送特定的请求,到远程服务,根据远程服务返回的行为,判断是否存在某个具体漏洞(也有很多时候是根据返回的版本号信息来判断)。

  1、漏洞扫描有什么影响

  1.1 网络影响

  请求网络包的频率、数量,对网络和应用造成影响,交换机/路由器可能因此宕机,引发连锁反应,QPS过高可能超出服务的性能极限,导致业务中断;

  1.2 异常处理影响

  业务无法正确处理请求包里的特殊输入,引发异常宕机,比如一个私有协议的服务也许只是碰巧听在了TCP 80端口,收到一个HTTP Get请求就直接挂了;

  1.3 日志影响

  请求公网的业务时,每一个URL的探测,都可能造成一个40x或者50x的错误日志。而业务的正常监控逻辑正是用Access Log里的状态码来进行的。不做任何处理的话,突然40x猛增,业务的SRE和RD必然要进行响应,如果他们从半夜、假期着急忙慌的登录VPN查了半天发现是安全工程师触发的,甚至还连带了1.1、1.2的影响,把某业务弄出事了,这个责任一定是安全工程师要背负的。

  2、产生了什么问题

  对于安全工程师而言,不扫描可能意味着无法开展工作了,无法得知公司风险,无从开展治理工作;对于业务方而言,扫描意味着添乱,业务不可用的风险是较大的风险;有不少同行因此背锅黯然受伤的,也有一些强势的同行得罪了业务的。

  3、错在了哪儿

  漏洞扫描对于业务侧来说,是一种新的变化。一个变化的一次引入,有问题是必然的,没问题才是异常的。合理的做法是遵循ITIL里的“变更管理”。

  变更计划:扫描的时间、IP/URL/端口范围、QPS、测试用例集(有DoS的测试用例选择、有Delete/Update相关的资产选择、有POST隐蔽接口的选择)

  变更风险评估:交换机路由器的流量和容量、业务的QPS、业务/网络挂掉的较极端风险评估

  变更知会:业务的管理者、RD、SRE、DBA、QA甚至网络维护方,是否知道上述所有关键信息,并授权同意进行扫描(全公司强制的至少做到知会)

  回滚计划:如果出了问题,怎么很快速的停止扫描和恢复业务(有些动作要上面的变更知情范围的关键干系人配合)

  变更观察:执行扫描的时候,大家有没有在盯着服务是否出错(以及判断业务是否正常),以便在出问题的很快做出响应;

  变更总结:灰度执行过程中总结不到位的地方,在下一次工作中改进

  严格的说,不按照这些方法,上来就一通猛扫的,的确是安全同行自身没有做到足够专业。不能怪业务侧不理解不支持。

  4、解决建议:公网坚决扫,内网谨慎

  按网络分类:互联网公开业务、内网业务

  按服务类型分类:Web类、高危服务类、私有协议类

  公网Web服务,业务必须接受安全检查,因为我们不扫,黑也会没日没夜的盯着业务扫。与其未来无计划的被黑扫挂,不如有节奏的按变更计划,逐步适应被扫描。

  在遵守变更管理原则的前提下,也就是上线稍微繁琐痛苦一些,比如业务侧需要1个月时间修改监控逻辑(忽略扫描器触发的错误请求),需要对某些扫描触发的异常进行兼容适配,甚至某些无人维护的业务被扫描之后改不了,只好加白名单。这些需要磨合。磨合完毕,也就是安全团队可以例行周期不间断扫描的时候,上述问题根本就不再是问题了。

  公网高危服务:只识别协议,不做漏洞检测,因为高危服务的端口开放出来就是不可取的,直接关掉服务比较直接,检测漏洞只是浪费更多的资源罢了;

  公网私有协议:大多数扫描器并不能支持这些协议的漏洞检测,只能忽略不做扫描,当然这里会存在盲点,暂时不展开;

  内网服务的复杂度比上面高很多倍,一方面,内网你不扫,黑进来扫的几率没那么大。另一方面,大家对传统的特权的依赖导致内网漏洞比公网多很多,也更禁不住扫,你一扫,大概率就是会出事的。

  所以,如果只做端口扫描,确定交换机路由器还扛得住的情况下(嗯,之前遇到过老旧的网络设备你稍微开一点扫描请求它直接挂掉的现象),相对可接受。

  协议识别这一步可能触发某些脆弱的服务挂掉,账号爆破则可能触发账号封禁(继而引发连带的事故),而漏洞扫描风险更大。

  所以,多数时候其实并不鼓励使用网络扫描的方式来做内网风险评估,如果agent能够采集到版本号、配置、账号相关的信息,其实也能完成风险数据的采集,不必死盯着网络扫描这一个手段。

  可是,这样内网岂不是很多风险了?

  残酷的事实是,是的,这是现在的绝大多数企业的现状,非常可怕,对么?如果某些漏洞特别情急(比如MS17-010),针对特定的端口服务,内网其实也可以遵守上面的标准流程去扫描的,但是全量全范围的漏洞扫描,就很难实施了。

  以上就是漏洞扫描的一些运营常识,大家可以参考一下,想要了解更多,欢迎关注本网站或者致电上海观初网络科技有限公司了解更多小知识。
我是分类列表
电话:+86-21-56522127
地址:上海市中山北路198号申航大厦1607室

联系我们

CONTACT US

隐私协议
×

平台信息提交-隐私协议

● 隐私权政策

我们致力于保护您在使用本网站时所提供的隐私、私人资料以及个人的资料(统称“个人资料”)。使我们在收集、使用、储存和传送个人资料方面符合(与个人资料隐私有关的法律法规)及消费者保护方面的最高标准。为确保您对本网站在处理个人资料上有充分信心,您切要详细阅读及理解隐私政策的条文。 本网站(下称“我们”)尊重并保护用户隐私, 特别时您一旦使用本网站,将被视为接受、同意、承诺和确认本隐私协议;您在自愿下连同所需的同意向我们披露个人资料;您会遵守本隐私政策的任何修改;您同意我们的相关业务人员就您可能会感兴趣的产品和服务与您联络(除非您已经表示不想收到该等讯息)。被收集的个人资料的种类经您的同意、我们会收集、管理和监控个人资料。

1、 适用范围

为用户提供更好、更优、更个性化的服务是本网站坚持不懈的追求,也希望通过我们提供的服务可以更方便您的需求。本隐私权政策适用于本网站提供的所有关于信息收集的服务,您访问本网站及使用本网站提供的服务均使用本隐私权政策。

2、 我们收集哪些信息

为了向您提供我们的各项服务,您需要提供个人资料信息,其中包括个人资料和不具名的资料,包括但不限于:个人资料(您的姓名、性别、年龄、出生日期、电话号码、传真号码、住址或通讯地址、电子邮箱地址等)。

3、 我们如何使用收集到的信息

收集个人资料和不具名的资料目的及用途如下:通过本网站向您提供我们的各项服务;当您使用我们的网站时,能辨认以及确认您的身份;让您使用本网站时得到为您而设的服务;本网站的相关业务人员有需要时可以与您联系;让您在使用本网站时更加方便;您提供给我们的个人资料及不具名资料,只保留到搜集的目的已达到的时候,除非因适用的法律法规之规定而继续保留。个人资料的拥有权及披露在我们网站上所收集的一切资料都由我们所拥有,不会出租或出售给任何无关的第三方。

4、 我们如何保护信息

对于个人资料的保护,我们实施妥适的实物、电子、管理的措施来保护和保障您的个人资料的安全。我们尽力确保通过本网站所收集的任何个人资料皆免于任何与我们无关的第三者的滋扰。我们采取的安全措施不限于: 实物措施:存有您个人资料的记录会被存放在有锁的地方 电子措施:存有您个人资料的电脑数据会被存放在受严格登录限制的电脑系统和存储媒体上 管理措施:只有经过我们授权的职员才能接触到您的个人资料,这些职员需要遵守我们个人资料保密的内部规则 若您知悉本网站上有任何安全方面的漏洞,请及时联络我们,使我们可以尽快采取妥适的行动;尽管实施了上述安全措施,我们不能保证资料在互联网上的输送绝对安全,因此我们不能绝对保证您通过本网站提供给我们的个人资料及不具名的资料在一切时候都是安全的。对任何因未经授权而接触您个人资料所发生的事件我们一概不承担责任,于这方面产生或导致的任何损失和损害,我们也不负责赔偿。

5、 未成年人保护法

未成年人在无任何家长或监护人相信有未成年人在未经家长或监护人批准或同意下向本网站提供了个人资料,请及时联系本网站所公示电话及客服电话等,以确保资料被除去。

6、 隐私政策的修定与生效

随着本网站的服务范围扩大,我们可能适时修订《法律声明及隐私权政策》,该等修订构成本《法律声明及隐私权政策》的一部分。为避免您不能及时获知该等修订,请您经常阅读本《法律声明及隐私权政策》。无论何种方式,如您继续使用我们的服务,即表示同意受经修订的本《法律声明及隐私权政策》的约束。