漏洞掃描等工具在安全評估中的作用

1、漏洞掃描等工具在安全評估中的作用姓名：王琦單位：上海三零衛(wèi)士信息安全有限公司摘要：缺陷評估是信息安全評估體系中一個重要的環(huán)節(jié)，正確認識漏洞掃描、安全審計等安全工具在評估體系中的作用是本文的關(guān)鍵。關(guān)鍵詞：信息安全、風險評估、漏洞掃描、安全審計、安全工具在當今信息化大潮中，信息化的安全對于每個企業(yè)或單位的業(yè)務(wù)發(fā)展起到了越來越關(guān)鍵的支撐作用支撐企業(yè)或單位的IT架構(gòu)安全、有效、穩(wěn)定的運轉(zhuǎn)，信息流也正因此得以充分發(fā)揮其快捷性這一無可比擬的優(yōu)勢。對信息安全性進行專業(yè)風險評估的需求也越來越迫切。工具型評估在整體安全評估中所處的階段通常在我們談到評估時，立刻會想到資產(chǎn)、風險、威脅、影響、脆弱點等等一系列風險評

2、估中的術(shù)語，對于信息系統(tǒng)而言，安全評估即為信息安全性的風險評估，信息系統(tǒng)安全評估是一個很大的專業(yè)工程，目前國內(nèi)外較大的安全服務(wù)提供商一般都經(jīng)歷過采用BS7799和OCTAVE兩種評估體系進行指導操作的發(fā)展階段。我們先談一談這兩種評估體系的實施特點，在實施中大致可以分為以下幾個階段：u 明確需求階段此階段完成初期交流、預(yù)評估方案、投標和答標文檔，客戶和服務(wù)方均在此階段逐步明確評估程度；u 規(guī)劃階段這是一個典型的Project工程階段，內(nèi)容包括問題描述、目標和范圍、SWOT分析、工作分解、里程碑、進度計劃、雙方資源需求、變更控制等；u 操作執(zhí)行階段此階段又可分為四個子階段，見下表：階 段內(nèi) 容資產(chǎn)

3、評估階段系統(tǒng)和業(yè)務(wù)信息收集/資產(chǎn)列表/資產(chǎn)分類與賦值/資產(chǎn)報告威脅評估階段部署IDS獲取威脅點/收集并評估策略文檔/BS7799顧問訪談/事件分析/威脅報告缺陷評估階段掃描/審計/滲透測試/缺陷報告風險分析和控制階段數(shù)據(jù)整理、入庫及分析/安全現(xiàn)狀報告/安全解決方案u 報告階段完成此前三個階段的報告整理以及和用戶的交流工作；u 風險消除階段評估僅僅是完成客戶當前風險的快照，在風險消除階段依據(jù)此快照和開發(fā)的解決方案進行風險的控制和消除。以上即為風險評估的五個階段。親歷過一個完整的評估過程的人都知道，在這個五個階段中，只有操作執(zhí)行階段的“缺陷評估”是完全純IT技術(shù)的操作，此外“威脅評估”中的IDS的

4、部署和使用也涉及到了IT技術(shù)操作。在實際的評估流程操作過程當中，我們會發(fā)現(xiàn)相當多客戶更“樂意”看到缺陷評估這樣的可操作性強的報告，因為他們關(guān)心：Q1. 非規(guī)范的操作或者非法的攻擊行為是如何發(fā)生的？Q2. 技術(shù)上的缺陷威脅在哪里？Q3. 如何通過技術(shù)手段進行防范？Q4. 如何通過技術(shù)手段？很顯然，客戶對風險評估的認知程度和對技術(shù)完美的追求決定了他們?nèi)菀讓Α瓣P(guān)鍵資產(chǎn)”和“關(guān)鍵資產(chǎn)的保護”產(chǎn)生了相對狹隘的理解：資產(chǎn)必須是有形可見的，操作必須是通過技術(shù)手段實現(xiàn)的。這種狹隘的理解無可厚非，因為即使是目前專業(yè)的信息安全服務(wù)提供商，他們在發(fā)展初期對安全評估的理解也僅限于缺陷評估，采用的評估手段也相當有限：l

5、 關(guān)鍵設(shè)備的遠程/本地漏洞掃描 借助漏洞掃描工具或人工方式操作l 關(guān)鍵系統(tǒng)的遠程/本地漏洞掃描 借助漏洞掃描工具或人工方式操作l 網(wǎng)絡(luò)或設(shè)備的抽樣審計 借助審計工具（包括入侵檢測工具）l 抽樣病毒檢測與查殺 借助病毒檢測工具或者人工方式操作l 滲透測試 借助工具，更多是以人工方式操作這樣的評估方式優(yōu)點是：þ 項目的可操作性強；þ 對技術(shù)弱點的把握精確；þ 結(jié)論的可指導性強；þ 技術(shù)型報告更容易被客戶接受；經(jīng)過這種評估后，對信息系統(tǒng)進行合適安全加固，基本上可以保證該系統(tǒng)在短期內(nèi)（在新的缺陷暴露之前）的安全性。然而，這種簡單的評估方式的缺點也顯而易見：

6、53; 在安全管理上存在嚴重不足；ý 對系統(tǒng)整體安全狀況把握不足；ý 風險的計算方法通常并不科學；ý 安全加固效果的短期性導致評估必須重復、頻繁進行；這些缺點是否表明工具型的安全評估已經(jīng)“不合時宜”需要被淘汰了嗎？答案當然是否定的。信息安全評估在我國的發(fā)展到了今天，工具型的安全評估已經(jīng)不再是各大安全服務(wù)提供商進行安全評估的全部內(nèi)容，逐漸演變成其中的一個環(huán)節(jié)，隨著工具檢測技術(shù)的不斷進步，這個環(huán)節(jié)也逐漸發(fā)揮越來越重要的作用。下面我們結(jié)合威脅評估和缺陷評估中使用到的安全工具談一談工具型安全評估在實際操作中發(fā)揮的作用。工具型安全評估的作用在威脅評估和缺陷評估中，按照評估的

7、形式，我把常用的工具分為以下主動型和被動型兩種：ð 主動型：軟硬件掃描系統(tǒng)也稱作評估儀，包括端口掃描和漏洞掃描，掃描方式分為本地、遠程或者兩種相結(jié)合的方式；ð 被動型：軟硬件審計系統(tǒng)包括網(wǎng)絡(luò)安全審計和數(shù)據(jù)庫審計等，考慮到數(shù)據(jù)采集的方式，在這里我們把威脅評估中使用到的入侵檢測系統(tǒng)（IDS）也歸入此類；需要指出的是，以上所說的工具，并非都以一個“系統(tǒng)”的形式存在，在實際操作過程中，這些工具可能是一個小軟件，或是一臺設(shè)備，也可能是在進行滲透測試中臨時編寫的一個小腳本。對于人工方式進行的操作系統(tǒng)安全配置檢查、網(wǎng)絡(luò)設(shè)備日志審計、安全設(shè)備策略審計等審計操作中涉及到的工具，因篇幅原因，不

8、在本文中單獨討論。主動型掃描系統(tǒng)的應(yīng)用掃描系統(tǒng)采用主動探測的方式快速獲取目標設(shè)備的脆弱點，從而協(xié)助評估人員對目標系統(tǒng)建立風險快照。目前國內(nèi)各大信息安全服務(wù)提供商都開發(fā)有自己的掃描系統(tǒng)，這些系統(tǒng)同時具有端口掃描和漏洞掃描的功能，掃描方式也不拘泥于一種形式，通常本地/遠程均可。在這里我們跳過掃描系統(tǒng)的技術(shù)實現(xiàn)，主要討論一下漏洞掃描系統(tǒng)的特點，一個典型的工具例子是開源的漏洞掃描器Nessus（你可以從其官方網(wǎng)站獲取該軟件的最新版本和源代碼），相信大家一定也對它比較熟悉。Nessus是一款可以運行在Linux、BSD和Solaris以及其他一些系統(tǒng)之上的遠程安全掃描軟件，可以評估的平臺涉及非常廣泛，包

9、括各種流行的操作系統(tǒng)、安全設(shè)備（如防火墻）、網(wǎng)絡(luò)設(shè)備（如交換機、路由器）等等，截至2004年4月，該軟件可檢測的漏洞規(guī)則已達到2000余條，覆蓋Mail服務(wù)器、Web服務(wù)器、FTP服務(wù)器、拒絕服務(wù)、緩沖區(qū)溢出、流行病毒檢測等十余種缺陷類別，該軟件自身生成的報告也相當完善。以下以一個典型的掃描案例為例，說明掃描系統(tǒng)在評估中的作用。-事件描述：2004年3月，安全評估工程師使用Nessus在一次針對一個C類網(wǎng)段100余臺主機的掃描過程中，發(fā)現(xiàn)至少15臺主機存在以下缺陷（下面結(jié)果經(jīng)過整理）：漏洞名稱Rpc 服務(wù)： 檢測到W32.Welchia.Worm（沖擊波殺手）病毒漏洞描述評估儀已檢測到目標主機

10、已經(jīng)感染W(wǎng)32.Welchia.Worm病毒，該病毒利用RPCDCOM緩沖區(qū)溢出漏洞和WebDAV緩沖區(qū)溢出漏洞進行感染和傳播，在傳播過程中發(fā)送的數(shù)據(jù)有可能造成網(wǎng)絡(luò)堵塞。該病毒自2003年8月爆發(fā)以后，截至2004年2月已經(jīng)出現(xiàn)多個變種，所利用的漏洞也在不斷增加，危害巨大。請務(wù)必引起重視。風險等級高解決方案請安裝殺毒軟件，立刻升級病毒庫進行查殺，同時必須進行防護措施，以防再次被感染。防護措施：盡管有臨時解決方案，例如設(shè)置防火墻或者IP安全策略等方法防治感染，但我們強烈建議您盡快進行Windows更新，以消除該病毒所利用的漏洞引起的隱患。請參考下面網(wǎng)址：Microsoft Security Bu

11、lletin MS03-039  Microsoft Security Bulletin MS03-007  上面的探測結(jié)果中描述了一個Windows平臺的漏洞，內(nèi)容包括漏洞細節(jié)、危險級別的判斷以及相應(yīng)的解決方案，這對我們的評估至少提供了以下幾點信息：Ø 該網(wǎng)段計算機用戶采用Windows 2000/XP/2003系統(tǒng)占相當?shù)谋壤?#216; 該網(wǎng)絡(luò)尚未部署防病毒軟件，或防病毒軟件病毒特征庫未及時更新；Ø 該網(wǎng)段為單位內(nèi)網(wǎng)，內(nèi)外網(wǎng)采用了物理隔離措施，但仍然被該網(wǎng)絡(luò)蠕蟲病毒感染，表明可能有用戶擅自接入外網(wǎng)，或者移動設(shè)備（如筆記本）管理

12、不善；Ø 該病毒的一個特點是發(fā)送大量ICMP數(shù)據(jù)報文，易造成網(wǎng)絡(luò)堵塞，該網(wǎng)段內(nèi)用戶卻沒有上報網(wǎng)絡(luò)中斷事件，表明該網(wǎng)絡(luò)利用率并不高，且用戶計算機操作水平較低；Ø 該病毒所利用的漏洞公布日期距今接近9個月，然而這些計算機卻沒有及時進行升級，表明計算機管理員安全意識較弱，并沒有定期系統(tǒng)升級的習慣（或方式），或者缺乏相應(yīng)的制度進行約束；評估結(jié)論片斷：鑒于該漏洞的嚴重性，該網(wǎng)段評估結(jié)果為高危險，且應(yīng)立刻檢測其他網(wǎng)段，并采取相應(yīng)的安全技術(shù)和管理措施。-以上僅是一個簡單的案例分析，在實際操作過程當中因環(huán)境的不同，需要考慮的問題應(yīng)該更加全面。從這個案例可以看出，掃描工具對于我們快速了解目標

13、信息系統(tǒng)網(wǎng)絡(luò)設(shè)備的安全概況提供了便利。被動型審計系統(tǒng)的應(yīng)用審計系統(tǒng)采用被動方式捕獲目標信息系統(tǒng)數(shù)據(jù)，安全評估人員通過對審計系統(tǒng)生成的圖表和日志進行分析，從而獲知目標系統(tǒng)的脆弱點。目前安全產(chǎn)品市場上所指的審計系統(tǒng)通常指網(wǎng)絡(luò)安全審計和數(shù)據(jù)庫審計兩種，網(wǎng)絡(luò)安全審計可以幫助掌握網(wǎng)絡(luò)使用情況，監(jiān)測網(wǎng)絡(luò)內(nèi)部傳輸?shù)男畔?，發(fā)現(xiàn)正在發(fā)生的機密信息的泄漏和竊取，以及其他的違規(guī)操作行為?？紤]到評估數(shù)據(jù)的相似性，我們把嗅探工具、病毒掃描以及入侵檢測系統(tǒng)均劃分在了審計系統(tǒng)的范圍。在這里我們?nèi)匀粧侀_審計工具的技術(shù)原理實現(xiàn)，舉例網(wǎng)管人員熟知的NAI公司的產(chǎn)品SnifferPro（你可以從NAT官方網(wǎng)站獲取該軟件的信息）介紹

14、審計工具在安全評估中的應(yīng)用。-事件描述：在一次對客戶信息系統(tǒng)安全評估過程當中，使用SnifferPro V4.70對網(wǎng)絡(luò)進行了24小時的監(jiān)控。工具接入點如下圖所示。InternetMail 服務(wù)器防火墻Web 服務(wù)器內(nèi)網(wǎng)探測點(1)探測點(2)圖一：Sniffer監(jiān)測示意圖以下是幾個報文數(shù)據(jù)捕獲的截屏圖片：圖二：探測點(1)截獲的數(shù)據(jù)（片斷）DMZ區(qū)監(jiān)控圖三：探測點(2)截獲的數(shù)據(jù)（片斷）內(nèi)網(wǎng)段監(jiān)控本文不是一篇Sniffer操作手冊，所以我們只摘取其中一部分報文進行分析，如上面三圖所示，我們可以獲得的基本信息有：Ø 根據(jù)圖二并結(jié)合數(shù)據(jù)報文的詳細信息，我們可以看出外部訪問者212.*.

15、*.*成功進入服務(wù)器的FTP服務(wù)；Ø 該服務(wù)器FTP口令較弱，已經(jīng)被攻擊者竊取，或者已經(jīng)泄漏；Ø 該服務(wù)器的FTP服務(wù)存在嚴重缺陷，攻擊者已經(jīng)成功利用了Web服務(wù)器所開放的FTP服務(wù)存在的缺陷（Serv-U MDTM遠程緩沖區(qū)溢出漏洞），并已經(jīng)獲取了系統(tǒng)的最高權(quán)限。Ø 根據(jù)圖三數(shù)據(jù)連接頻度及連接信息可以看出，內(nèi)網(wǎng)主機0在頻繁向同網(wǎng)段主機發(fā)送長度為60字節(jié)的ICMP包，并試圖連接目標主機的9606端口；評估結(jié)論片斷：關(guān)鍵服務(wù)器已被外部訪問者攻擊，需要FTP服務(wù)是否存在弱口令用戶，以及FTP是否需要對外公開，如果非公開，防火墻是否已經(jīng)正確設(shè)定相應(yīng)規(guī)則以阻斷訪問，F(xiàn)TP存在的嚴重缺陷需要盡快修補；內(nèi)網(wǎng)發(fā)生的掃描行為是否合法，是否被病毒感染。-在以上的審計案例中，我們可以看到審計工具的功能是非常強大的，但由于審計是被動型的數(shù)據(jù)捕獲，它并不針對某一安全問題或者故障進行工作，所以具有一定的局限性，例如需要較長時間的監(jiān)控才能獲取足夠的原始數(shù)據(jù)，在數(shù)據(jù)捕獲期間如果不是網(wǎng)絡(luò)業(yè)務(wù)高峰期，且恰巧沒有安全問題發(fā)生，那么捕獲的數(shù)據(jù)就不滿足安全分析的需要，評估的結(jié)果就和實際情況有很大差別。所以在實際操作過程中，需要在整個安全評估的初期和客戶進行深入的溝通，了解系統(tǒng)細節(jié)，選擇合適的時間和合適的工具進行審計。最后工具的輔助是一個完整的安全評