从互联网兴起至今,利用漏洞攻击的网络安全事件不断,并且呈日趋严重的态势。每年全球因漏洞导致的经济损失巨大并且在逐年增加,漏洞已经成为危害互联网的罪魁祸首之一,也成了万众瞩目的焦点。安全漏洞扫描是一种针对系统、设备、应用的漏洞进行自动化检测、评估到管理的过程,广泛应用于信息系统安全建设和维护工作,是评估与度量信息系统风险的一种基础手段。
安全漏洞(security hole)
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。
安全漏洞有很多种分类方式,按照漏洞宿主不同,可以分为三大类:第一类是由于操作系统本身设计缺陷带来的安全漏洞,这类漏洞将被运行在该系统上的应用程序所继承;第二类是应用软件程序的安全漏洞;第三类是应用服务协议的安全漏洞。近年来,针对应用软件程序和应用服务协议安全漏洞的攻击越来越多,同时利用病毒、木马技术进行网络盗窃和诈骗的网络犯罪活动呈快速上升趋势,产生了大范围的危害,由此造成的经济损失也是越发巨大。
针对Web应用安全漏洞的攻击也在逐渐成为主流的攻击方式。利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等,黑客能够得到Web服务器的控制权限,从而轻易篡改网页内容或者窃取重要内部数据,甚至在网页中植入恶意代码(俗称“网页挂马”),使得更多网站访问者受到侵害。
随着技术的不断进步,漏洞的发现、漏洞利用技术也发展到一个较高水平,从总体上来看,漏洞的发展趋势主要表现为以下几个方面:
• Windows系统应用广泛,依然是黑客重点注意的目标。2010 年微软共发布了106个安全公告,修复了247个漏洞,比上一年多了57个,公告中41个是最高的严重级别,60个为重要级别,没有 low 级别,其中操作系统漏洞达到214个。
• 随着虚拟化长足发展,基于虚拟化软件的安全漏洞挖掘及漏洞利用是最常见也是危害比较严重的。截至到目前为止,一些知名虚拟化软件的安全漏洞已经达到上百个,占据X86 虚拟化市场绝对份额的VMware 更是首当其冲。近些年来先后发生过如虚拟环境下共享文件夹目录遍历漏洞、VMware的Mac 版本Fusion 安全漏洞导致通过Windows虚拟机在Mac 主机上执行恶意代码等。
• 国际上出现大量的专业漏洞研究组织,漏洞的出现到漏洞被利用的时间在不断的缩短,同时0-day 攻击的数量在逐渐增加。
• 利用漏洞攻击的重心由服务器端向客户端过渡,由系统层和网络层逐渐向应用层扩展;Web应用安全漏洞造成危害日益凸显。
• 漏洞的发现、利用不仅仅局限于常见的网络设备、操作系统,而且不断的向新的应用领域扩散。
• 利用漏洞的蠕虫逐渐减少,利用漏洞攻击的手法越来越诡异,越来越隐蔽。
0-day攻击(Zero-Day Attack)
0-day通常是指还没有补丁的漏洞,而0-day攻击则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者,0-day漏洞的利用程序对网络安全具有巨大威胁。
国际上出现大量的专业漏洞研究组织,漏洞的出现到漏洞被利用的时间在不断的缩短,同时0-day 攻击的数量在逐渐增加。
安全漏洞扫描的必要性
安全漏洞扫描针对系统、设备、应用的脆弱性进行自动化检测,帮助企业或者组织来侦测、扫描和改善其信息系统面临的风险隐患;侦测某个特定设备的系统配置、系统结构和属性;执行安全评估和漏洞检测;提供漏洞修补和补丁管理;是企业和组织进行信息系统合规度量和审计的一种基础技术手段。
随着企业IT规模的不断增大,在网络安全建设中面临千变万化的攻击手法,单纯采取被动防御的技术手段越发显得力不从心,更多的用户开始关注风险的管理与度量,侧重在“事前”尽量降低甚至规避风险。“探测与发现”漏洞全面性,同时增强了帮助用户“管理漏洞”侧重“修复”的能力。实现真正意义上的漏洞修复闭环,应对日益变化的安全漏洞形势。
天磊卫士可利用评估工具,配合用户业务要求,对网络层、操作系统层、应用层等范围以远程扫描的方式对评估范围内的系统和网络进行的安全扫描服务,规避风险。
安全漏洞评估的发展大致可以分为两个阶段:
第一个发展阶段的特性是安全测试工具,用户使用这类工具,尽可能模拟黑客攻击行为,为进一步分析系统的缺陷提供测试数据。代表性产品有早起的Nmap、Nessus、Nikto等;这个阶段模拟攻击的测试工具,围绕“探测与发现”,更多关注某个具体的漏洞,比如弱口令、操作系统的某个漏洞、CGI的某个漏洞网路协议的某个漏洞。集中在“探测与发现”能力上,在提供给用户解决方案上存在不足;同时该阶段的漏洞评估产品基本没有考虑基于扫描结构的后期分析、统计;无法帮助用户对资产的漏洞进行方便的管理。
第二个发展阶段是安全评测与管理工具,融入了资产、风险管理等概念,为用户提供了更为全面的漏洞评估和资产管理能力。这个阶段以IT资产为核心,侧重于漏洞生命周期管理。单靠完成检测而不能实现真正意义上的漏洞修复闭环,已经不能应对日益变化的安全漏洞形势,因此安全漏洞扫描基于漏洞扫描核心技术,并将IT资产与风险漏洞相结合,在尽可能准确发现网络主机的安全漏洞之余,还可以协助管理员进行漏洞修补。所以安全漏洞扫描服务是进一步加强了“探测与发现”漏洞全面性,同时增强了帮助用户“管理漏洞”侧重“修复”的能力。在发现的基础上,对每个漏洞给出详细信息和一些修补建议。
对于企业而言,漏洞扫描可以为其带来如下收益:
1.节省企业成本
漏洞扫描的过程包括现在漏洞全面检测,漏洞分析,安全评估及安全建议,无需客户另行购买漏洞扫描产品,因此,不存在设备的运行和升级维护成本、人员设备管理成本。
2. 漏洞修补目标明确
漏洞扫描报告中明确了漏洞的修补建议,客户不再需要耗费大量的时间去分析哪些漏洞需要怎么处理,既减少了漏洞分析过程所耗费的时间,也可以将主要的精力放在漏洞的修补上面。而且漏洞扫描报告中已经提供了关于每个漏洞确实可行的修补方案,客户一般只需要按照建议修补即可。
3. 提高安全意识
周期性的漏洞扫描可以及时为客户提供近期系统中存在的安全漏洞,解决了因管理人员忙于其它事务没时间进行漏洞扫描而带来的安全管理缺失。
虽然漏洞扫描产品可以帮助客户发现安全漏洞,但是只能对漏洞进行粗浅的定性和不够完备的解决方案,无法达到安全漏洞精细化管理的目标。而漏洞扫描正是对其最有效的补充。
安全漏洞扫描是一项极具挑战的课题,是信息安全工作过程中治本的方式,只有通过对风险的控制与消除才能从根源上消除安全威胁。面临千变万化的攻击手法,单纯采取被动防御的技术手段越发显得力不从心,更多的用户开始关注风险的管理与度量,侧重在“事前”尽量降低甚至规避风险。另一方面,国家政策和行业法规对安全风险监督的不断严格,需要采用更有效的风险管控手段进行自身安全管理以满足不断严格的合规监管要求。因此漏洞评估将在信息安全技术发展中扮演越来越重要的角色。