從管理角度談業務系統漏洞發現手段
前言
安全漏洞可以說是業務系統所有安全事件的源頭,漏洞是一個寬泛概念,既包括安保、社工導致的意識流問題,也包含軟硬件技術處理層面的缺陷問題,本文主要討論技術方向,不涉及安保、員工意識等非技術問題。
漏洞發現是安全管理工作的前置必要條件,漏洞發現的全面性和及時性,很大程度上決定著整個漏洞治理和安全管理工作的質量,這應該是廣大安全從業人員的共識,根據我淺薄的從業經驗,漏洞發現途徑大致可以分為人工資產匹配、漏洞掃描工具、滲透測試等三類,下面依次展開說明。
人工資產匹配
人工資產匹配方式指在不具備本文后兩種發現手段執行條件(特征匹配和腳本驗證)的情況下,根據現有資產信息進行漏洞匹配(大多是根據版本進行,部分會涉及具體功能),主要適用于0day或已披露、爆發時間較短的漏洞,通常由軟硬件廠商或監管機構、上級單位進行發布和通報,前者一般是單位自發排查處置,但后兩種通告是強制任務,甚至部分緊要漏洞會要求限時反饋、上報受影響和處置情況,安全團隊如不能根據已有資產信息快速做出判斷,雖說部分企業的資產管理工作不是安全團隊職能,但拉扯過程中可能或多或少會給高層留下工作不力的印象,甚至扣上推諉的帽子。
其實資產是漏洞發現的基礎,漏洞掃描、滲透測試都是基于資產信息(URL、端口、IP、域名等)開展的,尤其是經歷了快速增長期和漫長建設期的單位,資產管理工作往往或多或少都有欠缺,資產管理細細理順講來又可以寫一篇文章,本文就不再展開了。
漏洞掃描工具
漏洞掃描工具五花八門,根據其來源屬性可以分為開源的、國內外商用的(含號稱國產自研的硬件盒子),根據其主要作用資產對象屬性又可以分為主機掃描器、WEB應用掃描器等,根據其架構可以分為C/S、網絡代理等,但究其根本大致可以劃分為兩種技術模式,猜測式匹配檢測和POC式驗證機制,各有優劣,大致特點如下:
1.誤報的猜測式匹配檢測
通過遠程檢測資產對象的網絡服務和組件程序,收集返回的響應數據,根據漏洞庫中的已知漏洞特征(版本、協議、響應特征等)進行模糊判斷,滿足組成條件則視為存在漏洞,但很多漏洞經過加固或修復后,其響應信息特征可能不會發生根本改變,這就產生了誤報,我相信很多從業人士都因此挨過甲方、運維或者開發的懟。
猜測式匹配檢測和上文提到的人工資產匹配有異曲同工之妙,都是在不具備腳本驗證條件的情況下通過匹配版本進行的,不同之處有二,一是在于前者是根據廠商維護更新的工具半自動化進行的,通常雖更新時效不會太快,但技術成熟、漏洞信息全面,二是前者是判斷維度不只有版本資產信息,還涉及協議、響應頭等動態特征。
2.漏報的POC式驗證檢測
基于驗證腳本的自動化過程,通過模擬已知漏洞利用手法(腳本)自動對資產對象進行仿真攻擊(注意是仿真,不具有實際危害或實際危害可控),分析目標動態變化判斷攻擊是否成功,攻擊成功則視為存在漏洞。POC式驗證檢測依賴驗證腳本,歷史已知漏洞不計其數,驗證腳本覆蓋不完全,會產生漏報。
3.誤報漏報抉擇建議
猜測式匹配檢測的漏洞庫全面,存在誤報,POC式驗證檢測受限于驗證腳本的覆蓋面,存在漏報,誤報和漏報貌似是兩個極端。
(1)對于采買漏掃產品的單位:
好在近年來部分廠商意識到了問題,更新迭代的漏掃產品減少了對于版本對比等簡單特征判斷的依賴,結合POC機制,降低了誤報率,雖然掃描速度相對較慢,但魚和熊掌皆可兼得。
另外鑒于廠商腳本的更新時效不可控,建議采買支持自定義POC腳本的漏掃產品,以備不時之需,部分廠商產品雖號稱支持POC功能,但為內置腳本庫,不支持自定義。
(2)對于采買漏掃服務的單位:
明確要求服務單位使用基于POC、特征庫的多款產品進行交叉驗證,POC檢測發現的漏洞直接交付給運維、開發等下一流程使用,基于猜測檢測發現的漏洞要求乙方根據IP、端口、CVE號等進行篩重后扭轉到下一流程。
滲透測試
1.定義介紹
通常來說滲透測試也包含漏洞掃描,但前者在目標上更傾向于取得權限或數據,偏重于縱向入侵,而非僅僅發現一些漏洞,發現、組合和利用漏洞是滲透測試關鍵手段,漏洞即可以是常見的高風險的已披露的安全問題,也可以是獨有特殊的業務邏輯扭轉處理上的錯誤(如薅羊毛)。
2.實踐中存在的問題
在信息安全越來越重要的如今,各個互聯網大廠要是沒搞個眾測平臺,出門都不好意思打招呼的“眾測”時代,滲透人員只要花時間在平臺上磨,都可以獲得一定的經濟收益,特別是前幾年,相關法律法規都尚未完善,漏洞披露平臺授權沒授權的一通亂燉,故此江湖上流傳著很多靠挖洞發家致富、買車買房的傳說,這些平臺的注冊用戶大多是乙方專職的安全技術服務人員,趨利性催生了一種怪誕的現象“工作只是副業,上平臺挖洞才是主業”,在各種滲透評估服務項目里也就草草應付了事,取得某些權限就交付報告完成滲透工作了,甚至把滲透測試做成了漏洞掃描結果驗證。
3.可能的解決方案
(1)對于甲方單位:
市面上安全服務商都有高手,但這些高手成本很高,需要用到更有價值的地方,至少如果我是一家安全服務公司的老板,遇到對服務內容要求不明確甚至完全不懂的客戶,我是肯定不會把高手長期放在這個項目上的,這甚至都無關于甲方的預算或項目大小,因為沒必要浪費成本,這不是道德和品質問題,這是企業的核心任務:利益最大化,但如果甲方單位管理上對安全非常重視,技術上又能主導服務商的具體工作,對于服務商來說,在預算允許的情況下必須派出最高的高手來服務,保證交付質量,否則就有可能丟掉這個項目。
滲透測試質量固然與服務商能力有關聯,但我個人認為也依賴于甲方安全團隊對服務要求和驗收標準的把控度,需要根據系統實際情況約定具體預期目標,達成目標則完成服務,否則不成功,還可以引入多家服務商進行質量交叉對比。
(2)對于乙方服務商:
建立滲透測試標準作業流程,細化到采用什么工具,優先進行哪些風險的挖掘和利用,兜底固定住服務質量的下限后,標準之外是加分項,不限方式給工程師留有一定的空間,最重要的是服務報告統一進行質量審核后輸出給客戶,審核結果納入職稱、獎金評價體系。
