漏洞扫描
发现漏洞
- 基于端口服务扫描结果版本信息(速度慢)
- 搜索已公开的漏洞数据库(数量大)
- 使用弱点扫描器实现漏洞管理
服务弱点查找
从信息的维度定义漏洞管理
- 信息收集:
- 扫描发现网络IP、OS、服务、配置、漏洞
- 能力需求:定义扫描方式内容和目标
- 信息管理
- 格式化信息,并进行筛选、分组、定义优先级
- 能力需求:资产分组、指定所有者、向所有者报告漏洞
- 信息输出
- 向不同层级的人群展示足够的信息量
- 能力需求:生成报告、导出数据、与SIEM集成
漏洞扫描类型
- 主动扫描
- 有身份验证
- 无身份验证
- 被动扫描
- 镜像端口抓包
- 其它来源输入
- 基于Agent的扫描
- 支持平台有限
漏洞基本概念
CVSS(Common Vulnerability Scoring System)
- 通用漏洞评分系统——工业标准
- 描述安全漏洞严重程度的统一评分方案
- Base Metric:基础的恒定不变的弱点权重
- Temporal Metric:依赖时间因素的弱点权重
- Environmental Metric:利用弱点的环境要求和实施难度的权重
CVE(Common Vulnerabilities and Exposures)
已公开的信息安全漏洞字典,统一的漏洞编号标准
MITRE公司负责维护(非盈利机构)
扫描器的大部分扫描项都对应一个CVE编号
实现不同厂商之间信息交换的统一标准
CVE发布流程
- 发现漏洞
- CAN负责指定CVE ID
- 发布到CVE List——CVE-2008-4250
- MITRE负责对内容进行编辑维护
很多厂商维护自己的Vulnerability Reference
- MS
- MSKB
其它Vulnerability Reference
- CERT TA08-297A
- BID 31874
- IAVM 2008-A-0081
- OVAL OVAL6093
OVAL(Open Vulnerability and Assessment language)
- 描述漏洞检测方法的机器可识别语言
- 详细的描述漏洞检测的技术细节,可导入自动化检测工具中实施漏洞检测工作
- OVAL使用XML语言描述,包含了严密的语法逻辑
CCE
- 描述软件配置缺陷的标准化格式
CPE(Common Product Enumeration)
- 信息技术产品,系统,软件包的结构化命名规范分类命名
CWE(Common Weakness Enumeration)
- 常见漏洞类型的字典
SCAP(Security Content Automation Protocol)
- SCAP是一个集合了多重安全标准框架
- 六个元素:CVE、OVAL、CCE、CPE、CVSS、XCCDF
- 目的是以标准方法展示和操作安全数据
- 由NIST负责维护
漏洞管理
- 周期性扫描跟踪漏洞
- 高危漏洞优先处理
- 扫描注意事项
- 漏洞管理三要素
- 准确性
- 时间
- 资源