漏洞扫描等工具在安全评估中的作用

版权所有上海三零卫士信息安全有限公司漏洞扫描等工具在安全评估中的作用姓名：王琦单位：上海三零卫士信息安全有限公司摘要：缺陷评估是信息安全评估体系中一个重要的环节，正确认识漏洞扫描、安全审计等安全工具在评估体系中的作用是本文的关键。关键词：信息安全、风险评估、漏洞扫描、安全审计、安全工具在当今信息化大潮中，信息化的安全对于每个企业或单位的业务发展起到了越来越关键的支撑作用支撑企业或单位的IT架构安全、有效、稳定的运转，信息流也正因此得以充分发挥其快捷性这一无可比拟的优势。对信息安全性进行专业风险评估的需求也越来越迫切。工具型评估在整体安全评估中所处的阶段通常在我们谈到评估时，立刻会想到资产、风险、威胁、影响、脆弱点等等一系列风险评估中的术语，对于信息系统而言，安全评估即为信息安全性的风险评估，信息系统安全评估是一个很大的专业工程，目前国内外较大的安全服务提供商一般都经历过采用BS7799和OCTAVE两种评估体系进行指导操作的发展阶段。我们先谈一谈这两种评估体系的实施特点，在实施中大致可以分为以下几个阶段：u 明确需求阶段此阶段完成初期交流、预评估方案、投标和答标文档，客户和服务方均在此阶段逐步明确评估程度；u 规划阶段这是一个典型的Project工程阶段，内容包括问题描述、目标和范围、SWOT分析、工作分解、里程碑、进度计划、双方资源需求、变更控制等；u 操作执行阶段此阶段又可分为四个子阶段，见下表：阶 段内 容资产评估阶段系统和业务信息收集/资产列表/资产分类与赋值/资产报告威胁评估阶段部署IDS获取威胁点/收集并评估策略文档/BS7799顾问访谈/事件分析/威胁报告缺陷评估阶段扫描/审计/渗透测试/缺陷报告风险分析和控制阶段数据整理、入库及分析/安全现状报告/安全解决方案u 报告阶段完成此前三个阶段的报告整理以及和用户的交流工作；u 风险消除阶段评估仅仅是完成客户当前风险的快照，在风险消除阶段依据此快照和开发的解决方案进行风险的控制和消除。以上即为风险评估的五个阶段。亲历过一个完整的评估过程的人都知道，在这个五个阶段中，只有操作执行阶段的“缺陷评估”是完全纯IT技术的操作，此外“威胁评估”中的IDS的部署和使用也涉及到了IT技术操作。在实际的评估流程操作过程当中，我们会发现相当多客户更“乐意”看到缺陷评估这样的可操作性强的报告，因为他们关心：Q1. 非规范的操作或者非法的攻击行为是如何发生的？Q2. 技术上的缺陷威胁在哪里？Q3. 如何通过技术手段进行防范？Q4. 如何通过技术手段？很显然，客户对风险评估的认知程度和对技术完美的追求决定了他们容易对“关键资产”和“关键资产的保护”产生了相对狭隘的理解：资产必须是有形可见的，操作必须是通过技术手段实现的。这种狭隘的理解无可厚非，因为即使是目前专业的信息安全服务提供商，他们在发展初期对安全评估的理解也仅限于缺陷评估，采用的评估手段也相当有限：l 关键设备的远程/本地漏洞扫描 借助漏洞扫描工具或人工方式操作l 关键系统的远程/本地漏洞扫描 借助漏洞扫描工具或人工方式操作l 网络或设备的抽样审计 借助审计工具（包括入侵检测工具）l 抽样病毒检测与查杀 借助病毒检测工具或者人工方式操作l 渗透测试 借助工具，更多是以人工方式操作这样的评估方式优点是： 项目的可操作性强； 对技术弱点的把握精确； 结论的可指导性强； 技术型报告更容易被客户接受；经过这种评估后，对信息系统进行合适安全加固，基本上可以保证该系统在短期内（在新的缺陷暴露之前）的安全性。然而，这种简单的评估方式的缺点也显而易见： 在安全管理上存在严重不足； 对系统整体安全状况把握不足； 风险的计算方法通常并不科学； 安全加固效果的短期性导致评估必须重复、频繁进行；这些缺点是否表明工具型的安全评估已经“不合时宜”需要被淘汰了吗？答案当然是否定的。信息安全评估在我国的发展到了今天，工具型的安全评估已经不再是各大安全服务提供商进行安全评估的全部内容，逐渐演变成其中的一个环节，随着工具检测技术的不断进步，这个环节也逐渐发挥越来越重要的作用。下面我们结合威胁评估和缺陷评估中使用到的安全工具谈一谈工具型安全评估在实际操作中发挥的作用。工具型安全评估的作用在威胁评估和缺陷评估中，按照评估的形式，我把常用的工具分为以下主动型和被动型两种： 主动型：软硬件扫描系统也称作评估仪，包括端口扫描和漏洞扫描，扫描方式分为本地、远程或者两种相结合的方式； 被动型：软硬件审计系统包括网络安全审计和数据库审计等，考虑到数据采集的方式，在这里我们把威胁评估中使用到的入侵检测系统（IDS）也归入此类；需要指出的是，以上所说的工具，并非都以一个“系统”的形式存在，在实际操作过程中，这些工具可能是一个小软件，或是一台设备，也可能是在进行渗透测试中临时编写的一个小脚本。对于人工方式进行的操作系统安全配置检查、网络设备日志审计、安全设备策略审计等审计操作中涉及到的工具，因篇幅原因，不在本文中单独讨论。主动型扫描系统的应用扫描系统采用主动探测的方式快速获取目标设备的脆弱点，从而协助评估人员对目标系统建立风险快照。目前国内各大信息安全服务提供商都开发有自己的扫描系统，这些系统同时具有端口扫描和漏洞扫描的功能，扫描方式也不拘泥于一种形式，通常本地/远程均可。在这里我们跳过扫描系统的技术实现，主要讨论一下漏洞扫描系统的特点，一个典型的工具例子是开源的漏洞扫描器Nessus（你可以从其官方网站获取该软件的最新版本和源代码），相信大家一定也对它比较熟悉。Nessus是一款可以运行在Linux、BSD和Solaris以及其他一些系统之上的远程安全扫描软件，可以评估的平台涉及非常广泛，包括各种流行的操作系统、安全设备（如防火墙）、网络设备（如交换机、路由器）等等，截至2004年4月，该软件可检测的漏洞规则已达到2000余条，覆盖Mail服务器、Web服务器、FTP服务器、拒绝服务、缓冲区溢出、流行病毒检测等十余种缺陷类别，该软件自身生成的报告也相当完善。以下以一个典型的扫描案例为例，说明扫描系统在评估中的作用。-事件描述：2004年3月，安全评估工程师使用Nessus在一次针对一个C类网段100余台主机的扫描过程中，发现至少15台主机存在以下缺陷（下面结果经过整理）：漏洞名称Rpc 服务： 检测到W32.Welchia.Worm（冲击波杀手）病毒漏洞描述评估仪已检测到目标主机已经感染W32.Welchia.Worm病毒，该病毒利用RPCDCOM缓冲区溢出漏洞和WebDAV缓冲区溢出漏洞进行感染和传播，在传播过程中发送的数据有可能造成网络堵塞。该病毒自2003年8月爆发以后，截至2004年2月已经出现多个变种，所利用的漏洞也在不断增加，危害巨大。请务必引起重视。风险等级高解决方案请安装杀毒软件，立刻升级病毒库进行查杀，同时必须进行防护措施，以防再次被感染。防护措施：尽管有临时解决方案，例如设置防火墙或者IP安全策略等方法防治感染，但我们强烈建议您尽快进行Windows更新，以消除该病毒所利用的漏洞引起的隐患。请参考下面网址：Microsoft Security Bulletin MS03-039Microsoft Security Bulletin MS03-007上面的探测结果中描述了一个Windows平台的漏洞，内容包括漏洞细节、危险级别的判断以及相应的解决方案，这对我们的评估至少提供了以下几点信息： 该网段计算机用户采用Windows 2000/XP/2003系统占相当的比例； 该网络尚未部署防病毒软件，或防病毒软件病毒特征库未及时更新； 该网段为单位内网，内外网采用了物理隔离措施，但仍然被该网络蠕虫病毒感染，表明可能有用户擅自接入外网，或者移动设备（如笔记本）管理不善； 该病毒的一个特点是发送大量ICMP数据报文，易造成网络堵塞，该网段内用户却没有上报网络中断事件，表明该网络利用率并不高，且用户计算机操作水平较低； 该病毒所利用的漏洞公布日期距今接近9个月，然而这些计算机却没有及时进行升级，表明计算机管理员安全意识较弱，并没有定期系统升级的习惯（或方式），或者缺乏相应的制度进行约束；评估结论片断：鉴于该漏洞的严重性，该网段评估结果为高危险，且应立刻检测其他网段，并采取相应的安全技术和管理措施。-以上仅是一个简单的案例分析，在实际操作过程当中因环境的不同，需要考虑的问题应该更加全面。从这个案例可以看出，扫描工具对于我们快速了解目标信息系统网络设备的安全概况提供了便利。被动型审计系统的应用审计系统采用被动方式捕获目标信息系统数据，安全评估人员通过对审计系统生成的图表和日志进行分析，从而获知目标系统的脆弱点。目前安全产品市场上所指的审计系统通常指网络安全审计和数据库审计两种，网络安全审计可以帮助掌握网络使用情况，监测网络内部传输的信息，发现正在发生的机密信息的泄漏和窃取，以及其他的违规操作行为。考虑到评估数据的相似性，我们把嗅探工具、病毒扫描以及入侵检测系统均划分在了审计系统的范围。在这里我们仍然抛开审计工具的技术原理实现，举例网管人员熟知的NAI公司的产品SnifferPro（你可以从NAT官方网站获取该软件的信息）介绍审计工具在安全评估中的应用。-事件描述：在一次对客户信息系统安全评估过程当中，使用SnifferPro V4.70对网络进行了24小时的监控。工具接入点如下图所示。InternetMail 服务器防火墙Web 服务器内网探测点(1)探测点(2)图一：Sniffer监测示意图以下是几个报文数据捕获的截屏图片：图二：探测点(1)截获的数据（片断）DMZ区监控图三：探测点(2)截获的数据（片断）内网段监控本文不是一篇Sniffer操作手册，所以我们只摘取其中一部分报文进行分析，如上面三图所示，我们可以获得的基本信息有： 根据图二并结合数据报文的详细信息，我们可以看出外部访问者212.*.*.*成功进入服务器的FTP服务； 该服务器FTP口令较弱，已经被攻击者窃取，或者已经泄漏； 该服务器的FTP服务存在严重缺陷，攻击者已经成功利用了Web服务器所开放的FTP服务存在的缺陷（Serv-U MDTM远程缓冲区溢出漏洞），并已经获取了系统的最高权限。 根据图三数据连接频度及连接信息可以看出，内网主机0在频繁向同网段主机发送长度为60字节的ICMP包，并试图连接目标主机的9606端口；评估结论片断：关键服务器已被外部访问者攻击，需要FTP服务是否存在弱口令用户，以及FTP是否需要对外公开，如果非公开，防火墙是否已经正确设定相应规则以阻断访问，FTP存在的严重缺陷需要尽快修补；内网发生的扫描行为是否合法，是否被病毒感染。-在以上的审计案例中，我们可以看到审计工具的功能是非常强大的，但由于审计是被动型的数据捕获，它并不针对某一安全问题或者故障进行工作，所以具有一定的局限性，例如需要较长时间的监控才能获取足够的原始数据，在数据捕获期间如果不是网络业务高峰期，且恰巧没有安全问题发生，那么捕获的数据就不满足安全分析的需要，评估的结果就和实际情况有很大差别。所以在实际操作过程中，需要在整个安全评估的初期和客户进行深入的沟通，了解系统细节，选择合适的时间和合适的工具进行审计。最后工具的辅助是一个完整的安全评估体系