掐指一算，以乙方的角色做了一年有多的安全評估工作了，在與客戶、加固人員交流的過程中遇到了不少問題，也思考了應該怎么去改進，本文寫寫一些想法，歡迎批評指正。

創(chuàng)新互聯(lián)公司2013年至今，先為臺兒等服務建站，臺兒等地企業(yè)，進行企業(yè)商務咨詢服務。為臺兒企業(yè)網站制作PC+手機+微官網三網同步一站式服務解決您的所有建站問題。

面臨的問題：

  1.客戶和加固人員認為：安全評估不就是拿個掃描器掃一掃、然后丟出一個報表嘛，誰不會；

  2.內網掃描報告，往往有讓人望而卻步的高、中、低危漏洞千百個，你讓客戶情何以堪，你讓加固人員怎么活命；

  3.評估人員、加固人員、客戶由于“道行”不同，或者“立場”不同，導致對漏洞的理解各不相同，扯皮時有發(fā)生；

  4.掃描報告中的高、中、低危險標識，不和資產價值、業(yè)務系統(tǒng)重要程度掛鉤，導致加固沒有次重點，多次加固評估無法體現(xiàn)風險的消減程度；

希望做到：

  1.區(qū)別對待千百個高、中、低危險漏洞，可以做撒網式掃描，不能做撒網式加固；

  2.嘗試以更加專業(yè)的角度面對客戶和加固人員，對掃描結果進一步深加工處理；

  3.把漏洞和資產價值，業(yè)務系統(tǒng)掛鉤，區(qū)別的對待安全漏洞讓加固工作更具可操作性；

下面提供一些深加工掃描報告的思路

1.漏洞分類：

  操作系統(tǒng)漏洞：微軟的，Unix的，Linux的，Solaris的等

  業(yè)務軟件漏洞：oracle，weblogic，struts2，PHP等

  網絡和安全設備漏洞：cisco，h4c，華為等

  輔助程序漏洞：ftp，office，ie，openssh等

2.漏洞利用難易程度

  直接利用成功率高：

    弱口令

    MS08-067，Struts

  間接利用成功率高：

 IE漏洞—需要制造***網頁，引誘用戶點擊

 office漏洞—需要發(fā)送病毒文檔，通過打開病毒文檔***

 （存在運氣成分，而且基本只能在PC終端才會中招）

  成功率很低的漏洞：

 一些溢出漏洞（和用戶環(huán)境、版本、語言等相關性高）

 偏門的程序漏洞（沒有現(xiàn)成的exp，需要代碼級的能力）

3.漏洞真實性、準確性

  了解掃描器的掃描原理有助于我們對漏洞的把握，及時排除誤報漏洞。

    精確掃描：本次為精確掃描，極少出現(xiàn)誤報。

    原理掃描：本次掃描根據(jù)原理進行，可能存在誤報。

    版本掃描：本次掃描根據(jù)版本進行，可能存在誤報。

    暴力破解：本次掃描通過暴力猜測方式證實目標主機上的XX服務存在可猜測的口令。

4.加固思路

  加固最好有計劃、有步驟進行，加固順序參考業(yè)務系統(tǒng)重要程度。

  優(yōu)先加固利用成本低成功率高的漏洞（弱口令等）。。。。

    操作系統(tǒng)漏洞：強烈建議安裝修復

    業(yè)務軟件漏洞：需要評估對業(yè)務系統(tǒng)的影響

    網絡和安全設備漏洞：較少

    輔助程序漏洞：特別關注輔助程序是否需要用，是否有可替代的程序。特別關注一些默認安裝帶來的不必要漏洞。

5.更進一步，我們可能應該學習和關注的

  業(yè)務漏洞

  邏輯漏洞

  物理漏洞等等掃描器掃不出來，但是影響很大的漏洞

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

當前標題：安全評估與加固中遇到的問題與思考-創(chuàng)新互聯(lián)
分享網址：http://jinyejixie.com/article46/hgjhg.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、品牌網站建設、定制網站、動態(tài)網站、全網營銷推廣、靜態(tài)網站

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)