漏洞扫描 基于端口服务扫描结果版本信息 搜索已公开的漏洞数据库 使用弱点扫描器实现漏洞管理 漏洞库: www.exploit-db.com kali中查找已知漏洞: searchsploit [要查找的关键字] 漏洞利用代码文件在/usr/share/exploitdb/platforms/ sandi
从信息的维度定义漏洞管理 信息搜集 扫描发现网络IP、OS、服务、配置、漏洞 能力需求:定义扫描方式内容和目标 信息管理 格式化信息,并进行筛选分组、定义优先级 能力需求:资产分组、指定所有者、向所有者报告漏洞 信息输出 向不同层级的人群展示足够的信息量 能力需求:生成报告、导出数据、与SIEM集成
漏洞扫描类型 主动扫描 有身份验证 无身份验证 被动扫描 镜像端口抓包 其它来源数据 基于agent的扫描 支持平台有限
漏洞的基本概念 CVSS (Common Vulnerability Scoring System) 通用漏洞等级评分系统——工业标准 描述安全漏洞严重程度的统一评分方案 Basic Metric:基础的恒定不变的弱点权重 Temporal Metric:依赖时间因素的弱点权重 Enviromental Metric:利用弱点的环境要求和实施难度的权重 cvss是安全内容自动化协议(SCAP)的一部分 通常CVSS与CVE一同由美国国家漏洞(NVD)发布并保持数据的更新 分值范围1-10 不同机构按CVSS分值定义威胁的高、中、低威胁级别 CVSS体现弱点的风险,威胁级别(sevenrity)表示弱点风险对企业的影响程度 CVSS分值是工业标准,但威胁级别不是
CVE 已公开的信息安全漏洞字典,统一的漏洞编号标准 厂商自己维护的Vulnerability Reference MS 微软的漏洞编号 MSKB 微软漏洞补丁 其他Vulnerability Reference CERT BID IVAM OVAL
OVAL(Open Vulnerability and Assessment Language) 描述漏洞检测方法的机器可识别语言 详细的描述漏洞检测的技术细节,可导入自动化检测工具中实施漏洞检测工作 OVAL使用xml语言描述,包含了严密的语法逻辑
CCE 描述软件配置缺陷的一种标准化格式 在信息安全风险评估中,配置缺陷的检测是一项重要内容,使用CCE可以让配置缺陷以标准的方式展现出来,便于配置缺陷评估的可量化操作
CPE(Common Product Enumeration) 信息技术产品、系统、软件包的结构命名规范,分类命名
CWE(Common Weakness Enumeration) 常见漏洞类型的字典,描述不同类型漏洞的特征(访问控制、信息泄露、拒绝服务)
SCAP(Security Content Automation Protocol) 是一个集成了多种安全标准框架 六个元素:CVE,OVAL,CCE,CPE,CVSS,XCCDF
NVD(National Vulnerability Database) 美国政府的漏洞管理标准数据,基于SCAP框架 https://nvd.nist.gov/
漏洞管理 周期性扫描跟踪漏洞 高危漏洞优先处理 扫描注意事项 漏洞管理三要素:准确性、时间、资源
漏扫工具:
NMAP nmap 脚本 smb-vuln-ms 10-061.nse 尽量了解扫描器的扫描方法,减少误判的产生,例如10-061补丁没打就算有漏洞还是开放了LANMAN API 可在系统查看文件、执行代码才算有漏洞
Openvas Nessus项目分支 管理目标系统的漏洞 初始化安装:openvas-setup 检查安装结果:openvas-check-setup 查看当前账号:openvasmd --list-users 修改账号密码:openvasmd --user=admin --new-password=Passw0rd 升级:openvas-feed-update 每次开机需要重新打开openvas服务,使用 基本流程:scan config、target、task,扫出来的结果需要去实际验证,不能只靠扫描器的结果判断漏洞是否真实存在 如果有系统的账号密码可以输入进配置,可以使扫描出的漏洞相对来说更多更准确
NESSUS 家庭版 免费 专业版 收费、无限的并发连接 下载 http://www.tenable.com/products/nessus/select-your-operating-system 安装 dpkg -i 安装路径:/opt/nessus 启动服务
NEXPOSE Rapid 7 公司 完整的漏洞管理实现 建议vm 4g内存 http://download2.rapid7.com/download/NeXpose-v4/NexposeVA.ova https://IP_addr:3780 操作系统账号密码:nexpose http://www.rapid7.com/products/nexpose/virtual-appliance-enterprise.jsp
