查看原文
其他

企业安全实践之漏洞管理

yunbin_7 FreeBuf安全咨询 2022-07-02

以前在互联网公司做软件项目的时候,公司规定的上线流程中,就有一项是要做安全测试。当时使用的是IBM的AppScan,配置好要扫描的url地址,并通过录制的方式,爬取系统的页面,再设置扫描策略,对系统做安全检查,只有符合要求的结果才能被允许上线。从那个时候起,我就明白了上线前不能存在严重的漏洞,也是第一次对漏洞产生了兴趣。


漏洞的发现是一个扫雷的过程


为什么会产生漏洞呢?在做项目开发的时候,如果软件存在缺陷,是不允许上线的,必须要把缺陷修复完成并测试通过了才可以发版上线。而漏洞产生的原理,跟软件产品的缺陷类似,就是在开发过程中未有严格的控制,从而导致系统出现的暴露风险点。

当我换到另一家公司,开始转型全职负责网络安全工作时,直接面对的就是公司庞大数量的网站及信息系统,有动态和静态的官网、有登录入口的信息系统、有开放的接口地址、也有移动应用等等。刚开始只是觉得,网站只要通过工具扫描一下,就会有很多web漏洞,比如跨站脚本攻击、SQL注入、CSRF、恶意文件上传等。但是,不同的web漏洞扫描工具,爬取的链接、漏洞库、检测的机制都会不同,很难用一个扫描工具扫出全部漏洞。所以,我们就引入了安全厂商的商用漏洞扫描设备,同时又本地搭建了开源的漏洞扫描环境,定期对公司的网站及信息系统做常规的web漏洞扫描。

刚开始做扫描的时候,就是在扫雷,会把当前需要扫描的网站和信息系统全都配置到工具中。但是,有时候就会出现这么一个场景:“有同事喊着,我的网站出现很多恶意的链接,我的服务挂了,是不是XXX在做扫描?”。这时候我心里一阵忐忑,赶紧把扫描任务停止了。后来吸取扫描的经验教训,先把扫描配置调优了,降低了扫描的并发数和任务数,并设置在非业务时段定时触发扫描任务,这样既不会影响到正常的业务,也能有效提升web漏洞扫描的效率。

在面对一些老旧的应用系统时,第三方的开发团队已经解散,也没有人熟悉原来的框架和代码,所以扫描出现的web漏洞,就无人可以修复。针对这类历史遗留的老系统,我们的策略是通过在web应用防火墙或者入侵防御系统上,寻找该类型的web漏洞,配置规则来防护。虽然不能彻底修复,但是也是一个有效地缓解措施。

总结:在做漏洞扫描的时候,你不知道什么时候会踩到雷(系统与人的漏洞),但是你总是要义无反顾的往前走,寻找下一个有可能存在漏洞的点,并尽早发现它。


漏洞的处理是一个贪吃蛇的故事


从技术层面看,漏洞本身无法根除。在漏洞发现后的处理是一个漫长的周期。如果大量漏洞长期暴露并得不到及时有效地处理,那么新发现的漏洞与未修复的漏洞不断累加,对于公司的网络安全风险将会进一步叠加。

在对漏洞的扫描中,我也不断提升自己的认知,特别是跟安全厂商的学习交流以及自己在freebuf、安全客这些社区中徜徉各种安全知识,慢慢对漏洞的管理有了更多的认识。漏洞本身虽然不产生危害,但是一旦被不法分子利用,则有可能带来严重的威胁和损害。特别是2017年5月14日的“永恒之蓝”漏洞,当时我印象特别深,那天正好是周末部门团建,大家在中场休息的时候看到这个新闻,敏锐的IT人第一反应就是打开随身携带的笔记本电脑,通过VPN远程到公司的网络,初步排查终端电脑及win server服务器的SMB补丁修复情况,并在第二天上班时间,部门同事分工协作,对公司的终端电脑逐一打补丁。

总结:在做漏洞处理的时候,就像玩贪吃蛇,你需要对漏洞各个击破,才能有效地把漏洞管理起来,形成一条漏洞修复链。从操作系统漏洞、到应用程序漏洞、再到开源组件漏洞、以及业务逻辑漏洞,就是一个漏洞处理循序渐进的过程。


漏洞的修复验证是一次守望先锋的胜利


当你把漏洞扫描报告发给同事时,有些同事会对你说,这个漏洞是误报,我的程序根本不可能存在这个问题。这时候,你就要多花点时间,把漏洞的名称、类型、来历及利用的方式搞清楚,并要搭建好自己的验证环境,将漏洞真实存在的验证结果输出给同事,让他哑口无言。而当另一些同事对你说,这个漏洞我不知道怎么修复,漏洞报告我看不懂。这时,你也要多花点时间,查阅各种资料,用比较浅显的表达,将漏洞的产生原理、漏洞的描述及修复思路写清楚,用换位思考的方式,让同事能理解和接收它。同时,要形成规范的漏洞修复文档,以便同一类型的漏洞,可以把文档直接丢给他,让对方一看就知道如何修复。

我曾经遇到过,同样的生产环境和测试环境的部署,在测试环境上有检测到某一个未授权访问的漏洞,并也有开放了该服务的端口,而在生产环境上有扫描到该端口,但是一直却没有检测到该漏洞。而对方开发人员很肯定地跟我说两边的部署和配置都是一样的,于是他们对扫描器的可靠性产生了质疑。面对质疑,我也是硬着头皮,不用扫描器而通过自己搭建环境,使用了该漏洞的验证工具,对该系统做了尝试的验证,结果是存在的。每个漏洞都有它形成的特点,就像每个英雄有自己独特的技能和特点。你应该根据漏洞的出现规律及特点,改变自己的扫描策略。就像根据每个英雄的角色定位改变自己的打法,要确定自己希望扮演的角色,才能最终获得胜利。

总结:有时候扫描器也有缺陷,并不是所有的系统、所有的漏洞都可以检测到,所以不能太依赖扫描工具,要拓宽思路地想想,每一个漏洞都会有对应的验证方法和工具,正如《守望先锋》里的每一位英雄都有各自标志性的武器和技能。


漏洞的防御是一场英雄联盟的对决


如何能主动发现漏洞,并有效遏制呢?可以通过堆叠一定的安全设备,如态势感知系统、防火墙、日志审计设备、数据库审计设备、web应用防火墙、入侵防御系统,以经济和装备的领先取得优势。但是,有时候会发现,安全设备一旦没有及时的关注威胁事件,并快速处理告警事件,很容易就变成摆设而失去意义。所以,我对自己每天的工作计划,就是要对这些设备的告警做处理,并在处置中不断优化策略,强化规则,并及时更新系统版本和规则库、漏洞库。

对漏洞的管理要从多方面思考,当我从安全设备接收到一台失陷终端主机的告警,我会先看最近两周或者一个月内该失陷主机的告警历史,判断是否为误报或者真实,如果是真实的,则立刻通知桌面运维同事,从终端安全的角度协助处理。

当我在威胁情报中心获知某一产品的版本漏洞时,我会在公司内部的管理员群组中同步信息,并将漏洞详情发给使用该产品的负责人,让他从应用安全的角度协助处理。当我通过内网的漏洞扫描发现某系统开放了敏感的端口,并检测存在高危的漏洞时,我会将漏洞扫描报告导出来,发给该系统的项目经理,让他尽快去协调相关人员修复漏洞。如此配合的多人协作模式,就像在玩英雄联盟,团队型战斗更是一场游戏的关键。

总结:我喜欢这样的团队配合,在公司的漏洞管理工作中,遵循PDCA的原则,对漏洞有一个闭环的过程。漏洞管理本是一个漫长的过程,需要把各方资源调动起来,有效地防御才是能给人一种打怪成功的感觉。

漏洞管理只是我在公司做的一部分网络安全的工作,面对复杂的网络安全管理体系,我希望可以借助漏洞管理的经验,在整个网络安全架构下,横向和纵向扩展开来,有计划地并行开展着,确保企业安全有序进行。所谓游戏人生,其实就是把游戏的团队作战精神,融入到实际的工作中,开疆拓土保安全!

精彩推荐

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存