測定資訊保安風險的最佳方法是什麼?最佳方法是馬上檢測所有系統和應用程式的漏洞;這跟通過磁共振成像、血液分析等檢查人體健康一樣。有些人將這些工作稱為it安全審計。有些人則稱為滲透測試。然而,對環境執行深度分析並不是簡單地對比所制定政策與實際運**況——it安全審計,也不是通過攻擊證明某個位置的安全——滲透測試,因此我更願意將這些工作稱為資訊保安評估。它們的涵義更寬泛一些、更中肯一些,它們有助於證明安全策略和流程在**方面有問題。
安全測試的語義可能讓人難以理解,但是最終目標是在有人遇到之前找到和修復漏洞。安全專家的職責就是保證用正確的步驟去檢查所有問題,從而使發現的風險能夠讓人理解、解決或者作為乙個問題進入資訊風險管理週期。下面列舉了有效資訊保安評估中所包含的關鍵組成部分。要拋開派別和偏見,保證所有這些方面都在考慮範圍之內並且得到足夠的重視:
支援
如果沒有管理層的支援,則不會出現乙個好的資訊保安評估專案,也不會實現長期的成功目標。其中的原因很簡單。如果領導層不願意投入所需要的資源實實在在地審視企業資訊系統環境,那麼所有其他工作都很難開展。要注重並保持任用正確的人員。工作職責不在於管理層,而在於it和安全成員和領導人員。
範圍
理論上,這是乙個紮實資訊保安評估的最重要階段。我曾經看到過無數的錯誤例子,他們把系統、應用程式甚至整個網路環境者排隊在安全測試之外。這樣的原因總是一樣:「沒有足夠的時間或金錢,」以及「我們不需要測試這些那些系統。」設定範圍是正確的,但是你必須保證要覆蓋所有關鍵系統——要盡快而不是留到以後。最後,你需要檢查整個環境,因為往往就是乙個看似正常的系統、網路片段或安全流程致使所有方面出現問題。一定要考慮外部系統、內部系統和在第三方雲中託管的系統——包括營銷**。此外,一定要在作業系統和web應用程式上都授權執行安全測試。保證所有方面都進行公平的測試——包括人員、流程和物理安全系統。
測試
要從漏洞掃瞄開始,篩選掃瞄結果,進行人工分析,然後在你的環境和業務中檢視有哪些漏洞可能被攻擊。從大的角度看,確實就是這麼簡單。這個階段應該包括破解密碼、無線網路分析及特別重要的網路釣魚郵件。有很多書描述了這個安全評估階段應該要做的全部工作,如我自己寫的書《hacking for dummies》(黑客入門)。一定要以惡意使用者的角度去看待整個企業環境,尋找有哪些可以攻擊點,然後演示可能造成的後果,這樣才能分析問題和在需要的時候解決問題。
報告
漏洞掃瞄程式產生的500頁pdf報告並不是重點。要有乙個清晰具體的安全評估報告概括描述按優化級劃分、淺顯易懂的結果和建議。最終報告並不一定要很長。只需要抓住重點,概括出從安全專家角度需要注意的具體漏洞——同樣,要考慮系統和業務所處的環境。報告中可以加入滲透測試和it安全審計方面的元素。我並不推崇盲目跟從**商漏洞優先順序列表的常見做法。漏洞掃瞄程式就是乙個例子,它通常都遵從常見漏洞打分系統(common vulnerability scoring system)或類似的排名方式,它通常將非關鍵網路印表機上用預設通訊字元啟動的簡單網路管理協議標記為嚴重級別。如果這種結果也標記為嚴重,那麼更嚴重的防火牆密碼、核心web應用程式的sql注入或關鍵伺服器缺少防止遠端攻擊的補丁又該標記為什麼級別呢?關鍵是要根據所在的環境及常識。最糟糕的資訊保安評估就是沒能產生乙份正式報表的評估,因為無法知道到底出現哪些問題,更不用說解決問題了。
解決問題
發現問題之後,要解決問題。我經常看到一些安全評估報告,其中所包含的具體結果一直處於未確認狀態——或者至少在下一次安全評估之前仍未處理。這種問題很容易處理:將責任分配到人,保證所有人都各司其職。半年或一年後的下一次資訊保安評估將確定之前的問題是否已經解決。此外,也可以考慮對嚴重和高優先順序結果執行一次修復驗證,作為安全評估的後續工作,時間可以設定為報告提交和任務分配之後30~45天左右。
疏忽
保證安全評估之間的持續安全性需要進行一些簡單的工作,如調整現有系統和軟體,實現一些新的技術控制,以及徹底改變一些策略和流程。不要試圖實現一種完美的安全性,前進的目標應該是合理的安全性,使發現問題和解決問題的時間間隔越來越短。而且,管理層一定要保持介入。在合規性和合同義務等都需要由執行主管來決定。無論他們是否關注這個方面,都需要他們參與其中。要在安全評估週期中讓必要人員準時出現。這不僅能證明他們的投資回報,也是持續參與的重要條件。否則,安全就會游離在他們的思想意識之外,不會得到應有的重視。
底線是每乙個企業都有一些資訊和計算資產可能受到黑客或惡意內部人員的攻擊,也可能由於使用者失誤而遭受破壞。千萬別天真地認為,自己不知道的資訊風險是不會降臨到自己的頭上。企業不能只依靠it安全審計或滲透測試。忽視安全評估並不是一種正確的職業方式。而且,發現資訊風險但是不重視它是一種安全自殺行為——也可能導致職業生涯徹底失敗。要投入足夠的時間去規劃資訊保安評估,保證做完應該完成的工作,以及it、開發、管理等相關人員都知道檢查結果,這樣問題才能得到解決。
由於有許多安全專家和**商值得依賴,因此資訊保安評估並非一種很難的工作,而且投資回報能夠保證的情況下也不一定需要很大的投入。warren buffett曾經說過:「只要你別做太多的錯事,在你的生命中你只需要做一些為數不多的正確事情。」資訊保安計畫就是一種投入或不投入的體現,當然這其中也包括持續安全評估計畫。要保證它處於優先執行的位置。即使週期性持續地執行,這些評估也不解決所有安全問題的完美方法。然而,可以肯定的一點是,如果選擇忽視這些重要工作,歷史悲劇肯定會再一次重複。
安全評估中的路由資訊收集
在安全評估中,在對指定目標進行黑盒測試時,需要知道目標的路由資訊,方便進行旁註等測試。一般來說乙個網段總會有共享路由器,換句話來說。總會有很多站點是通過乙個最接近目標的路由出口。在進行評估時需要首先找到這個路由。找這個路由資訊很簡單,一種是有圖形介面顯示的叫visual tracert 啥的,具體名...
常用的資訊保安風險評估自動化工具介紹
風險評估過程最常用的還是一些專用的自動化的風險評估工具,無論是商用的還是免費的,此類工具都可以有效地通過輸入資料來分析風險,最終給出對風險的評價並推薦相應的安全措施。目前常見的自動化風險評估工具包括 cramm cramm ccta risk analysis and management meth...
關於解決綠盟科技安全評估報告中的web漏洞
9.0.31 org.apache.tomcat.embed tomcat embed core org.apache.tomcat tomcat juli org.springframework.boot spring boot starter web org.springframework.bo...