掐指一算，以乙方的角色做了一年有多的安全評估工作了，在與客戶、加固人員交流的過程中遇到了不少問題，也思考了應(yīng)該怎么去改進，本文寫寫一些想法，歡迎批評指正。

創(chuàng)新互聯(lián)公司2013年至今，先為臺兒等服務(wù)建站，臺兒等地企業(yè)，進行企業(yè)商務(wù)咨詢服務(wù)。為臺兒企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

面臨的問題：

  1.客戶和加固人員認為：安全評估不就是拿個掃描器掃一掃、然后丟出一個報表嘛，誰不會；

  2.內(nèi)網(wǎng)掃描報告，往往有讓人望而卻步的高、中、低危漏洞千百個，你讓客戶情何以堪，你讓加固人員怎么活命；

  3.評估人員、加固人員、客戶由于“道行”不同，或者“立場”不同，導(dǎo)致對漏洞的理解各不相同，扯皮時有發(fā)生；

  4.掃描報告中的高、中、低危險標識，不和資產(chǎn)價值、業(yè)務(wù)系統(tǒng)重要程度掛鉤，導(dǎo)致加固沒有次重點，多次加固評估無法體現(xiàn)風險的消減程度；

希望做到：

  1.區(qū)別對待千百個高、中、低危險漏洞，可以做撒網(wǎng)式掃描，不能做撒網(wǎng)式加固；

  2.嘗試以更加專業(yè)的角度面對客戶和加固人員，對掃描結(jié)果進一步深加工處理；

  3.把漏洞和資產(chǎn)價值，業(yè)務(wù)系統(tǒng)掛鉤，區(qū)別的對待安全漏洞讓加固工作更具可操作性；

下面提供一些深加工掃描報告的思路

1.漏洞分類：

  操作系統(tǒng)漏洞：微軟的，Unix的，Linux的，Solaris的等

  業(yè)務(wù)軟件漏洞：oracle，weblogic，struts2，PHP等

  網(wǎng)絡(luò)和安全設(shè)備漏洞：cisco，h4c，華為等

  輔助程序漏洞：ftp，office，ie，openssh等

2.漏洞利用難易程度

  直接利用成功率高：

    弱口令

    MS08-067，Struts

  間接利用成功率高：

 IE漏洞—需要制造***網(wǎng)頁，引誘用戶點擊

 office漏洞—需要發(fā)送病毒文檔，通過打開病毒文檔***

 （存在運氣成分，而且基本只能在PC終端才會中招）

  成功率很低的漏洞：

 一些溢出漏洞（和用戶環(huán)境、版本、語言等相關(guān)性高）

 偏門的程序漏洞（沒有現(xiàn)成的exp，需要代碼級的能力）

3.漏洞真實性、準確性

  了解掃描器的掃描原理有助于我們對漏洞的把握，及時排除誤報漏洞。

    精確掃描：本次為精確掃描，極少出現(xiàn)誤報。

    原理掃描：本次掃描根據(jù)原理進行，可能存在誤報。

    版本掃描：本次掃描根據(jù)版本進行，可能存在誤報。

    暴力破解：本次掃描通過暴力猜測方式證實目標主機上的XX服務(wù)存在可猜測的口令。

4.加固思路

  加固最好有計劃、有步驟進行，加固順序參考業(yè)務(wù)系統(tǒng)重要程度。

  優(yōu)先加固利用成本低成功率高的漏洞（弱口令等）。。。。

    操作系統(tǒng)漏洞：強烈建議安裝修復(fù)

    業(yè)務(wù)軟件漏洞：需要評估對業(yè)務(wù)系統(tǒng)的影響

    網(wǎng)絡(luò)和安全設(shè)備漏洞：較少

    輔助程序漏洞：特別關(guān)注輔助程序是否需要用，是否有可替代的程序。特別關(guān)注一些默認安裝帶來的不必要漏洞。

5.更進一步，我們可能應(yīng)該學習和關(guān)注的

  業(yè)務(wù)漏洞

  邏輯漏洞

  物理漏洞等等掃描器掃不出來，但是影響很大的漏洞

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當前題目：安全評估與加固中遇到的問題與思考-創(chuàng)新互聯(lián)
URL標題：http://weahome.cn/article/hgjhg.html