漏洞扫描及管理类发展历程.pptVIP

NIST:美国国家标准与科学技术研究所 SCAP最重要的两个贡献在于：1,NVD和NCP；2、工具化检查 * * 两层意义 * * 注明出处-田民 * ? 2011 绿盟科技 漏洞扫描及管理类发展历程 绿盟科技 2011. 6 工欲善其事 必先利其器 案例及分析 05/01德国E-Plus存在GPRS计费漏洞 05/02部分WAP网关存在安全缺陷，导致WAP应用全面瘫痪 06/03某设备提供商GGSN存在严重漏洞，一个数据包就使GPRS网络瘫痪 04/04沃达丰GPRS-MMS服务存在计费漏洞，用户可面交上网费 05/05和黄3G在线支付现漏洞，账号信息泄露 05/10暴风影音M3U文件处理远程溢出漏洞被利用，导致大规模断网 安全漏洞/配置带来的困扰 2003 2004 2010 冲击波事件 震荡波事件 震网事件 利用微软操作系统的RPCDCOM缓冲溢出漏洞 利用WINDOWS平台的Lsass漏洞 它利用了微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞 来源:微软安全研究报告 案例1-操作系统安全漏洞 操作系统安全漏洞由来已久,影响范围广，危害较大! 网上营业厅存在SQL注入漏洞，可以获得数据库管理员密码等敏感信息，该漏洞一旦被攻击者利用，攻击者可非法获得用户密码和用户账单，导致用户信息泄漏。 案例2-网厅SQL注入漏洞 客户资料泄露 帐单等隐私信息查看 近年来，WEB应用漏洞与日俱增！ 据“IBM2010年风险报告”显示2010年上半年WEB应用漏洞总漏洞数的55%。 案例3-安全配置不合理 WAP网关的访问控制设置不合理，导致可以通过任意手机从空口访问运营商内网的FTP、Web、ssh等服务器，给攻击者提供了暴力破解用户口令、渗入系统、获取敏感信息的机会。 通过手机拨号，可访问原本封闭的内网FTP服务 通过手机拨号，可访问原本封闭的内网Web系统 网络设备及业务系统安全配置问题不容忽视！ 攻击者的安全价值观 攻击者 已封堵的漏洞 Firewall 存在的漏洞 网站系统 数据/内容 （网页数据、用户信息、资源媒体） 核心资产 破坏 价值 黑客的主动攻击往往离不开对漏洞的利用 基线是一个组织或系统需求和要求的底线 漏洞扫描 安全漏洞的几个问题 “未雨绸缪”的漏洞管理 支撑 漏洞扫描工具简介 扫描器的基本工作原理 提高工作效率和安全维护能力 发展趋势 安全管理——基线 美国联邦信息安全管理法案 （Federal Information Security Management Act of 2002） 第一阶段：制定标准和指南，形成明确的工作体系 2003～2006 第二阶段：形成能力、进行评估、拿出凭据 2007～2009 HANDBOOK 150, HANDBOOK 150-17, NISTIR 7328 第三阶段：推动自动化工具的使用 2009～ … I-SAP / S-CAP , FDCC FISMA是什么 分类与定级 初选控制措施 细化剪裁 形成文档 安全控制实施 评估认证 报批认可 授权开通 持续监控 管理层面 安全控制措施 运维层面 安全控制措施 技术层面 安全控制措施 FISMA 规范 High Level, Generalized, Information Security Requirements 规范涉及的标准和处理流程 FIPS 199: Information System Security Categorization FIPS 200: Minimum Information Security Requirements 信息系统安全配置 NIST, NSA, DISA, Vendors, Third Parties (e.g., CIS) Checklists and Implementation Guidance SCAP体系 ???????????????????????????????????????????? 规范制定机构 规范和标准 NVD NCP 自动化工具提供商 SCAP的贡献 第一步 第二步 系统安全基准/基线 自动化检查 安全基线概念 系统安全脆弱性因素包括安全漏洞、安全配置、状态信息，其中状态信息又可以分为端口、进程、账号、重要文档的状态。 安全基线是根据安全规范和业务系统软硬件架构，所定义的系统安全脆弱性所必需达到的标准。 安全规范是安全管理组织为保证系统安全所制定的一系列标准 现状 方法 落实 ground 自动化安全基线的概念及其工具化思路 自动化安全基线定义了系统在系统脆弱性和运行状态上，必须达到的基本的安全运行要求。 安全基线工具化实现了自动化和工具化的检查，极大方便了安全规范和要求的落