2.2 漏洞管理之爬坑不完全指南-tenable-EISS2019深圳站.pdfVIP

漏洞管理之爬坑不完全指南 BY 许晓晨 (SHAWN) X X U @ T E N A B L E . C O M 低风险漏洞突然爆发POC 处置流程僵化 他们知道数据库已停止支持吗？ 我们有多少个WebLogic 10.3.x， 负责人又是谁？ 墙被扫挂啦，谁的锅？ 高危漏洞真有必要全修？ CVE-2019-XXXX暂时可以不修吗？ 内容 发现 1. 资产发现 度量 评估 IT IoT 2. 自动化漏洞评估（hw场景） OT Cloud 3. 修复优先级分析 修补 分析 4 1. 资产发现 不只是个笑话 6 不明真相，可大家都在干 资产识别 各类安全框架关键建议中的关键 • 缺少资产清单，安全策略将难以精确 实施。 • 如何保护你不知道的东西？ 7 我们通常关心哪些资产信息？ I. IP/端口 - 起码得搞清楚有多少在线IP、开放端口（已知/未知） II. 常见网络服务和协议 - 例如telnet, SSH, RDP, SMB, HTTP, 各类数据库等 III. 应用软件/ 中间件 - 例如Apache, Tomcat, WebLogic, Struts2, PHP, JDK, Fastjson等 - 以关注服务端为主 IV. 通讯行为 - 内网存在互联网连接资产？ - 捕”影子“资产 V. 业务上下文 - 理解业务类型、资产用途以确定资产重要性 - 对应资产责任人，便于推进修复流程 8 然而，此时的坑在于… • 尽管 “网络扫描”的资产识别方法最为常用，但显然存在一些不足 • 无法找出非网络的服务或软件 （如Java ） • 发现某些中间件的效率不高（如WebLogic, Struts2等），经常漏报 • 许多扫描器原生插件（脚本）根据banner/协议头特征，难免误报 • “登录扫描”本身是个好的方法，但也绝非完美 • 环境多样性，例如许多开源组件采用编译而非标准安装 • 原生插件“黑盒”问题 9 Nessus 自定义基线脚本 • 自定义Fastjson发现脚本样例 • 标准shell命令语法 (CMD_EXEC) custom_item • 优势：只需通用的IT运维经验，完全自定义