漏洞对资产所有者来说是一件令人讨厌的事情。但对于黑客来说,漏洞是他们最喜欢的“高价值资产”,可以为黑客带来源源不断的收益价值。举个简单的例子,黑客通过系统漏洞进入服务器。一方面,他们可以通过非法窃取数据信息,在黑市上套现获取经济利益;“滩头阵地”武器。层出不穷的漏洞让安全人员的工作不堪重负。然而,一次消除所有漏洞几乎是不可能的。如果安全人员只关注一些“??无伤大雅”的小漏洞,而长期忽视严重的漏洞,那就是就像粉刷随时可能倒塌的屋顶一样可笑,由于每个企业都有自己的特点,因此需要确定漏洞响应的优先顺序,了解每个漏洞对企业关键资产或业务的威胁程度。俗话说千里堤不陷蚁穴,一个小小的漏洞也可能造成致命的伤害,因此如何快速确定漏洞修复的优先级,尽快修复关键漏洞就成为了企业的重中之重。所有安全人员。为此,我根据自己在网络安全服务领域多年的经验,总结出提出漏洞治理的关键策略:知己知彼,百战不殆。1.知己:资产管理是风险评估的前提在运营良好、风平浪静的情况下,资产管理往往不是那么重要,但当发生攻击时,会让安全运营人员明白谁是评估的前提安全保护。例如,当一个高危漏洞爆发时,如果安全人员不能确定漏洞影响了哪些资产,就如同瞎子摸索优先修复漏洞。因此,安防人员必须拥有完整的资产视图,能够实时了解其动态变化。这是“心腹”,也是漏洞管理的前提。毕竟,任何人都无法评估未知资产的风险,它们在黑客手中将成为随时可能引爆的“隐形炸弹”。资产管理的重要性不言而喻,但99%的企业IT人员都不知道自己拥有哪些IT资产。据全球权威IT咨询机构Gartner调查分析,数据中心近28%的物理服务器是幽灵服务器或僵尸服务器。对于这些休眠服务器,没有每日补丁更新。在这种情况下,如果需要启动服务器,比如查看旧版本网站时,该服务器就成为企业IT环境中风险最大、最容易受到攻击的服务器。攻击者可以利用这些旧系统的漏洞作为跳板,通过横向渗透攻击进入内网,访问其他主机,获取邮箱、共享文件或凭据信息等敏感资源。在此基础上,进一步控制其他系统,提升权限或窃取更有价值的数据。这简直是??企业安全人员的噩梦。因此,笔者认为资产管理是安全的前提,但一个好的资产管理方案需要具备以下两种能力,包括盘点资产的能力和关联资产的能力。1、清楚:资产全面清查企业必须清楚自己所有的资产(包括硬件和软件),比如自己企业有哪些服务器,运行的是什么软件,补丁是怎么打的?如果你不知道你拥有上面这些基本问题是很难回答的。之前,甲方公司的一名保安向我抱怨说,他每天都在“提心吊胆”。每当互联网爆发0-Day漏洞时,安全团队都希望尽快确认受漏洞影响的服务器范围,以便在最短的时间内做出响应。但是,公司业务复杂,安全管理人员甚至不知道公司有多少台服务器,服务器上运行着无数的应用程序。因此,公司只能发文要求各业务线提交自己业务系统的部署。接下来就是等待很久了,等待厂商的漏洞通知,写检测脚本找到有漏洞的主机,等待厂商的漏洞修复方法,写修复脚本,最后修复有问题的主机一台一个。在整个事件响应过程中,安全人员并不知道业务部门上报的资产是不完整的,也不知道检测脚本是否扫描了所有存在漏洞的主机,也不知道在事件发生期间是否有黑客入侵企业。这一时期。在这漫长的等待过程中,那些易受攻击的主机资产就像案板上的“鱼”,任由黑客任人宰割,而安全人员却如同局外人,束手无策。2、看透:资产深度关联。全面盘点资产是资产管理的第一步,帮助企业生成完整的、持续更新的资产视图。但是,如果收集到的每条数据都很肤浅,那么即使拥有完整的资产清单,其价值也非常有限。以主机资产为例,信息安全团队不仅需要深入了解主机资产,包括硬件规格、安装的软件、批准的账户、root权限、安装包等,还需要了解这些资产之间的关联程度资产和每个资产类别的重要性。此时,如果具备良好的资产管理能力,可以通过API将资产数据导入风险发现或入侵检测等其他系统,进行深度关联,对安全人员做好安全防范有很大帮助。比如漏洞风险关联对应的软件应用状态,账户风险关联对应的系统账户,反弹shell关联对应的端口、进程等,只有这样才能实时告警一旦现有资产存在相应的风险或被黑客攻击,就会发出提醒。2、知己知彼:持续监控是漏洞应对的关键除了对企业IT资产有清晰深入的了解外,企业安全负责人还需要了解外部漏洞风险情况。这就是“知己知彼”。这包括来自行业协会、政府机构、学术研究人员、技术分析师和安全供应商等的最新漏洞披露。尤其要特别关注可被利用的“零日”漏洞、“横向移动”漏洞等外部风险情况。一旦发现新爆的漏洞,应立即将漏洞规则包导入扫描系统??,以便尽快检测到漏洞。虽然黑客不会针对所有已发布的漏洞发起攻击,但他们会继续扫描系统和软件以查找关键漏洞。密歇根大学的一项研究表明,开放端口或存在漏洞的服务器在连接到互联网后,会在23分钟内被攻击者扫描,并在56分钟内检测到漏洞。第一次完整入侵的平均时间为19小时。当然,扫描的频率决定了连续监测的可行性。如果每个月扫描一次,甚至每个季度扫描一次,就很难为实时监控提供最新的数据信息。鉴于漏洞不断变化,建议每天持续扫描关键的高优先级核心资产。基于代理的持续监控和扫描每天都有新漏洞出现,每分钟系统配置都在变化。同时,通过使用新技术,黑客们的攻击速度和能力也有了很大的提升。这些变化决定了企业的安全状态始终处于动态过程中,因此持续的安全监控显得尤为重要。因此,安全人员需要借助专业的风险评估工具,持续检测、清除和控制漏洞,以减少攻击面。目前漏洞扫描工具的类型有主动式和被动式,即Agent-based和Agentless。尽管无代理监控解决方案比几年前更强大,但与基于代理的解决方案相比,无代理解决方案的应用往往极为有限。基于代理的监控解决方案是通过监控操作系统内部运行的进程来实现的。与无代理解决方案相比,基于代理的监控通常可以更深入地了解操作系统的运行状态。基于代理的监控解决方案如此强大的原因之一是因为它们可以监控端点的多个级别的内容。当然,并非所有产品都会检查每个方面,但总的来说,基于代理解决方案的产品可以提供比无代理产品更细粒度的主机健康视图。基于代理的监控尽管很难否认无代理监控的便利性,但无代理解决方案依赖于通过网段“嗅探”或查询从网络端点获取的数据,并且通过这些方法获取的监控数据类型有限。基于代理的解决方案可以直接访问被监控端点,因此可以获得非常细粒度的监控数据。据研究,Agentless和Agent-basedIT系统管理方案的性能下降情况基本一致。然而,基于代理的解决方案提供了固有的可用性和安全优势,包括在网络中断期间管理系统的能力以及无需额外配置即可绕过防火墙管理系统的能力。由于基于代理和无代理的解决方案各有优缺点,一些供应商使用混合监控解决方案,使用多种监控技术而不是依赖单一方法。目的是既要使用Agentless监控,又要基于Agent实现更细粒度的监控。因此,建议尽量使用Agent监控方式,尤其是对于那些需要深度监控的复杂关键环境,Agent-based方式更为合适。3、百战百胜:自动化“解压”修复漏洞漏洞修复是漏洞管理中最重要的步骤之一,任何失误都会对企业造成重大影响。因此,尽快按照漏洞优先级进行修复,将系统风险降到最低就显得尤为重要。然而,传统的人工排查漏洞、提供修复建议、打补丁的过程费时费力,错误率高。众所周知,复杂的修复过程会导致企业组织选择延期修复,而这些积累起来的“技术债”对于企业来说就是一颗定时炸弹。为了简化修补过程并最大限度地降低成本,建议使用自动化补丁管理解决方案。毕竟,作为稀缺资源的安全专家不应被束缚在可以通过自动化解决的简单重复性工作任务中。他们应该解决自动化工具无法解决的问题,例如,确定补丁的优先级并为这些补丁的应用提供指导。在修复漏洞时,自动化漏洞管理解决方案能够以可视化的方式全面展示风险状态并输出相应的安全报告,让安全人员能够详细了解风险概况和整体趋势。当然,对于一线操作员最有用的报告功能是了解需要修复哪些漏洞以及如何完成该任务。因此,报告中应详细介绍风险的严重程度、漏洞检测和修复步骤的细节,帮助安全人员尽快完成漏洞修复任务。同时,为满足不同岗位人员的需求,自动化漏洞管理解决方案应支持风险信息类型和呈现方式的按需定制。此外,扫描报告应全面、具体、通俗易懂,不得出现漏报、漏报等情况。误报会占用IT人员大量的精力和时间去调查,而漏报则会因为未修补的漏洞导致被黑客利用的严重风险。通常情况下,一份漏洞报告至少包括以下4个内容:漏洞报告的主要内容:风险概览,提供“一目了然”的风险评级以及各风险点的概况和趋势。风险总结,按优先级列出所有风险点。风险分析,详细说明对资产的特定威胁,并允许对特定问题进行深入检查。补丁报告,显示补丁的状态和负责人。实践案例:Struts2漏洞爆发后,与黑客正面交锋。下面通过一个我亲身经历的故事,跟大家分享一下我们在Struts2爆发后的应对过程。一天早上半夜,我接到了公司的紧急电话。赶紧打开电脑查看报警邮件,提示有反向shell攻击。在半夜,服务器正在积极尝试连接到其他外部服务器。那一刻,我能想象到服务器另一端的“黑衣人”面对唾手可得的“鲜蒸”贝壳时的狂喜。显然,黑客正在横冲直撞,迫切需要在他们造成真正破坏之前阻止他们。做技术的都知道,反弹shell一般是外网渗透的最后一步,也是内网渗透的第一步。反弹Shell对服务器安全乃至内网安全的危害就不用多说了。多年的一线战斗经验告诉我,黑客一般利用远程命令执行、远程代码执行、Webshel??l、Redis未授权访问可执行系统命令等漏洞,执行反弹命令,让目标服务器主动发送连接请求,从而绕过防火墙的入站访问控制规则。①初试失败。虽然我们记录了各服务器系统交互的Shell命令,包括操作者IP、操作终端、操作用户、操作详情等关键信息,但没想到的是,在反弹Shell的十分钟日志中,并没有出现任何异常在日志中发现了与黑客反向Shell操作相关的操作行为。②转变思路很明显,黑客并没有通过常规的服务器端执行命令的方式反弹,但被黑客利用的其他资产肯定存在漏洞。为了找到根源,我对宿主机上运行的资产(如虚拟机、网站、Web服务、Web框架等)进行了全面清查,发现Struts2Web框架存在于服务器,碰巧这个版本恰好存在S2-045漏洞。说到大名鼎鼎的RCE(远程代码执行)漏洞,Struts2框架漏洞最为“经典”,一旦爆发,被各家安全厂商视为高危应急漏洞。S2-045漏洞是由于将包含OGNL表达式的错误信息带入buildErrorMessage方法运行,导致远程代码执行。S2-045只有一种触发形式,就是在HTTP头的Content-Type中注入OGNL表达式。③为确认攻击的真正来源,通过查看Tomcat日志,发现有一个具有反弹shell行为的恶意IP,通过post请求访问客户端服务器上的一个Struts2页面。至此,基本可以判断攻击者是通过Struts2的反序列化漏洞进行攻击,从而完成反弹Shell操作。幸运的是,由于发现及时,反应迅速,此次黑客攻击并未对服务器造成任何损害。④反击,首先通过防火墙立即封禁IP,同时在WAF上设置规则拦截请求,进一步立即修补Struts2漏洞。攻防之战从未停止,黑客与白帽子的斗争愈演愈烈。在Struts2框架漏洞的战场上,需要持续深入的研究才能占据主动。虽然从以往出现的Struts漏洞可以看出,恶意OGNL表达式的注入点无处不在,但随着Struts2框架版本的不断迭代,已经修复了很多漏洞。在此,也提醒各位安全人员,一定要及时打补丁,使用最新版本的Struts框架,以免被不法分子利用造成损失。同时对request请求的参数名、参数值、cookie参数名、action名、Content-Type内容、filename内容、requestbody内容进行验证(反序列化漏洞),减少后期被黑客利用的可能性.安全提示大多数企业安全部门没有人力实时响应所有漏洞。因此,为了最有效地利用有限的人力和物力资源,需要优先应对脆弱性。当然,只有准确评估漏洞的风险,才能真正提高漏洞管理水平。对此,建议从以下六个方面提高漏洞响应优先级排序的效率。重点资产清单及时更新。准确了解哪些资产存在风险以及攻击者最有可能将其作为目标。引入威胁情报以支持漏洞修复。智能让用户及时了解新的重大漏洞,进而给出更有效的漏洞修复建议。建立相关的安全合规基线。包括操作系统补丁更新和相关配置都需要满足安全法规的要求,以防止新设备进入网络“被感染”。使用持续的安全评估。通过代理持续监控、安全日志、流量分析、CMDB等多种方式,全面掌握资产变化带来的风险。建立错误修复优先级。根据资产暴露位置、资产重要性、是否有防护措施、漏洞是否有POC、漏洞利用普及程度等指标,对资产漏洞修复工作进行排序。自动错误修复。尽量采用自动化补丁修复方案,减少安全运维人员的工作量。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
