13-網路安全漏洞防護技術原理與應用

LHX2018發表於2024-10-06

13.1 概述

1)概念

網路安全漏洞又稱為脆弱性,簡稱漏洞。

漏洞一般是致使網路資訊系統安全策略相沖突的缺陷,這種缺陷通常稱為安全隱患。

安全漏洞的影響主要有機密性受損、完整性破壞、可用性降低、抗抵賴性缺失、可控制性下降、真實性不保等。

根據漏洞的補丁狀況,可將漏洞分為普通漏洞和零日漏洞 (zero-day vulnerability)

零日漏洞(Zero-Day Vulnerability),又稱零時差攻擊,是指軟體或系統中未被公開、未被廠商知曉的安全漏洞。這些漏洞在被發現後,往往立即被駭客利用進行攻擊,而受害者由於無法及時獲得補丁或修復方案,因此難以防範。零日漏洞的存在時間極短,從發現到被利用往往只有很短的時間視窗,這也是其得名的原因。

2)威脅

image
攻擊者基於漏洞對網路系統安全構成的安全威脅主要有:感資訊洩露、非授權訪問身份假冒、拒絕服務。

3)現狀

國際上已經出現安全漏洞地下交易市場,將重要的零日漏洞以高價出售。

針對安全漏洞問題的研究已成為網路安全的研究熱點,主要研究工作包括漏洞資訊蒐集分析和網路安全威脅情報服務、漏洞度量、基於漏洞的攻擊圖自動化生成、漏洞利用自動化、漏洞發現等。

13.2 分類與管理

1)來源

網路資訊系統的漏洞主要來自兩個方面:

  • 一方面是非技術性安全漏洞,涉及管理組織結構管理制度、管理流程、人員管理等

    • 網路安全責任主體不明確
    • 網路安全策略不完備
    • 網路安全操作技能不足
    • 網路安全監督缺失
    • 網路安全特權控制不完備

  • 另一方面是技術性安全漏洞,主要涉及網路結構、通訊協議、裝置、軟體產品、系統配置、應用系統等。

    • 設計出錯
    • 輸入驗證錯誤
    • 緩衝區溢位
    • 意外情況處置錯誤
    • 訪問驗證錯誤
    • 配置錯誤
    • 競爭條件
    • 環境錯誤

2)分類

  • CVE 漏洞分類
    • CVE ID:年份數字+其他數字,比如 CVE-2019-1543 為一個 Open SSL 安全漏洞編號
  • CVSS(通用漏洞計分系統):由基本度量計分、時序度量計分、環境度量計分組成。
    • 基本度量計分:由攻擊向量、攻擊複雜性、特權要求使用者互動、完整性影響、保密性影響、可用性影響、影響範圍等引數決定。
    • 時序度量計分:由漏洞利用程式碼成熟度、修補級別、漏洞報告可信度等引數決定。
    • 環境度量計分:由完整性要求、保密性要求、可用性要求、修訂基本得分等決定。
      image
  • 我國漏洞分類
    • 國家資訊保安漏洞庫(CNNVD):配置錯誤、程式碼問題、資源管理錯誤、數字錯誤、資訊洩露、競爭條件、輸入驗證、緩衝區錯誤、格式化字串、跨站指令碼、路徑遍歷、後置連結、SOL注入、程式碼注入、命令注入、作業系統命令注入、安全特徵問題、授權問題、信任管理加密問題、未充分驗證資料可靠性、跨站請求偽造、許可權許可和訪問控制、訪問控制錯誤和資料不足
    • 國家資訊保安漏洞共享平臺(CNVD)
      • CNVD 根據漏洞產生原因,將漏洞分為11種型別:輸入驗證錯誤、訪問驗證錯誤、意外情況處理錯誤數目、邊界條件錯誤數目、配置錯誤、競爭條件、環境錯誤、設計錯誤、緩衝區錯誤、其他錯誤、未知錯誤。此外,CNVD 依據行業劃分安全漏洞,主要分為行業漏洞和應用漏洞。行業漏洞包括:電信、移動網際網路、工控系統;應用洞包括Web 應用、安全產品、應用程式、作業系統、資料庫、網路裝置等。在漏洞分級方面,將網路安全洞劃分為高、中、低三種危害級別。
  • OWASP TOP 10 漏洞分類
    • 主要的漏洞型別有注入、未驗證的重定向和轉發、失效的身份認證、XML 外部實體(XXE)、敏感資訊洩露、失效的訪問控制、安全配置錯誤、跨站指令碼(XSS)、不安全的反序列化、使用含有已知漏洞的元件、不足的日誌記錄和監控、非安全加密儲存。

3)釋出

釋出內容一般包括:漏洞編號、釋出日期、安全危害級別、漏洞名稱、漏洞影響平臺、漏洞解決建議等。
image
image

4)獲取

漏洞來源:

  • 網路安全應急響應機構
  • 網路安全廠商
  • IT 產品或系統供應商
  • 網路安全組織

CERT、Security Focus Vulnerability Database、CNNVD、CNVD

5)管理過程

網路資訊系統資產確認

資訊採集

漏洞評估

漏洞消除和控制

漏洞變化跟蹤

13.3 技術與應用

1)網路安全漏洞掃描

2)網路安全漏洞掃描應用

13.4 網路安全漏洞處置技術與應用

1)發現技術

漏洞發現技術主要有文字搜尋、詞法分析、範圍檢查、狀態機檢査、錯誤注入、模糊測試、動態汙點分析、形式化驗證等。

2)修補技術

補丁管理是一個系統的、週而復始的工作,主要由六個環節組成,分別是現狀分析、補丁跟蹤、補丁驗證、補丁安裝、應急處理和補丁檢查。
image

3)防範技術

地址空間隨機化技術

資料執行阻止(data execution prevention,DEP)

SEHOP(structured exception handler overwrite protection):即結構化異常處理程式覆蓋保護,是Windows作業系統中的一種安全機制,旨在防禦針對覆蓋Windows結構化異常處理程式的漏洞利用技術。

堆疊保護

虛擬補丁:透過入侵阻斷、Web防火牆等相關技術來實現給目標系統程式“打補丁”

13.5 產品與技術指標

1)掃描器

常見技術指標:

  • 漏洞掃描主機數量
  • 併發數
  • 速度
  • 檢測能力
  • 檢查功能
  • web應用漏洞檢查功能
  • 口令檢查功能
  • 標準相容性
  • 部署環境難易程度

2)服務平臺

3)防護閘道器

IPS(intrusion prevention system)

web 防火牆(WAF)

統一威脅管理(UTM)

常見技術指標:

  • 阻斷安全漏洞攻擊的種類和數量
  • 阻斷安全漏洞攻擊的準確率
  • 阻斷安全漏洞攻擊的效能
  • 支援網路頻寬的能力

相關文章