13.1 概述
1)概念
網路安全漏洞又稱為脆弱性,簡稱漏洞。
漏洞一般是致使網路資訊系統安全策略相沖突的缺陷,這種缺陷通常稱為安全隱患。
安全漏洞的影響主要有機密性受損、完整性破壞、可用性降低、抗抵賴性缺失、可控制性下降、真實性不保等。
根據漏洞的補丁狀況,可將漏洞分為普通漏洞和零日漏洞 (zero-day vulnerability)
零日漏洞(Zero-Day Vulnerability),又稱零時差攻擊,是指軟體或系統中未被公開、未被廠商知曉的安全漏洞。這些漏洞在被發現後,往往立即被駭客利用進行攻擊,而受害者由於無法及時獲得補丁或修復方案,因此難以防範。零日漏洞的存在時間極短,從發現到被利用往往只有很短的時間視窗,這也是其得名的原因。
2)威脅
攻擊者基於漏洞對網路系統安全構成的安全威脅主要有:感資訊洩露、非授權訪問身份假冒、拒絕服務。
3)現狀
國際上已經出現安全漏洞地下交易市場,將重要的零日漏洞以高價出售。
針對安全漏洞問題的研究已成為網路安全的研究熱點,主要研究工作包括漏洞資訊蒐集分析和網路安全威脅情報服務、漏洞度量、基於漏洞的攻擊圖自動化生成、漏洞利用自動化、漏洞發現等。
13.2 分類與管理
1)來源
網路資訊系統的漏洞主要來自兩個方面:
-
一方面是非技術性安全漏洞,涉及管理組織結構管理制度、管理流程、人員管理等
- 網路安全責任主體不明確
- 網路安全策略不完備
- 網路安全操作技能不足
- 網路安全監督缺失
- 網路安全特權控制不完備
-
另一方面是技術性安全漏洞,主要涉及網路結構、通訊協議、裝置、軟體產品、系統配置、應用系統等。
- 設計出錯
- 輸入驗證錯誤
- 緩衝區溢位
- 意外情況處置錯誤
- 訪問驗證錯誤
- 配置錯誤
- 競爭條件
- 環境錯誤
2)分類
- CVE 漏洞分類
- CVE ID:年份數字+其他數字,比如 CVE-2019-1543 為一個 Open SSL 安全漏洞編號
- CVSS(通用漏洞計分系統):由基本度量計分、時序度量計分、環境度量計分組成。
- 基本度量計分:由攻擊向量、攻擊複雜性、特權要求使用者互動、完整性影響、保密性影響、可用性影響、影響範圍等引數決定。
- 時序度量計分:由漏洞利用程式碼成熟度、修補級別、漏洞報告可信度等引數決定。
- 環境度量計分:由完整性要求、保密性要求、可用性要求、修訂基本得分等決定。
- 我國漏洞分類
- 國家資訊保安漏洞庫(CNNVD):配置錯誤、程式碼問題、資源管理錯誤、數字錯誤、資訊洩露、競爭條件、輸入驗證、緩衝區錯誤、格式化字串、跨站指令碼、路徑遍歷、後置連結、SOL注入、程式碼注入、命令注入、作業系統命令注入、安全特徵問題、授權問題、信任管理加密問題、未充分驗證資料可靠性、跨站請求偽造、許可權許可和訪問控制、訪問控制錯誤和資料不足
- 國家資訊保安漏洞共享平臺(CNVD)
- CNVD 根據漏洞產生原因,將漏洞分為11種型別:輸入驗證錯誤、訪問驗證錯誤、意外情況處理錯誤數目、邊界條件錯誤數目、配置錯誤、競爭條件、環境錯誤、設計錯誤、緩衝區錯誤、其他錯誤、未知錯誤。此外,CNVD 依據行業劃分安全漏洞,主要分為行業漏洞和應用漏洞。行業漏洞包括:電信、移動網際網路、工控系統;應用洞包括Web 應用、安全產品、應用程式、作業系統、資料庫、網路裝置等。在漏洞分級方面,將網路安全洞劃分為高、中、低三種危害級別。
- OWASP TOP 10 漏洞分類
- 主要的漏洞型別有注入、未驗證的重定向和轉發、失效的身份認證、XML 外部實體(XXE)、敏感資訊洩露、失效的訪問控制、安全配置錯誤、跨站指令碼(XSS)、不安全的反序列化、使用含有已知漏洞的元件、不足的日誌記錄和監控、非安全加密儲存。
3)釋出
釋出內容一般包括:漏洞編號、釋出日期、安全危害級別、漏洞名稱、漏洞影響平臺、漏洞解決建議等。
4)獲取
漏洞來源:
- 網路安全應急響應機構
- 網路安全廠商
- IT 產品或系統供應商
- 網路安全組織
CERT、Security Focus Vulnerability Database、CNNVD、CNVD
5)管理過程
網路資訊系統資產確認
資訊採集
漏洞評估
漏洞消除和控制
漏洞變化跟蹤
13.3 技術與應用
1)網路安全漏洞掃描
2)網路安全漏洞掃描應用
13.4 網路安全漏洞處置技術與應用
1)發現技術
漏洞發現技術主要有文字搜尋、詞法分析、範圍檢查、狀態機檢査、錯誤注入、模糊測試、動態汙點分析、形式化驗證等。
2)修補技術
補丁管理是一個系統的、週而復始的工作,主要由六個環節組成,分別是現狀分析、補丁跟蹤、補丁驗證、補丁安裝、應急處理和補丁檢查。
3)防範技術
地址空間隨機化技術
資料執行阻止(data execution prevention,DEP)
SEHOP(structured exception handler overwrite protection):即結構化異常處理程式覆蓋保護,是Windows作業系統中的一種安全機制,旨在防禦針對覆蓋Windows結構化異常處理程式的漏洞利用技術。
堆疊保護
虛擬補丁:透過入侵阻斷、Web防火牆等相關技術來實現給目標系統程式“打補丁”
13.5 產品與技術指標
1)掃描器
常見技術指標:
- 漏洞掃描主機數量
- 併發數
- 速度
- 檢測能力
- 檢查功能
- web應用漏洞檢查功能
- 口令檢查功能
- 標準相容性
- 部署環境難易程度
2)服務平臺
3)防護閘道器
IPS(intrusion prevention system)
web 防火牆(WAF)
統一威脅管理(UTM)
常見技術指標:
- 阻斷安全漏洞攻擊的種類和數量
- 阻斷安全漏洞攻擊的準確率
- 阻斷安全漏洞攻擊的效能
- 支援網路頻寬的能力