之前有跟大家講解一些關(guān)于漏洞掃描的一些情況。這期呢主要想簡(jiǎn)單的聊一下安全運(yùn)營(yíng)里，關(guān)于漏洞掃描的一些簡(jiǎn)單常識(shí)。

  漏洞掃描是信息安全工作里，完成風(fēng)險(xiǎn)評(píng)估很常見(jiàn)的一種手段。就像是醫(yī)生用X光來(lái)檢查一下病人的身體，是不是有毛病一樣，安全工作者經(jīng)常通過(guò)漏洞掃描來(lái)評(píng)估目標(biāo)系統(tǒng)是否存在漏洞，進(jìn)而決策如何做下一步的安全防護(hù)。

  漏洞掃描的原理是發(fā)送特定的請(qǐng)求，到遠(yuǎn)程服務(wù)，根據(jù)遠(yuǎn)程服務(wù)返回的行為，判斷是否存在某個(gè)具體漏洞（也有很多時(shí)候是根據(jù)返回的版本號(hào)信息來(lái)判斷）。

  1、漏洞掃描有什么影響

  1.1 網(wǎng)絡(luò)影響

  請(qǐng)求網(wǎng)絡(luò)包的頻率、數(shù)量，對(duì)網(wǎng)絡(luò)和應(yīng)用造成影響，交換機(jī)/路由器可能因此宕機(jī)，引發(fā)連鎖反應(yīng)，QPS過(guò)高可能超出服務(wù)的性能極限，導(dǎo)致業(yè)務(wù)中斷；

  1.2 異常處理影響

  業(yè)務(wù)無(wú)法正確處理請(qǐng)求包里的特殊輸入，引發(fā)異常宕機(jī)，比如一個(gè)私有協(xié)議的服務(wù)也許只是碰巧聽(tīng)在了TCP 80端口，收到一個(gè)HTTP Get請(qǐng)求就直接掛了；

  1.3 日志影響

  請(qǐng)求公網(wǎng)的業(yè)務(wù)時(shí)，每一個(gè)URL的探測(cè)，都可能造成一個(gè)40x或者50x的錯(cuò)誤日志。而業(yè)務(wù)的正常監(jiān)控邏輯正是用Access Log里的狀態(tài)碼來(lái)進(jìn)行的。不做任何處理的話(huà)，突然40x猛增，業(yè)務(wù)的SRE和RD必然要進(jìn)行響應(yīng)，如果他們從半夜、假期著急忙慌的登錄VPN查了半天發(fā)現(xiàn)是安全工程師觸發(fā)的，甚至還連帶了1.1、1.2的影響，把某業(yè)務(wù)弄出事了，這個(gè)責(zé)任一定是安全工程師要背負(fù)的。

  2、產(chǎn)生了什么問(wèn)題

  對(duì)于安全工程師而言，不掃描可能意味著無(wú)法開(kāi)展工作了，無(wú)法得知公司風(fēng)險(xiǎn)，無(wú)從開(kāi)展治理工作；對(duì)于業(yè)務(wù)方而言，掃描意味著添亂，業(yè)務(wù)不可用的風(fēng)險(xiǎn)是較大的風(fēng)險(xiǎn)；有不少同行因此背鍋黯然受傷的，也有一些強(qiáng)勢(shì)的同行得罪了業(yè)務(wù)的。

  3、錯(cuò)在了哪兒

  漏洞掃描對(duì)于業(yè)務(wù)側(cè)來(lái)說(shuō)，是一種新的變化。一個(gè)變化的一次引入，有問(wèn)題是必然的，沒(méi)問(wèn)題才是異常的。合理的做法是遵循ITIL里的“變更管理”。

  變更計(jì)劃：掃描的時(shí)間、IP/URL/端口范圍、QPS、測(cè)試用例集（有DoS的測(cè)試用例選擇、有Delete/Update相關(guān)的資產(chǎn)選擇、有POST隱蔽接口的選擇）

  變更風(fēng)險(xiǎn)評(píng)估：交換機(jī)路由器的流量和容量、業(yè)務(wù)的QPS、業(yè)務(wù)/網(wǎng)絡(luò)掛掉的較極端風(fēng)險(xiǎn)評(píng)估

  變更知會(huì)：業(yè)務(wù)的管理者、RD、SRE、DBA、QA甚至網(wǎng)絡(luò)維護(hù)方，是否知道上述所有關(guān)鍵信息，并授權(quán)同意進(jìn)行掃描（全公司強(qiáng)制的至少做到知會(huì)）

  回滾計(jì)劃：如果出了問(wèn)題，怎么很快速的停止掃描和恢復(fù)業(yè)務(wù)（有些動(dòng)作要上面的變更知情范圍的關(guān)鍵干系人配合）

  變更觀察：執(zhí)行掃描的時(shí)候，大家有沒(méi)有在盯著服務(wù)是否出錯(cuò)（以及判斷業(yè)務(wù)是否正常），以便在出問(wèn)題的很快做出響應(yīng)；

  變更總結(jié)：灰度執(zhí)行過(guò)程中總結(jié)不到位的地方，在下一次工作中改進(jìn)

  嚴(yán)格的說(shuō)，不按照這些方法，上來(lái)就一通猛掃的，的確是安全同行自身沒(méi)有做到足夠?qū)I(yè)。不能怪業(yè)務(wù)側(cè)不理解不支持。

  4、解決建議：公網(wǎng)堅(jiān)決掃，內(nèi)網(wǎng)謹(jǐn)慎

  按網(wǎng)絡(luò)分類(lèi)：互聯(lián)網(wǎng)公開(kāi)業(yè)務(wù)、內(nèi)網(wǎng)業(yè)務(wù)

  按服務(wù)類(lèi)型分類(lèi)：Web類(lèi)、高危服務(wù)類(lèi)、私有協(xié)議類(lèi)

  公網(wǎng)Web服務(wù)，業(yè)務(wù)必須接受安全檢查，因?yàn)槲覀儾粧?，黑也?huì)沒(méi)日沒(méi)夜的盯著業(yè)務(wù)掃。與其未來(lái)無(wú)計(jì)劃的被黑掃掛，不如有節(jié)奏的按變更計(jì)劃，逐步適應(yīng)被掃描。

  在遵守變更管理原則的前提下，也就是上線稍微繁瑣痛苦一些，比如業(yè)務(wù)側(cè)需要1個(gè)月時(shí)間修改監(jiān)控邏輯（忽略?huà)呙杵饔|發(fā)的錯(cuò)誤請(qǐng)求），需要對(duì)某些掃描觸發(fā)的異常進(jìn)行兼容適配，甚至某些無(wú)人維護(hù)的業(yè)務(wù)被掃描之后改不了，只好加白名單。這些需要磨合。磨合完畢，也就是安全團(tuán)隊(duì)可以例行周期不間斷掃描的時(shí)候，上述問(wèn)題根本就不再是問(wèn)題了。

  公網(wǎng)高危服務(wù)：只識(shí)別協(xié)議，不做漏洞檢測(cè)，因?yàn)楦呶７?wù)的端口開(kāi)放出來(lái)就是不可取的，直接關(guān)掉服務(wù)比較直接，檢測(cè)漏洞只是浪費(fèi)更多的資源罷了；

  公網(wǎng)私有協(xié)議：大多數(shù)掃描器并不能支持這些協(xié)議的漏洞檢測(cè)，只能忽略不做掃描，當(dāng)然這里會(huì)存在盲點(diǎn)，暫時(shí)不展開(kāi)；

  內(nèi)網(wǎng)服務(wù)的復(fù)雜度比上面高很多倍，一方面，內(nèi)網(wǎng)你不掃，黑進(jìn)來(lái)掃的幾率沒(méi)那么大。另一方面，大家對(duì)傳統(tǒng)的特權(quán)的依賴(lài)導(dǎo)致內(nèi)網(wǎng)漏洞比公網(wǎng)多很多，也更禁不住掃，你一掃，大概率就是會(huì)出事的。

  所以，如果只做端口掃描，確定交換機(jī)路由器還扛得住的情況下（嗯，之前遇到過(guò)老舊的網(wǎng)絡(luò)設(shè)備你稍微開(kāi)一點(diǎn)掃描請(qǐng)求它直接掛掉的現(xiàn)象），相對(duì)可接受。

  協(xié)議識(shí)別這一步可能觸發(fā)某些脆弱的服務(wù)掛掉，賬號(hào)爆破則可能觸發(fā)賬號(hào)封禁（繼而引發(fā)連帶的事故），而漏洞掃描風(fēng)險(xiǎn)更大。

  所以，多數(shù)時(shí)候其實(shí)并不鼓勵(lì)使用網(wǎng)絡(luò)掃描的方式來(lái)做內(nèi)網(wǎng)風(fēng)險(xiǎn)評(píng)估，如果agent能夠采集到版本號(hào)、配置、賬號(hào)相關(guān)的信息，其實(shí)也能完成風(fēng)險(xiǎn)數(shù)據(jù)的采集，不必死盯著網(wǎng)絡(luò)掃描這一個(gè)手段。

  可是，這樣內(nèi)網(wǎng)豈不是很多風(fēng)險(xiǎn)了？

  殘酷的事實(shí)是，是的，這是現(xiàn)在的絕大多數(shù)企業(yè)的現(xiàn)狀，非常可怕，對(duì)么？如果某些漏洞特別情急（比如MS17-010)，針對(duì)特定的端口服務(wù)，內(nèi)網(wǎng)其實(shí)也可以遵守上面的標(biāo)準(zhǔn)流程去掃描的，但是全量全范圍的漏洞掃描，就很難實(shí)施了。

  以上就是漏洞掃描的一些運(yùn)營(yíng)常識(shí)，大家可以參考一下，想要了解更多，歡迎關(guān)注本網(wǎng)站或者致電上海觀初網(wǎng)絡(luò)科技有限公司了解更多小知識(shí)。