漏洞 (Vulnerability) 是指系統設計或實施中的弱點,可能被攻擊者利用以破壞系統安全。這通常是某種安全漏洞,使攻擊者能夠繞過用戶認證進入系統。網路中系統出現漏洞的原因一般分為兩大類:軟體或硬體配置錯誤,以及不良的程式設計實踐。攻擊者會利用這些漏洞對組織的資源發動各種攻擊。
硬體或軟體配置錯誤
網路中硬體或軟體的不安全配置可能導致安全漏洞。例如,配置錯誤或使用未加密的協議可能導致網路入侵,進而洩露敏感資訊。硬體配置錯誤可能讓攻擊者獲取網路或系統的訪問權限,而軟體配置錯誤則可能讓攻擊者訪問應用程式和數據。
不安全或不良的網路和應用設計
網路設計不當或不安全可能會使其易受各種威脅和數據丟失。例如,若防火牆、入侵檢測系統 (IDS) 和虛擬私人網路 (VPN) 技術實施不安全,網路將暴露於大量威脅中。
技術上的固有弱點
若硬體或軟體無法防禦某些類型的攻擊,則該網路對此類攻擊將是脆弱的。某些硬體、應用程式或網路瀏覽器通常容易遭受攻擊,如拒絕服務 (DoS) 或中間人攻擊。例如,運行舊版本網路瀏覽器的系統容易受到分佈式攻擊。如果系統未更新,小型木馬攻擊可能迫使用戶掃描並清理整個機器存儲,這通常會導致數據丟失。
終端使用者的粗心大意
終端使用者的粗心對網路安全有很大影響。人類行為很容易受到各類攻擊的影響,並可能導致嚴重後果,包括數據丟失和資訊洩露。攻擊者可以通過各種社交工程技術獲取敏感資訊。用戶與潛在的惡意實體分享賬戶信息或登錄憑據可能導致數據丟失或信息被濫用。將系統連接到不安全的網路也可能導致第三方的攻擊。
終端使用者的故意行為
曾任職員工若仍擁有共享驅動器的訪問權限,可能會濫用這些權限洩露公司的敏感資訊。這種行為稱為故意的終端使用者行為,可能導致公司遭受重大數據和財務損失。
這張表總結了技術性和配置性漏洞,這些漏洞可能會暴露系統於各種安全風險之中。
是分析協議、服務和配置的過程,旨在發現作業系統及其應用程序中的漏洞和設計缺陷,這些漏洞會暴露系統,使其容易受到攻擊、利用或誤用。漏洞根據其嚴重級別(低、中或高)以及利用範圍(本地或遠程)進行分類。
管理員進行漏洞研究的原因包括:
是對系統或應用程式的深入檢查,評估其安全程序和控制措施,是否能夠抵禦攻擊。漏洞評估可識別、測量並分類計算機系統、網路和通訊通道中的安全漏洞。
進行漏洞評估可以用來:
漏洞掃描器獲得的資訊包括:
隨著網路攻擊的威脅日益嚴峻,漏洞研究變得至關重要,因為它有助於減少系統受到攻擊的可能性。漏洞研究可以幫助識別軟體中可能被攻擊者利用的缺陷或漏洞,並促進防禦措施的加強。漏洞評分系統和資料庫為安全分析師提供了評估資訊系統漏洞的工具,並根據識別出的漏洞提供綜合的嚴重性和風險評分。
漏洞資料庫則負責收集和維護有關資訊系統中各類漏洞的詳細資訊,這些資料能夠幫助企業和安全專業人員快速應對和修復潛在風險。
以下是幾個常見的漏洞評分系統和資料庫:
這些評分系統和資料庫是安全專業人員日常工作中的重要工具,為漏洞識別、修復以及系統加固提供了有力支持,從而有效減少攻擊風險並提升整體的網路安全防護。
通用漏洞評分系統(CVSS)
來源: https://www.first.org, https://nvd.nist.gov
CVSS 是一個公開的標準框架,用於傳達 IT 漏洞的特性及其影響。該系統的量化模型確保了評估結果的可重複性和準確性,並允許用戶查看用於生成評分的潛在漏洞特徵。因此,CVSS 是一個適用於各行業、組織和政府的標準化測量系統,特別適合需要精確且一致的漏洞影響評分的情況。CVSS 的兩個主要用途是:
國家漏洞資料庫(NVD) 為幾乎所有已知漏洞提供 CVSS 評分。CVSS 旨在捕捉漏洞的主要特性,並產生數值評分以反映其嚴重性。這一數值評分可以轉化為定性的表示形式(例如低、中、高或嚴重),以幫助組織適當地評估和優先處理其漏洞管理過程。
CVSS 評估包含以下三個測量漏洞的指標:
這三個指標共同幫助安全專業人員準確量化漏洞的影響,從而更有效地管理和修補漏洞
**通用漏洞評分系統(CVSS)**中不同嚴重性等級對應的基礎分數範圍,範圍從1到10,數值越高,表示漏洞的嚴重性越大。CVSS分數是通過表示每個組分數的向量字串來計算並生成的。CVSS計算器根據漏洞的整體嚴重性和風險進行排名,並提供相關資訊。各等級及對應的基礎分數範圍如下:
| 嚴重性等級 | 基礎分數範圍 |
| 無 (None) | 0.0 |
| 低 (Low) | 0.1-3.9 |
| 中 (Medium) | 4.0-6.9 |
| 高 (High) | 7.0-8.9 |
| 嚴重 (Critical) | 9.0-10.0 |
這個流程代表了在管理漏洞時的各個步驟,從識別資產、進行漏洞掃描,直至風險評估、修復、驗證和持續監控的完整過程。
| 漏洞類型 | 描述 | 範例 |
|---|---|---|
| 配置錯誤/弱配置 | 配置錯誤是最常見的漏洞,主要由人為錯誤引起,攻擊者可以藉此入侵網路並獲得未經授權的系統訪問 | - 網路配置錯誤:不安全的協議、打開的端口和服務、錯誤與弱加密 - 主機配置錯誤:開放的權限、未保護的root帳戶 |
| 應用程式漏洞 | 應用程式中的漏洞被攻擊者利用來造成數據篡改和未經授權的配置訪問 | - 緩衝區溢出、記憶體洩漏、資源耗盡等 |
| 修補程式管理不當 | 軟體未能及時修補和更新,導致系統容易受到攻擊 | - 未修補的伺服器、固件、作業系統、應用程式 |
| 設計缺陷 | 系統功能上的邏輯漏洞可讓攻擊者繞過偵測機制並訪問系統 | - 不正確的加密,數據驗證不足 |
| 第三方風險 | 第三方服務可訪問特權系統和應用程式,可能導致供應鏈風險 | - 供應商管理、數據存儲、雲端存儲風險 |
| 預設安裝/預設配置 | 使用預設設定部署軟體或硬體允許攻擊者通過猜測設定來攻擊系統 | - 攻擊者猜測預設密碼來獲取訪問權限 |
| 作業系統漏洞 | OS上的漏洞,例如惡意軟件威脅(木馬、蠕蟲等) | - OS不更新導致的病毒攻擊 |
| 預設密碼 | 使用預設密碼進行設置且未及時更改,容易受到字典攻擊和暴力破解攻擊 | - 使用者忘記更新密碼 |
| 零日漏洞 | 尚未修補的已知或未知漏洞,可被攻擊者在修補之前利用 | - 攻擊者在漏洞修補前進行攻擊 |
| 舊系統平台漏洞 | 舊系統漏洞是因為已過時的代碼導致不支持新更新,容易成為攻擊目標 | - 舊版本IoT設備的漏洞 |
| 系統過度擴展/未記錄的資產 | 系統未記錄的資產會導致管理不善,且沒有被有效監控 | - 被遺漏的未使用設備導致安全風險 |
| 證書和密鑰管理不當 | 不良的證書和密鑰管理會導致密碼破解和數據外洩等攻擊 | - 使用過期的密鑰 |
| 評估類型 | 描述 |
|---|---|
| Active Assessment | 使用網路掃描器來尋找主機、服務和漏洞。 |
| Passive Assessment | 用來嗅探網路流量,發現當前的活動系統、網路服務、應用程式和漏洞。 |
| External Assessment | 從駭客的角度評估網路,以發現外部可訪問的漏洞和攻擊點。 |
| Internal Assessment | 掃描內部基礎設施,以發現漏洞和攻擊點。 |
| Host-based Assessment | 進行配置層級檢查,識別系統配置、用戶目錄、檔案系統等,評估是否存在妥協的可能性。 |
| Network-based Assessment | 判斷可能發生在組織系統上的網路安全攻擊。 |
| Application Assessment | 測試和分析網路基礎設施中的所有元素,找出任何錯誤配置、過時內容或已知的漏洞。 |
| Database Assessment | 專注於測試資料庫(如 MySQL、MSSQL、Oracle、PostgreSQL)是否存在資料洩露或注入類型的漏洞。 |
| Wireless Network Assessment | 判斷組織無線網路中的漏洞。 |
| Distributed Assessment | 同時評估分佈式的組織資產,例如客戶端和伺服器應用程式,通過適當的同步技術進行評估。 |
| Credentialed Assessment | 通過獲取網路中所有機器的憑證來進行網路評估。 |
| Non-Credentialed Assessment | 不需要獲取企業網路中任何資產的憑證進行網路評估。 |
| Manual Assessment | 由道德駭客手動進行漏洞、漏洞排名及漏洞評分的評估。 |
| Automated Assessment | 使用漏洞評估工具,如 Nessus、Qualys 和 GFI LanGuard,自動執行漏洞評估。 |
漏洞評估解決方案有四種類型:產品型解決方案、服務型解決方案、基於樹狀的評估和基於推理的評估。
產品型解決方案安裝在組織的內部網路中,這些解決方案要麼安裝在私有或不可路由的網段,要麼安裝在組織網路的可通過互聯網訪問的部分。如果它們安裝在私有網路(防火牆內部),它們不一定能檢測外部的攻擊。
服務型解決方案由第三方公司提供,如審計或安全顧問公司。一些解決方案部署在網路內部,而另一些則部署在網路外部。此解決方案的缺點是攻擊者可以從外部審核網路。
在樹狀評估中,審核員會為每台機器或資訊系統的組件選擇不同的策略。例如,管理員為運行 Windows、資料庫和 Web 服務的伺服器選擇一個掃描器,但對於 Linux 伺服器則使用另一個掃描器。這種方法依賴於管理員提供初步的資訊,然後開始不斷地掃描,而不結合掃描過程中發現的任何新資訊。
在推理式評估中,掃描通過建立機器上發現的協議清單開始。找到協議後,掃描過程會開始檢測哪些端口與服務相關,如郵件伺服器、Web 伺服器或資料庫伺服器。找到服務後,它會選擇每台機器的相關漏洞,並僅執行那些相關的測試。
這些方法各自有不同的優點和限制,依據組織的需求和網路架構來選擇合適的解決方案是確保漏洞評估有效性的關鍵。
| 工具類型 | 描述 |
|---|---|
| 主機型漏洞評估工具 (Host-Based Vulnerability Assessment Tools) | 主機型掃描工具適用於運行各種應用程式的伺服器,如 Web、關鍵檔案、資料庫、目錄和遠端存取。這些工具可以檢測高風險漏洞並提供修補程式資訊,還可識別主機上運行的作業系統並檢測已知缺陷,並搜索常見的應用程式和服務。 |
| 深度評估工具 (Depth Assessment Tools) | 深度評估工具用於發現和識別系統中之前未知的漏洞。通常使用模糊測試工具(fuzzers),通過向系統接口提供任意輸入來識別漏洞,並使用一組漏洞簽名來測試產品是否能抵禦已知漏洞。 |
| 應用層漏洞評估工具 (Application-Layer Vulnerability Assessment Tools) | 此類工具針對各種作業系統和應用程式而設計,特別是 Web 伺服器或資料庫。它們識別通過網路外部路由器、防火牆或 Web 伺服器觀察到的系統漏洞,可能包括外部 DoS/DDoS 威脅、網路資料攔截等。 |
| 範圍評估工具 (Scope Assessment Tools) | 範圍評估工具通過測試應用程式和作業系統中的漏洞來評估安全性,並提供標準控制和報告介面,讓使用者選擇合適的掃描。這些工具會根據找到的資訊生成標準報告,並可以針對特定應用程式類型進行測試。 |
| 主動與被動工具 (Active and Passive Tools) | 主動掃描工具進行漏洞檢查時會消耗網路資源,適合對掃描時機和參數有較高掌控需求的管理者,但不適用於重要的作業系統;被動掃描工具則不會顯著影響系統資源,只觀察系統資料,並在分析機器上進行資料處理。 |
| 位置與資料檢查工具 (Location and Data Examination Tools) | - 網路型掃描器 (Network-Based Scanner): 僅與實際所在的機器互動,掃描後將報告返回該機器。 - 代理型掃描器 (Agent-Based Scanner): 位於單台機器上,但能掃描同一網路上的多台機器。 - 代理伺服器掃描器 (Proxy Scanner): 可從網路上任何機器對網路進行掃描的網路型掃描器。 - 集群掃描器 (Cluster Scanner): 類似於代理伺服器掃描器,但可以同時對網路中的不同機器進行多個掃描。 |
Nessus Professional
Nessus 是一個廣泛使用的漏洞掃描工具,它能夠檢測出系統中的各種已知漏洞,如配置錯誤、弱密碼、作業系統漏洞等。Nessus Professional 版本主要面向專業安全測試人員,提供高效且自動化的漏洞檢測和報告功能。該工具支援多種作業系統和應用程式,並能生成詳細的報告幫助進行修補和強化系統安全。
GFI LanGuard
GFI LanGuard 是一款網路安全掃描和漏洞管理工具,它提供網路的自動化漏洞掃描功能,檢測未修補的漏洞和錯誤配置。該工具也支援軟體補丁管理,幫助系統管理員維護網路中的設備安全。LanGuard 的管理界面易於操作,能夠幫助管理多台設備的安全狀態。
OpenVAS
OpenVAS 是一個開源的漏洞掃描框架,專為檢測和評估系統中的安全漏洞而設計。它提供一套強大的模組,能夠檢測網路設備、應用程式和作業系統中的安全漏洞。OpenVAS 具有豐富的社群支援,經常更新其漏洞數據庫,以確保檢測到最新的安全威脅。
Nikto
Nikto 是一個開源的 Web 伺服器掃描器,專門用來檢測 Web 應用程式和 Web 伺服器中的安全漏洞。它能夠檢測數百種潛在漏洞、錯誤配置和過期的軟體。Nikto 的特點是能快速進行 Web 伺服器掃描,並支援檢測常見的安全問題,如 XSS 攻擊點、SQL 注入漏洞等。
這類報告主要包含以下幾個重點:
報告的結構包括以下幾部分:
漏洞評估報告的主要組成部分,報告內容如下:
iThome鐵人賽
看影片追技術