漏洞扫描等工具在安全评估中的作用

1、漏洞扫描等工具在安全评估中的作用姓名：王琦单位：上海三零卫士信息安全有限公司摘要：缺陷评估是信息安全评估体系中一个重要的环节，正确认识漏洞扫描、安全审计等安 全工具在评估体系中的作用是本文的关键。关键词：信息安全、风险评估、漏洞扫描、安全审计、安全工具在当今信息化大潮中，信息化的安全对于每个企业或单位的业务发展起到了越来越关键 的支撑作用 支撑企业或单位的IT架构安全、有效、稳定的运转，信息流也正因此得 以充分发挥其快捷性这一无可比拟的优势。对信息安全性进行专业风险评估的需求也越来越 迫切。工具型评估在整体安全评估中所处的阶段通常在我们谈到评估时，立刻会想到资产、风险、威胁、影响、脆弱点等等一

2、系列风险 评估中的术语，对于信息系统而言，安全评估即为信息安全性的风险评估，信息系统安全评 估是一个很大的专业工程，目前国内外较大的安全服务提供商一般都经历过采用BS7799和 OCTAVE两种评估体系进行指导操作的发展阶段。我们先谈一谈这两种评估体系的实施特点，在实施中大致可以分为以下几个阶段：明确需求阶段此阶段完成初期交流、预评估方案、投标和答标文档，客户和服务方均在此阶段逐 步明确评估程度；规划阶段这是一个典型的Project工程阶段，内容包括问题描述、目标和范围、SWOT分析、 工作分解、里程碑、进度计划、双方资源需求、变更控制等；操作执行阶段此阶段又可分为四个子阶段，见下表:资产评估

3、阶段系统和业务信息收集/资产列表/资产分类与赋值/资产报告威胁评估阶段部署IDS获取威胁点/收集并评估策略文档/BS7799顾问访谈 /事件分析/威胁报告缺陷评估阶段扫描/审计/渗透测试/缺陷报告风险分析和控制阶段数据整理、入库及分析/安全现状报告/安全解决方案报告阶段完成此前三个阶段的报告整理以及和用户的交流工作；风险消除阶段评估仅仅是完成客户当前风险的快照，在风险消除阶段依据此快照和开发的解决方 案进行风险的控制和消除。以上即为风险评估的五个阶段。亲历过一个完整的评估过程的人都知道，在这个五个阶 段中，只有操作执行阶段的“缺陷评估”是完全纯IT技术的操作，此外“威胁评估”中的 IDS的部署

4、和使用也涉及到了 IT技术操作。在实际的评估流程操作过程当中，我们会发现 相当多客户更“乐意”看到缺陷评估这样的可操作性强的报告，因为他们关心：Q1.非规范的操作或者非法的攻击行为是如何发生的？Q2.技术上的缺陷威胁在哪里？Q3.如何通过技术手段进行防范？Q4.如何通过技术手段？很显然，客户对风险评估的认知程度和对技术完美的追求决定了他们容易对关键资产” 和“关键资产的保护”产生了相对狭隘的理解：资产必须是有形可见的，操作必须是通过技 术手段实现的。这种狭隘的理解无可厚非，因为即使是目前专业的信息安全服务提供商，他 们在发展初期对安全评估的理解也仅限于缺陷评估，采用的评估手段也相当有限：关键设

5、备的远程/本地漏洞扫描借助漏洞扫描工具或人工方式操作关键系统的远程/本地漏洞扫描借助漏洞扫描工具或人工方式操作网络或设备的抽样审计借助审计工具（包括入侵检测工具）抽样病毒检测与查杀借助病毒检测工具或者人工方式操作渗透测试借助工具，更多是以人工方式操作这样的评估方式优点是：0项目的可操作性强；0 对技术弱点的把握精确；0结论的可指导性强；0技术型报告更容易被客户接受；经过这种评估后，对信息系统进行合适安全加固，基本上可以保证该系统在短期内（在 新的缺陷暴露之前）的安全性。然而，这种简单的评估方式的缺点也显而易见：区在安全管理上存在严重不足；区对系统整体安全状况把握不足；区风险的计算方法通常并不科

6、学；区 安全加固效果的短期性导致评估必须重复、频繁进行；这些缺点是否表明工具型的安全评估已经“不合时宜”需要被淘汰了吗？答案当然是否 定的。信息安全评估在我国的发展到了今天，工具型的安全评估已经不再是各大安全服务提 供商进行安全评估的全部内容，逐渐演变成其中的一个环节，随着工具检测技术的不断进步， 这个环节也逐渐发挥越来越重要的作用。下面我们结合威胁评估和缺陷评估中使用到的安全工具谈一谈工具型安全评估在实际 操作中发挥的作用。工具型安全评估的作用在威胁评估和缺陷评估中，按照评估的形式，我把常用的工具分为以下主动型和被动型 两种：n主动型：软硬件扫描系统也称作评估仪，包括端口扫描和漏洞扫描，扫描

7、方式分为本地、远程或者两种相结 合的方式；n被动型：软硬件审计系统包括网络安全审计和数据库审计等，考虑到数据采集的方式，在这里我们把威胁评 估中使用到的入侵检测系统（IDS）也归入此类；需要指出的是，以上所说的工具，并非都以一个“系统”的形式存在，在实际操作过程 中，这些工具可能是一个小软件，或是一台设备，也可能是在进行渗透测试中临时编写的一 个小脚本。对于人工方式进行的操作系统安全配置检查、网络设备日志审计、安全设备策略审计等 审计操作中涉及到的工具，因篇幅原因，不在本文中单独讨论。主动型扫描系统的应用扫描系统采用主动探测的方式快速获取目标设备的脆弱点，从而协助评估人员对目标系 统建立风险快

8、照。目前国内各大信息安全服务提供商都开发有自己的扫描系统，这些系统同时具有端口扫 描和漏洞扫描的功能，扫描方式也不拘泥于一种形式，通常本地/远程均可。在这里我们跳过扫描系统的技术实现，主要讨论一下漏洞扫描系统的特点，一个典型的 工具例子是开源的漏洞扫描器Nessus （你可以从其官方网站获取该软件的最新版本和源代 码），相信大家一定也对它比较熟悉。Nessus是一款可以运行在Linux、BSD和Solaris以及其他一些系统之上的远程安全扫 描软件，可以评估的平台涉及非常广泛，包括各种流行的操作系统、安全设备（如防火墙、 网络设备（如交换机、路由器）等等，截至2004年4月，该软件可检测的漏洞

9、规则已达到 2000余条，覆盖Mail服务器、Web服务器、FTP服务器、拒绝服务、缓冲区溢出、流行病 毒检测等十余种缺陷类别，该软件自身生成的报告也相当完善。以下以一个典型的扫描案例为例，说明扫描系统在评估中的作用。事件描述：2004年3月，安全评估工程师使用Nessus在一次针对一个C类网段100余台主机的扫描过程中，发现至少15台主机存在以下缺陷（下面结果经过整理）:Rpc服务：检测到W32.Welchia.Worm （冲击波杀手）病毒评估仪巳检测到目标主机巳经感染W32.Welchia.Worm病毒，该病毒利用RPCDCOM缓冲 区溢出漏洞和WebDAV缓冲区溢出漏洞进行感染和传播，在

10、传播过程中发送的数据有可能 造成网络堵塞。该病毒自2003年8月爆发以后，截至2004年2月巳经出现多个变种，所 利用的漏洞也在不断增加，危害巨大。请务必引起重视。高请安装杀毒软件，立刻升级病毒库进行查杀，同时必须进行防护措施，以防再次被感染。防护措施：尽管有临时解决方案，例如设置防火墙或者IP安全策略等方法防治感染，但我们强烈建议 您尽快进行Windows更新，以消除该病毒所利用的漏洞引起的隐患。请参考下面网址：Microsoft Security Bulletin MS03-039 Microsoft Security Bulletin MS03-007上面的探测结果中描述了一个Windo

11、ws平台的漏洞，内容包括漏洞细节、危险级别的判断以及相应的解决方案，这对我们的评估至少提供了以下几点信息：该网段计算机用户采用Windows 2000/XP/2003系统占相当的比例；该网络尚未部署防病毒软件，或防病毒软件病毒特征库未及时更新；该网段为单位内网，内外网采用了物理隔离措施，但仍然被该网络蠕虫病毒感染， 表明可能有用户擅自接入外网，或者移动设备（如笔记本）管理不善；该病毒的一个特点是发送大量ICMP数据报文，易造成网络堵塞，该网段内用户却 没有上报网络中断事件，表明该网络利用率并不高，且用户计算机操作水平较低;该病毒所利用的漏洞公布日期距今接近9个月，然而这些计算机却没有及时进行升

12、 级，表明计算机管理员安全意识较弱，并没有定期系统升级的习惯（或方式），或 者缺乏相应的制度进行约束；评估结论片断：鉴于该漏洞的严重性，该网段评估结果为高危险，且应立刻检测其他网 段，并采取相应的安全技术和管理措施。以上仅是一个简单的案例分析，在实际操作过程当中因环境的不同，需要考虑的问题应 该更加全面。从这个案例可以看出，扫描工具对于我们快速了解目标信息系统网络设备的安 全概况提供了便利。被动型审计系统的应用审计系统采用被动方式捕获目标信息系统数据，安全评估人员通过对审计系统生成的图 表和日志进行分析，从而获知目标系统的脆弱点。目前安全产品市场上所指的审计系统通常指网络安全审计和数据库审计两

13、种，网络安全 审计可以帮助掌握网络使用情况，监测网络内部传输的信息，发现正在发生的机密信息的泄漏和窃取，以及其他的违规操作行为。考虑到评估数据的相似性，我们把嗅探工具、病毒扫 描以及入侵检测系统均划分在了审计系统的范围。在这里我们仍然抛开审计工具的技术原理 实现，举例网管人员熟知的NAI公司的产品SnifferPro （你可以从NAT官方网站获取该软 件的信息）介绍审计工具在安全评估中的应用。事件描述：在一次对客户信息系统安全评估过程当中，使用SnifferPro V4.70对网络进Web服务器Web服务器Mail服务器图一：Sniffer监测示意图以下是几个报文数据捕获的截屏图片：212.

14、212 212. 212. F212. 212212 212212 . 212. F212. 212 212212 . r2L2 . 212. 212. 212 212. 212. F212. 212212 212212 . 212. F212. 212 212212 . r2L2 . 212. = 212. 212. F212. 212 212212. = 212.212.TCP D=21 E-164B TCP- D=1E48 S=21 TCP: D=21 5=L64B FTP: R FORT-L640 FTP： C PORT64 0Em口urt. FTF1 51口抑 CannpctR PO

15、RT=L64BC FORT=L64BR PORT=L64BC FOKT=L64BR FORT-1640C PORT-LG403YN SEO-1110450326SVN iCK=llia45Q327 iCK=16L545522d 22 0 Velccaie To USER LEN=Q WIN-8193EEa=1615ilE5223 IEN=0 WI331 User name oka. need rssswoDdFASE23 0 User logged in. proceedTYFE I -20 fl Type set to I.MDTM 20i：i91111Llllll9 090 909D9i：

16、i909D9i：i909D-1649 S-21D-53 5-1649 SYND=1E49 S=5 3 SVND=53 S=L649Cont i tiuat i on ofD=53 =Lt49Cont itiuat ion ofD-53 5-L649C： ID-2M94 0F=-C ID=29LA4 OP=?iCK-111045a045SEQ=llia84Q633 kCK=lliaS4Q640 ACK=16L5755e53 aLi：E：E：mq f ranB; kCK=161G75Ge9G aiissing f rane;ACK-1615755943 NftNE=NiNE=WI1P17002LE

17、N=0 WIN-81925Ea=1615755B52 IEN=0 WI叩W=8L力42 Bytes ai dataWI1N9L504Q Bytes af dataWIff-0LO2D=53 E=L649Cont itiuation ofD-53 B-L649iCK = lGL57559-a7 WIff=3O90Erm Jis 26 ; 74 5 Bytee： of dataACK-161575S692 WIff-7353图二：探测点（1）截获的数据（片断）一DMZ区监控10.9a 43.142i cupEchoGODnn01.BOGD50.LD&10.90 43.324i oiFEcho i已

18、plybODnnai.BD70000.23710.93 43.143TCP:D-9606 5-1061 SYN (Retrarismission at Fri70Dnn01.B160.009.L9210.90 43.334TCP:D-LDbl 5-560& EST iCK-20B64OLL43 VLK-0bODnnai.big0.DOO.29610.93 43.146i cbfEchobODnnai.B470.D30.4D510.93 43.364i oiFEcho reply60Dnn01.070.DOO.23510.93 43.146TCP:D-960& 5-1062 SYH (Retra

19、rismiMion of Frs70Dnnai.91G0.DG9.L9910.90 0.3日4TCP:D-LDbZEST iCK-20B6403931 VLK-0bODnn01.9160. DOO.3&110.93 43.147i cufEcho60Dnnai.957d. imLH10.90 43.974i cupEcho replybODnnai/3570. DOO.23510.93 43.146i oiFEchobODnn01.96?Dag.73610.93 43.904i oiFEcho reply60Dnnai.?&70.DDO.23410.93 43.1400i cupEchobOD

20、nnai/3070.020.L9410.93 43.1004i oiFEcho i已plybODnn01.9B?DQO.45210.93 43.1402i oiFEcho60Dnn02.0D70D19.73310.90 43.1024i cupEcho replybODnn02.0D?0.DDO.23610.93 43.143TCP:D-9606 5-1064 SYN (EetrarismiMion at Fri70DnnDlb0.DOB.B3310.93 43.140TCP:D-9606 5-1063 SYN (Retrarismission at Fri70Dnn02.016D. DUD.

21、D1310.90 43.504TCP:D-LD&3 5-560& EST iCK-20B655OD?a VLK-0bODnnDIGD . DUD . U410.93 43.534：TCP:D-LD64EST iCK-20B66133B,? VLK-0bODnnDlb0. DOO.DD?r 1 n ，。 illr 1 n ao i t nziiTc一 .c nnnnn t niin nnn pr图三：探测点（2）截获的数据（片断）一内网段监控本文不是一篇Sniffer操作手册，所以我们只摘取其中一部分报文进行分析，如上面三 图所示，我们可以获得的基本信息有：根据图二并结合数据报文的详细信息，我们可以看出外部访问者212.*.*.*成功进入 服务器的FTP服务；该服务器FTP 口令较弱，已经被攻击者窃取，或者已经泄漏；该服务器的FTP服务存在严重缺陷，攻击者已经成功利用了 Web服务器所开放的 FTP服务存在的缺陷（Serv-U MDTM远程缓冲区溢