漏洞掃描的問題
漏洞掃描工具是目前國內各個服務、諮詢廠商進行安全評估的核心工具,甚至可以說,國內絕大部分風險評估項目其實是漏洞掃描項目。因此,一些自己生產漏洞掃描器的廠商可以肆無忌憚地報低價,用以爲朋友的說法是,動不動就躺到地板上。
但是,從風險評估的需求和相關技術的發展來看,漏洞掃描器其實已經是一種地位非常尷尬的產品了,原因如下:
準確度低,由於多數掃描器是黑箱或者灰箱操作的,因此難以避免地會出現的誤報;
可能會給主機和設備造成損害,弱點掃描器通常會包含攻擊代碼,因此會給被掃描的對象帶來難以預計的破壞,例如:系統宕機。
只能評估遠程弱點,對於本地弱點基本是無效的。
而且,自從nessus的第三版發佈之後,修改了license,現在市面上幾乎已經沒有很好的開源漏洞掃描工具可用了。而nessus的開源替代者OpenVAS一直不太活躍,目前是否能夠替代nessus尚難以下結論。另外,nmap於2006年發佈了nse(nmap script engine)之後,使其必然會成爲一個完整的漏洞掃描器,但是這一過程的進度無法預料。
信息收集的問題
風險評估過程中存在多處信息收集點,包括資產、弱點、威脅等技術類信息,以及訪談信息等。只有在正確、全面的數據基礎之上,才能得到準確、全面的風險評估結果,至於具體使用什麼樣的評估模型和關聯方式並不重要。但是,國內大部分作安全評估的廠商和單位恰恰忽視了這一點。
下表是一個信息及其收集方式的列表,通過這個列表可以發現,目前國內各個服務、諮詢廠商在風險評估實施能力方面,已經遠遠達不到客戶的安全需求了。
|
編號 |
信息 |
介紹 |
用途 |
方法 |
存在的問題 |
|
1 |
業務和資產信息 |
包括被評估業務系統信息,物理資產、軟件資產、數據資產等信息。 |
業務和資產信息主要有如下用途: |
訪談和調查 |
目前賦值對象的選擇可以是資產或者業務系統,隨着等級化的推行,以業務系統作爲賦值對象已經成爲主流,此處是風險評估與等級化的一個結合點。 |
|
2 |
弱點數據 |
在風險評估中,弱點又叫脆弱性、漏洞。 |
弱點風險各要素(資產價值、威脅、弱點)中唯一的客觀要素。而且在某些方面(網絡設備、主機等)的弱點發現技術相當成熟。因此,風險評估項目幾乎可以說就是弱點評估或者漏洞掃描項目。 |
掃描 |
弱點方面的問題見漏洞掃描的問題 |
|
3 |
配置數據 |
風險評估中,人工評估獲得的主要內容。 |
主要爲了判斷評估對象本身安全策略、補丁、配置方面存在的安全問題。 |
根據checklist實行手工檢查。 |
目前人工評估基本已經成爲風險評估項目中的雞肋,如果要進行詳細檢查,就會消耗大量的時間;如果要提高效率,就只能削減檢查項。一般情況下,需要根據項目的規模和金額來確定怎麼做。而且,由於從業人員素質的下降,目前checklist已經成爲各家廠商的大問題,內容陳舊、無人維護、互相抄襲。 |
|
4 |
文檔類數據 |
是從客戶手中獲得的一些規章制度、工作流程,以及系統開發文檔等。 |
這是管理評估的一個重要依據,也是進行應用評估的重要素材。 |
訪談、調查 |
這部分數據的分析受評估諮詢人員的素質影響很大。 |
|
5 |
訪談數據 |
針對評估對象不同角色訪談得到的數據。 |
管理評估的重要依據。 |
訪談 |
問題主要存在於問卷的內容,並且受評估諮詢人員的素質影響很大。 |
|
6 |
技術發展的方向
風險評估相關的技術在進四年來發展迅速。由於IT應用發展的需要,例如:J2EE 和.Net的流行,2004年-2005年M$提出了基於威脅建模的風險評估模式。隨後,出現了多種類似的評估方法,例如:Trike、coras,尤其 是coras,被挪威一家機構提交成爲OMG(Object Management Group)的一個規範。
其實,威脅建模歸根結底是由於應用弱點評估技術不成熟造成的,在還沒有成熟的弱點評估技術之前,從應用系統面臨的威脅入手來解決評估的問題,也未嘗不是一條良策。
今幾年,老美在風險評估方面的進展獲得長足的進步。真正做到了既有規範:OVAL、XCCDF、CWE、CVSS、CPE等,又有內容。相關的內容可以參考SCAP、MeasurableSecurity。
國內相關標準的問題
目前國內風險評估標準尚處於剛剛起步的狀態,而且面臨一個嚴峻的事實:
一羣不懂TCP/IP,不懂主機,不懂網絡,不懂應用,不懂安全技術的人在編寫風險評估標準。