一、网络安全漏洞概述
1.1 网络安全漏洞概念
网络安全漏洞又称为脆弱性,简称漏洞。漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常被称为安全隐患。安全漏洞的影响主要有机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控性下降、真实性不保等。
根据安全补丁的状况,将漏洞分为普通漏洞和0-day。普通漏洞指安全厂商已有修补方案的漏洞,0-day是指系统或软件中新发现的、尚未提供补丁的漏洞。
1.2 网络安全漏洞威胁
网络信息系统漏洞的存在是网络攻击成功的必要条件之一,攻击者攻击的关键在于早发现和利用目标的安全漏洞。攻击者基于漏洞对网络系统安全构成的安全威胁主要有:敏感信息泄露、非授权访问、身份假冒、拒绝服务。下表是与漏洞相关的重大安全事件统计表
二、网络安全漏洞分类与管理
2.1 网络安全漏洞来源
网络信息系统的漏洞主要来自两个方面:
- 一是非技术性安全漏洞,涉及管理组织结构、管理制度、管理流程、人员管理等;
1)网络责任主体不明确
2)网络安全策略不完备
3)网络安全操作技能不足
4)网络安全监督缺失
5)网络安全特权控制不完备
- 另一方面是技术性安全漏洞,主要涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统等
这个需要记忆
1)设计错误(Design Error)。由于系统或软件程序设计错误而导致的安全漏洞。(例如,TCP/IP协议设计错误导致的IP地址可以伪造)
2)输入验证错误(Input Valdation Error)。未对用户输入的数据的合法性进行验证,使攻击者非法进入系统
3)缓冲区溢出(Buffer Overflow)。输入程序缓冲区的数据超过其规定长度,造成缓冲区溢出,破坏程序正常的堆栈,使程序执行其他代码
4)意外情况处置错误(Exceptional Condition Handling Error)。由于程序在实现逻辑中没有考虑到一些意外情况,而导致运行出错
5)访问者验证错误(Access Validaiotn Error)。由于程序的访问验证部分存在某些逻辑错误,使攻击者可以绕过访问控制进入系统
6)配置错误(Configuration Error)。由于系统和应用的配置有误,或配置参数、访问权有限、策略安装位置有误。
7)竞争条件(Race Condition)。由于程序处理文件等实体在时序和同步方面存在问题,存在一个短暂的时机使攻击者能够施以外来的影响。
8)环境错误(condition Error)。由于一些环境变量的错误或恶意设置造成的安全漏洞
2.2 网络安全漏洞分类
网络安全漏洞分类有利于漏洞信息的管理,但目前还没有统一的漏洞分类标准。国际上较为认可的是CVE漏洞分类和CVSS漏洞分级标准。另外,我国信息安全漏洞分类及OWSP漏洞分类。
我国网络安全部门建立了国家信息安全漏洞库(CNNVD)漏洞分类分级标准、国家信息安全漏洞共享平台(CNVD)漏洞分类分级标准。
2.3 网络安全漏洞信息的获取
目前,国内外漏洞信息来源主要有四个方面:一是网络安全应急响应机构;二是网络安全厂商;三是IT产品或系统提供商;四是网络安全组织。国内外网络安全漏洞信息发布的主要来源,分别介绍如下
- CERT(Computer Emergency Response Team),是世界上第一个计算机安全应急响应组织,该组织也发布漏洞信息
- Security Focus Vulnerability Database,由Security Focus公司开发维护的漏洞信息库
- 国家信息安全漏洞库CNNVD
- 国家信息安全漏洞共享平台CNVD
- 厂商漏洞信息
2.4 网络安全漏洞管理过程
网络安全漏洞是网络系统安全事故隐患所在。网络安全漏洞把握网络信息安全态势的关键,是实施网络信息安全管理从被动向主动转变的标志性行动。网络安全漏洞管理主要包含以下环节。
(1)网络信息系统资产确认
(2)网络安全漏洞信息采集
(3)网络安全漏洞评估
(4)网络安全漏洞消除和控制
(5)网络安全漏洞变化跟踪
三、网络安全扫描技术与应用
网络安全漏洞扫描是一种用于检测系统中漏洞的技术,是具有漏洞扫描功能的软件或设备,简称漏洞扫描器。漏洞扫描器一般包括用户界面、扫描引擎、漏洞扫描结果分析、漏洞信息及配置参数库等主要功能更模块。
漏洞扫描器通过远程或本地检查系统是否存在已知漏洞。按照扫描器运行的环境及用途,漏洞扫描器主要分为以下三种:
(1)主机漏洞扫描器:不用建立网络连接,一般是通过检查本地系统中关键性文件的内容及安全属性,来发现漏洞。(如配置不当,用户弱口令、有漏洞的软件本等)
(2)网络漏洞扫描器:通过与带扫描的目标机建立网络连接后,发送特定网络请求进行漏洞检查。网络漏洞扫描器一般没有目标系统的本地访问权限,只能获取有限的目标信息,检查能力受限于各种网络服务中的漏洞检查,如Web、FTP、Telnet、SSH、POP3、SMTP、SNMP等。常见的网络漏洞扫描器有Nmap、Nessus、X-scan等。下图是nessus的扫描过程。
(3)专用漏洞扫描器:针对特定系统的安全漏洞检查工具(如数据库漏洞扫描器、网络设备漏洞扫描器、工控漏洞扫描器等)
四、网络安全漏洞处置技术与应用
4.1 网络安全漏洞发现技术
网络安全漏洞的发现方法主要依赖于人工安全性分析、攻击自动化检测及人工智能辅助分析。安全漏洞发现的通常方法是将已发现的安全漏洞进行总结,形成一个漏洞特征库,然后利用该漏洞特征库,通过人工安全分析或者程序智能化识别。漏洞发现技术主要有文本搜索、词法分析、范围检查、状态检查、错误注入、模糊测试、动态污点分析、形式化验证等。典型的网络安全漏洞发现常见工具如下。
4.2 网络安全漏洞修补技术
补丁管理师一个系统的、周而复始的工作,主要由留个环节组成,分辨是现状分析、补丁跟踪、补丁验证、补丁安装、应急处理和补丁检查,如下图。
4.3网络安全漏洞利用防范技术
网络安全漏洞利用防范技术主要针对漏洞触发利用的条件进行干扰或拦截,以防止攻击者成功利用漏洞。常见的网络安全漏洞利用防范技术主要如下
(1)地址空间随机化技术(ASLR),通过对程序加载到内存的地址进行随机化处理,使得攻击者不能事先确定程序的返回地址值,从而降低缓冲区攻击成功的概率。
(2)数据执行阻止(DEP),指操作系统通过对特定的内存区域标注为非执行,是的代码不能够在指定的内存区域运行。
(3)SEHOP(Structured Exception Handler Overwrite Protection),其原理是防止攻击者利用Strutured Exception Handler(SEH)
(4)堆栈保护(Stack protection)通过设置堆栈完整性标记以检测函数调用返回地址是否被篡改,从而阻止攻击者利用缓冲区漏洞
(5)虚拟补丁,对尚未进行漏洞永久补丁修复的目标系统程序,在不修改可执行程序的前提下,检测进入目标系统的网络流量而过滤掉漏洞攻击数据包,从而保护目标系统程序免受攻击。
五、网络安全漏洞防护主要产品与技术指标
- 网络安全漏洞扫描器
网络安全漏洞扫描器的产品技术原理是利用公开的漏洞信息及特征,通过对程序对目标系统进行自动化分析。网络安全漏洞扫描产品的常见技术指标阐述下
- 网络安全漏洞服务平台。网络安全产业推出相关的产品与服务,如漏洞盒子、补天漏洞响应平台、网络威胁情报服务等。
- 网络安全漏洞防护网关。通过从网络流量中提取和识别漏洞利用特征模式,阻止攻击者对目标系统的漏洞利用。常见的产品形式是IPS(Intrusion Prevention System)、Web防火墙(WAF)、统一威胁管理(UTM)等。相关产品常见的技术指标主要如下:
