安全评估与加固中遇到的问题与思考

掐指一算，以乙方的角色做了一年有多的安全评估工作了，在与客户、加固人员交流的过程中遇到了不少问题，也思考了应该怎么去改进，本文写写一些想法，欢迎批评指正。

面临的问题：

   1.客户和加固人员认为：安全评估不就是拿个扫描器扫一扫、然后丢出一个报表嘛，谁不会；

   2.内网扫描报告，往往有让人望而却步的高、中、低危漏洞千百个，你让客户情何以堪，你让加固人员怎么活命；

   3.评估人员、加固人员、客户由于“道行”不同，或者“立场”不同，导致对漏洞的理解各不相同，扯皮时有发生；

   4.扫描报告中的高、中、低危险标识，不和资产价值、业务系统重要程度挂钩，导致加固没有次重点，多次加固评估无法体现风险的消减程度；

希望做到：

   1.区别对待千百个高、中、低危险漏洞，可以做撒网式扫描，不能做撒网式加固；

   2.尝试以更加专业的角度面对客户和加固人员，对扫描结果进一步深加工处理；

   3.把漏洞和资产价值，业务系统挂钩，区别的对待安全漏洞让加固工作更具可操作性；

下面提供一些深加工扫描报告的思路

1.漏洞分类：

   操作系统漏洞：微软的，Unix的，Linux的，Solaris的等

   业务软件漏洞：oracle，weblogic，struts2，PHP等

   网络和安全设备漏洞：cisco，h4c，华为等

   辅助程序漏洞：ftp，office，ie，openssh等

2.漏洞利用难易程度

   直接利用成功率高：

       弱口令

       MS08-067，Struts

   间接利用成功率高：

 IE漏洞—需要制造***网页，引诱用户点击

 office漏洞—需要发送病毒文档，通过打开病毒文档***

 （存在运气成分，而且基本只能在PC终端才会中招）

   成功率很低的漏洞：

 一些溢出漏洞（和用户环境、版本、语言等相关性高）

 偏门的程序漏洞（没有现成的exp，需要代码级的能力）

3.漏洞真实性、准确性

   了解扫描器的扫描原理有助于我们对漏洞的把握，及时排除误报漏洞。

       精确扫描：本次为精确扫描，极少出现误报。

       原理扫描：本次扫描根据原理进行，可能存在误报。

       版本扫描：本次扫描根据版本进行，可能存在误报。

       暴力破解：本次扫描通过暴力猜测方式证实目标主机上的XX服务存在可猜测的口令。

4.加固思路

    加固最好有计划、有步骤进行，加固顺序参考业务系统重要程度。

    优先加固利用成本低成功率高的漏洞（弱口令等）。。。。

       操作系统漏洞：强烈建议安装修复

       业务软件漏洞：需要评估对业务系统的影响

       网络和安全设备漏洞：较少

       辅助程序漏洞：特别关注辅助程序是否需要用，是否有可替代的程序。特别关注一些默认安装带来的不必要漏洞。

5.更进一步，我们可能应该学习和关注的

    业务漏洞

    逻辑漏洞

    物理漏洞等等扫描器扫不出来，但是影响很大的漏洞