网站安全维护关于网站漏洞扫描的深入分析

今天,我在群里看到了漏洞扫描的话题讨论,这让我很惊讶,因为我一直认为漏洞扫描是业内最常见的事情,但群友们热情地讨论了一个早上似乎还没有停止的意思。因此,我想简单谈谈安全操作和漏洞扫描的一些常识。漏洞扫描是什么?漏洞扫描是完成信息安全工作中风险评估最常见的手段。就像医生用x光检查病人的身体是否有问题一样,安全人员经常通过漏洞扫描来评估目标系统是否有漏洞,然后决定如何进行下一步的安全保护。


2.漏洞扫描的原理是什么?向远程服务发送特定请求,并根据返回远程服务的行为判断是否有特定的漏洞(通常根据返回的版本号信息判断)。


三、漏洞扫描的影响。3.1网络影响。要求网络包的频率和数量会影响网络和应用程序。开关/路由器可能会停机并引起连锁反应。如果QPS太高,可能会超过服务的性能极限,导致业务中断。3.2异常处理的影响。

业务无法正确处理请求包中的特殊输入,导致异常停机。比如私人协议服务可能只是偶然监控在TCP80端口,收到HTTPGet请求后直接挂机;3.3日志影响,在申请公共网络业务时,每个URL的检测,都可能导致40x或50x的错误日志。而且商业的正常监控逻辑是利用AccessLog中的状态码进行的。如果没有任何处理,突然40x猛增,商业SRE和RD必然要做出反应,如果他们从午夜、假期匆忙忙登录VPN查了半天,发现是安全工程师触发的,甚至还带来了3.1,3.2的影响,把某商业搞得一团糟,这一责任必须由安全工程师承担。


4.有什么问题?对安全工程师来说,不扫描可能意味着不能开展工作,不能了解公司的风险,不能开展治理工作;对于业务方来说,扫描意味着混乱,业务不可用的风险是最大的风险;很多同行因此背锅黯然受伤,也有一些强势同行冒犯了生意。


五、错在哪里。漏洞扫描是业务侧的新变化。第一次引入变化是必然的,没有问题是不正常的。合理的做法是遵循ITIL中的变更管理。变更计划:扫描时间、IP/URL/端口范围、QPS、测试用例集(DoS测试用例选择、Delete/Update相关资产选择、POST隐蔽接口选择)变更风险评估:交换机路由器的流量和容量、业务QPS、业务/网络中断的最极端风险评估。变更会议:业务经理、RD、SRE、DBA、QA甚至网络维护人员是否知道上述所有关键信息,并授权扫描(全公司至少强制知道)回滚计划:如果有问题,如何尽快停止扫描和恢复业务(有些动作需要改变知情范围的关键干系人的配合)更改观察:执行扫描时,大家是否在盯着服务是否错误(以及判断业务是否正常),以便在第一时间做出反应;变更总结:灰度执行过程中总结不足的地方,在下一项工作中得到改善。严格来说,不按照这些方法,上来就一扫而空,确实是安全同行本身没有做到足够专业。不要怪业务侧不理解不支持。



在执行扫描任务之前,传统的乙方制造商似乎会向客户签署非常详细的风险描述和授权书。就像手术前签署的风险通知协议一样,你必须知道会发生什么。只有在你同意并授权之前,我才会为你工作。您可以说害怕动手术,比如一位80岁的老人,手术后很难恢复,不开手术可能还比较安全,那么您可以拒绝这次手术。但对一位30岁的年轻人来说,知道自己肚子里可能有肿瘤,必须进行活检,看是良性还是恶性,才能决定下一步的医疗方案,不签字或许医院不会帮你做,相应的风险也由你自己承担。对于大型甲方来说,有时候一个业务不做安全检查,可能会导致黑客通过它进入内部网络,威胁内部网络的其他核心业务。这种场景可以理解为,在非典高风险时期,一个学生应该呆在集体中,但是他拒绝接受体温检查,所以他不允许这个学生自己。根据以上思路与业务方沟通,大多数情况下,业务方不会完全无理拒绝。当然,你交流的业务方最好有一定的管理级别,因为高级管理级别的学生在一定的知识认知上往往沟通成本低很多。与试图说服每一位一线员工相比,自上而下达成协议更容易、更有效。(业务大佬认可了,一线同学有问题可以回去找自己的大佬沟通,你也省事)。


分享: