13-网络安全漏洞防护技术原理与应用
13.1 概述
1)概念
网络安全漏洞又称为脆弱性,简称漏洞。
漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常称为安全隐患。
安全漏洞的影响主要有机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控制性下降、真实性不保等。
根据漏洞的补丁状况,可将漏洞分为普通漏洞和零日漏洞 (zero-day vulnerability)
零日漏洞(Zero-Day Vulnerability),又称零时差攻击,是指软件或系统中未被公开、未被厂商知晓的安全漏洞。这些漏洞在被发现后,往往立即被黑客利用进行攻击,而受害者由于无法及时获得补丁或修复方案,因此难以防范。零日漏洞的存在时间极短,从发现到被利用往往只有很短的时间窗口,这也是其得名的原因。
2)威胁
攻击者基于漏洞对网络系统安全构成的安全威胁主要有:感信息泄露、非授权访问身份假冒、拒绝服务。
3)现状
国际上已经出现安全漏洞地下交易市场,将重要的零日漏洞以高价出售。
针对安全漏洞问题的研究已成为网络安全的研究热点,主要研究工作包括漏洞信息搜集分析和网络安全威胁情报服务、漏洞度量、基于漏洞的攻击图自动化生成、漏洞利用自动化、漏洞发现等。
13.2 分类与管理
1)来源
网络信息系统的漏洞主要来自两个方面:
-
一方面是非技术性安全漏洞,涉及管理组织结构管理制度、管理流程、人员管理等
- 网络安全责任主体不明确
- 网络安全策略不完备
- 网络安全操作技能不足
- 网络安全监督缺失
- 网络安全特权控制不完备
-
另一方面是技术性安全漏洞,主要涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统等。
- 设计出错
- 输入验证错误
- 缓冲区溢出
- 意外情况处置错误
- 访问验证错误
- 配置错误
- 竞争条件
- 环境错误
2)分类
- CVE 漏洞分类
- CVE ID:年份数字+其他数字,比如 CVE-2019-1543 为一个 Open SSL 安全漏洞编号
- CVSS(通用漏洞计分系统):由基本度量计分、时序度量计分、环境度量计分组成。
- 基本度量计分:由攻击向量、攻击复杂性、特权要求用户交互、完整性影响、保密性影响、可用性影响、影响范围等参数决定。
- 时序度量计分:由漏洞利用代码成熟度、修补级别、漏洞报告可信度等参数决定。
- 环境度量计分:由完整性要求、保密性要求、可用性要求、修订基本得分等决定。
- 我国漏洞分类
- 国家信息安全漏洞库(CNNVD):配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SOL注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误和资料不足
- 国家信息安全漏洞共享平台(CNVD)
- CNVD 根据漏洞产生原因,将漏洞分为11种类型:输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。此外,CNVD 依据行业划分安全漏洞,主要分为行业漏洞和应用漏洞。行业漏洞包括:电信、移动互联网、工控系统;应用洞包括Web 应用、安全产品、应用程序、操作系统、数据库、网络设备等。在漏洞分级方面,将网络安全洞划分为高、中、低三种危害级别。
- OWASP TOP 10 漏洞分类
- 主要的漏洞类型有注入、未验证的重定向和转发、失效的身份认证、XML 外部实体(XXE)、敏感信息泄露、失效的访问控制、安全配置错误、跨站脚本(XSS)、不安全的反序列化、使用含有已知漏洞的组件、不足的日志记录和监控、非安全加密存储。
3)发布
发布内容一般包括:漏洞编号、发布日期、安全危害级别、漏洞名称、漏洞影响平台、漏洞解决建议等。
4)获取
漏洞来源:
- 网络安全应急响应机构
- 网络安全厂商
- IT 产品或系统供应商
- 网络安全组织
CERT、Security Focus Vulnerability Database、CNNVD、CNVD
5)管理过程
网络信息系统资产确认
信息采集
漏洞评估
漏洞消除和控制
漏洞变化跟踪
13.3 技术与应用
1)网络安全漏洞扫描
2)网络安全漏洞扫描应用
13.4 网络安全漏洞处置技术与应用
1)发现技术
漏洞发现技术主要有文本搜索、词法分析、范围检查、状态机检査、错误注入、模糊测试、动态污点分析、形式化验证等。
2)修补技术
补丁管理是一个系统的、周而复始的工作,主要由六个环节组成,分别是现状分析、补丁跟踪、补丁验证、补丁安装、应急处理和补丁检查。
3)防范技术
地址空间随机化技术
数据执行阻止(data execution prevention,DEP)
SEHOP(structured exception handler overwrite protection):即结构化异常处理程序覆盖保护,是Windows操作系统中的一种安全机制,旨在防御针对覆盖Windows结构化异常处理程序的漏洞利用技术。
堆栈保护
虚拟补丁:通过入侵阻断、Web防火墙等相关技术来实现给目标系统程序“打补丁”
13.5 产品与技术指标
1)扫描器
常见技术指标:
- 漏洞扫描主机数量
- 并发数
- 速度
- 检测能力
- 检查功能
- web应用漏洞检查功能
- 口令检查功能
- 标准兼容性
- 部署环境难易程度
2)服务平台
3)防护网关
IPS(intrusion prevention system)
web 防火墙(WAF)
统一威胁管理(UTM)
常见技术指标:
- 阻断安全漏洞攻击的种类和数量
- 阻断安全漏洞攻击的准确率
- 阻断安全漏洞攻击的性能
- 支持网络带宽的能力