13-网络安全漏洞防护技术原理与应用

13.1 概述

1)概念

网络安全漏洞又称为脆弱性,简称漏洞。

漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常称为安全隐患。

安全漏洞的影响主要有机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控制性下降、真实性不保等。

根据漏洞的补丁状况,可将漏洞分为普通漏洞和零日漏洞 (zero-day vulnerability)

零日漏洞(Zero-Day Vulnerability),又称零时差攻击,是指软件或系统中未被公开、未被厂商知晓的安全漏洞。这些漏洞在被发现后,往往立即被黑客利用进行攻击,而受害者由于无法及时获得补丁或修复方案,因此难以防范。零日漏洞的存在时间极短,从发现到被利用往往只有很短的时间窗口,这也是其得名的原因。

2)威胁

image
攻击者基于漏洞对网络系统安全构成的安全威胁主要有:感信息泄露、非授权访问身份假冒、拒绝服务。

3)现状

国际上已经出现安全漏洞地下交易市场,将重要的零日漏洞以高价出售。

针对安全漏洞问题的研究已成为网络安全的研究热点,主要研究工作包括漏洞信息搜集分析和网络安全威胁情报服务、漏洞度量、基于漏洞的攻击图自动化生成、漏洞利用自动化、漏洞发现等。

13.2 分类与管理

1)来源

网络信息系统的漏洞主要来自两个方面:

  • 一方面是非技术性安全漏洞,涉及管理组织结构管理制度、管理流程、人员管理等

    • 网络安全责任主体不明确
    • 网络安全策略不完备
    • 网络安全操作技能不足
    • 网络安全监督缺失
    • 网络安全特权控制不完备
  • 另一方面是技术性安全漏洞,主要涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统等。

    • 设计出错
    • 输入验证错误
    • 缓冲区溢出
    • 意外情况处置错误
    • 访问验证错误
    • 配置错误
    • 竞争条件
    • 环境错误

2)分类

  • CVE 漏洞分类
    • CVE ID:年份数字+其他数字,比如 CVE-2019-1543 为一个 Open SSL 安全漏洞编号
  • CVSS(通用漏洞计分系统):由基本度量计分、时序度量计分、环境度量计分组成。
    • 基本度量计分:由攻击向量、攻击复杂性、特权要求用户交互、完整性影响、保密性影响、可用性影响、影响范围等参数决定。
    • 时序度量计分:由漏洞利用代码成熟度、修补级别、漏洞报告可信度等参数决定。
    • 环境度量计分:由完整性要求、保密性要求、可用性要求、修订基本得分等决定。
      image
  • 我国漏洞分类
    • 国家信息安全漏洞库(CNNVD):配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SOL注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误和资料不足
    • 国家信息安全漏洞共享平台(CNVD)
      • CNVD 根据漏洞产生原因,将漏洞分为11种类型:输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。此外,CNVD 依据行业划分安全漏洞,主要分为行业漏洞和应用漏洞。行业漏洞包括:电信、移动互联网、工控系统;应用洞包括Web 应用、安全产品、应用程序、操作系统、数据库、网络设备等。在漏洞分级方面,将网络安全洞划分为高、中、低三种危害级别。
  • OWASP TOP 10 漏洞分类
    • 主要的漏洞类型有注入、未验证的重定向和转发、失效的身份认证、XML 外部实体(XXE)、敏感信息泄露、失效的访问控制、安全配置错误、跨站脚本(XSS)、不安全的反序列化、使用含有已知漏洞的组件、不足的日志记录和监控、非安全加密存储。

3)发布

发布内容一般包括:漏洞编号、发布日期、安全危害级别、漏洞名称、漏洞影响平台、漏洞解决建议等。
image
image

4)获取

漏洞来源:

  • 网络安全应急响应机构
  • 网络安全厂商
  • IT 产品或系统供应商
  • 网络安全组织

CERT、Security Focus Vulnerability Database、CNNVD、CNVD

5)管理过程

网络信息系统资产确认

信息采集

漏洞评估

漏洞消除和控制

漏洞变化跟踪

13.3 技术与应用

1)网络安全漏洞扫描

2)网络安全漏洞扫描应用

13.4 网络安全漏洞处置技术与应用

1)发现技术

漏洞发现技术主要有文本搜索、词法分析、范围检查、状态机检査、错误注入、模糊测试、动态污点分析、形式化验证等。

2)修补技术

补丁管理是一个系统的、周而复始的工作,主要由六个环节组成,分别是现状分析、补丁跟踪、补丁验证、补丁安装、应急处理和补丁检查。
image

3)防范技术

地址空间随机化技术

数据执行阻止(data execution prevention,DEP)

SEHOP(structured exception handler overwrite protection):即结构化异常处理程序覆盖保护,是Windows操作系统中的一种安全机制,旨在防御针对覆盖Windows结构化异常处理程序的漏洞利用技术。

堆栈保护

虚拟补丁:通过入侵阻断、Web防火墙等相关技术来实现给目标系统程序“打补丁”

13.5 产品与技术指标

1)扫描器

常见技术指标:

  • 漏洞扫描主机数量
  • 并发数
  • 速度
  • 检测能力
  • 检查功能
  • web应用漏洞检查功能
  • 口令检查功能
  • 标准兼容性
  • 部署环境难易程度

2)服务平台

3)防护网关

IPS(intrusion prevention system)

web 防火墙(WAF)

统一威胁管理(UTM)

常见技术指标:

  • 阻断安全漏洞攻击的种类和数量
  • 阻断安全漏洞攻击的准确率
  • 阻断安全漏洞攻击的性能
  • 支持网络带宽的能力
posted @ 2024-10-06 10:57  LHX2018  阅读(17)  评论(0编辑  收藏  举报