《网络安全评估》书评

一些摘录

因为与自己的工作有关，所以做了一些摘录什么是漏洞：有恶意的人能够利用的软硬件的缺陷及配置错误（misconfiguration）.未知漏洞窗口：从发现一个漏洞到系统打上该漏洞的补丁所经过的时间。已知漏洞窗口：从厂商发布一个漏洞补丁到系统打上该漏洞的补丁所经过的时间。Risk=Vulnerability*Attacks*Threat*ExposureVulnerability：多容易得到利益。Attacks：攻击弹药，攻击代码。Threat：潜在的攻击者数量。Exposure：漏洞的暴露程度。扩展的Periphery：防御边界的范围及可能受到攻击的风险敞口。Lack of protection：相应防护的差劲程度。Asset value/criticality：资产的价值。举例：CVE-2005-4560 Windows Metafile允许远程执行代码，Vulnerability为5很容易获得攻击代码，Attacks为5需要浏览恶意站点，服务器很少有这样的机会，Threat为1同样，Exposure为1Risk=5*5*1*1=25如果将对象换成客户端Threat变为5Exposure变为3不同漏洞的风险与组织的环境相关。一个好的漏洞评估工具的特征1. 低的误报率2. 零漏报率3. 一个简洁完整的检测数据库4. 支持带权限的扫描5. 对网络流量的影响小6. 最小的系统影响7. 直观的和可定制的报告引擎8. 可定制的检测9. 企业的可伸缩型扫描时有较低概率会造成服务崩溃。在现在的环境中，已经没有什么很好的原因会使得系统由于收到了来自扫描器的流量而发生崩溃。如果系统确实发生了崩溃，那么就应该使用更健壮的系统来代替，因为系统的崩溃实际上就是拒绝服务攻击。忽略该问题并不会使问题消失，也不会提高整体的安全态势。漏洞管理的6个阶段1. 确定（Identification）维持一个精确的资产清单资产清单要包含所有IP相连的设备确定和分配资产所有者确保资产分类被记录到资产清单数据库中2. 评估（Assessment）给查看工作按优先级排序（首先评估最重要的资产）首先在实验环境估量和开发评估策略利用配置、修复和安全工具评估环境创建一个知道评估执行的标准操作流程3. 修复（Remediate）把漏洞资料传递给资产所有者的过程自动化设定修复基线，这样可以评定修复工作让各个业务部门在修复时间表上签字认可4. 报告（Report）确保报告指明了未解决的问题及相关负责人根据预期读者来制作报告报告主要关注高风险漏洞及其和企业关键资产的对应5. 改进（Improve）利用资产、配置和评估管理流程中的提高来改进漏洞管理计划修改安全实践和过程来提高计划执行效率6. 监控（Monitor）从一个高水平上理解所有被发现的关键漏洞不用恐慌，因为只有一小部分新漏洞真正影响到组织监控包含两个关键因素：核对新的漏洞信息和把可用漏洞资料通知适当的人员。利用工具来帮助对漏洞进行排序和预报有一个适当的流程来确保紧急警告被即时发送漏洞管理方法论1. 知道你的资产2. 资产分类3. 创建资产的基线扫描4. 对特定资产进行渗透测试5. 修复漏洞和降低风险6. 创建漏洞评估进度表7. 创建补丁和变更管理过程8. 监控资产面临的新风险9. 清除风险，然后重复以上工作。

yeefe-team 推荐图书

书籍永远不能代表思考和探索带来的愉悦感，但是阅读确实能让我们开始这个惊心动魄的历程http://blog.yeefe.com/wangxiaofei/?page_id=204http://blog.yeefe.com/wangxiaofei/?page_id=204http://blog.yeefe.com/wangxiaofei/?page_id=204http://blog.yeefe.com/wangxiaofei/?page_id=204http://blog.yeefe.com/wangxiaofei/?page_id=204