安全评估与加固中遇到的问题与思考

掐指一算，以乙方的角色做了一年有多的安全评估工作了，在与客户、加固人员交流的过程中遇到了不少问题，也思考了应该怎么去改进，本文写写一些想法，欢迎批评指正。

面临的问题：

1.客户和加固人员认为：安全评估不就是拿个扫描器扫一扫、然后丢出一个报表嘛，谁不会；

2.内网扫描报告，往往有让人望而却步的高、中、低危漏洞千百个，你让客户情何以堪，你让加固人员怎么活命；

3.评估人员、加固人员、客户由于"道行"不同，或者"立场"不同，导致对漏洞的理解各不相同，扯皮时有发生；

4.扫描报告中的高、中、低危险标识，不和资产价值、业务系统重要程度挂钩，导致加固没有次重点，多次加固评估无法体现风险的消减程度；

希望做到：

1.区别对待千百个高、中、低危险漏洞，可以做撒网式扫描，不能做撒网式加固；

2.尝试以更加专业的角度面对客户和加固人员，对扫描结果进一步深加工处理；

3.把漏洞和资产价值，业务系统挂钩，区别的对待安全漏洞让加固工作更具可操作性；

下面提供一些深加工扫描报告的思路

1.漏洞分类：

操作系统漏洞：微软的，Unix的，Linux的，Solaris的等

业务软件漏洞：oracle，weblogic，struts2，PHP等

网络和安全设备漏洞：cisco，h4c，华为等

辅助程序漏洞：ftp，office，ie，openssh等

2.漏洞利用难易程度

直接利用成功率高：

弱口令

MS08-067，Struts

间接利用成功率高：

IE漏洞-需要制造***网页，引诱用户点击

office漏洞-需要发送病毒文档，通过打开病毒文档***

（存在运气成分，而且基本只能在PC终端才会中招）

成功率很低的漏洞：

一些溢出漏洞（和用户环境、版本、语言等相关性高）

偏门的程序漏洞（没有现成的exp，需要代码级的能力）

3.漏洞真实性、准确性

了解扫描器的扫描原理有助于我们对漏洞的把握，及时排除误报漏洞。

精确扫描：本次为精确扫描，极少出现误报。

原理扫描：本次扫描根据原理进行，可能存在误报。

版本扫描：本次扫描根据版本进行，可能存在误报。

暴力破解：本次扫描通过暴力猜测方式证实目标主机上的XX服务存在可猜测的口令。

4.加固思路

加固最好有计划、有步骤进行，加固顺序参考业务系统重要程度。

优先加固利用成本低成功率高的漏洞（弱口令等）。。。。

操作系统漏洞：强烈建议安装修复

业务软件漏洞：需要评估对业务系统的影响

网络和安全设备漏洞：较少

辅助程序漏洞：特别关注辅助程序是否需要用，是否有可替代的程序。特别关注一些默认安装带来的不必要漏洞。

5.更进一步，我们可能应该学习和关注的

业务漏洞

逻辑漏洞

物理漏洞等等扫描器扫不出来，但是影响很大的漏洞