1 / 103

Module 5 : 弱點掃描系統實習

Module 5 : 弱點掃描系統實習. 學習目的. 電腦軟硬體技術的發展,促進了電腦的普及化 ; 眾多的設備和軟體也增加了使用者電腦受到攻擊的機會。如何在攻擊者發現前,找出電腦上的弱點,就成為保護使用者電腦安全重要的一環 2. 本模組共有六個小節包括 (1) 弱點簡介 (2) 弱點掃描與評分介紹 (3) 弱點管理與評分方式 (4) 弱點掃描與評分工具介紹 (5) 弱點掃描系統的實務 (6) 弱點掃描系統的 專案實作 共需三個鐘點. Module 5 :弱點掃描系統實習. Module 5-1 :弱點簡介 (*)

zuzela
Download Presentation

Module 5 : 弱點掃描系統實習

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Module 5:弱點掃描系統實習

  2. 學習目的 • 電腦軟硬體技術的發展,促進了電腦的普及化;眾多的設備和軟體也增加了使用者電腦受到攻擊的機會。如何在攻擊者發現前,找出電腦上的弱點,就成為保護使用者電腦安全重要的一環 2. 本模組共有六個小節包括 (1)弱點簡介 (2)弱點掃描與評分介紹 (3)弱點管理與評分方式 (4)弱點掃描與評分工具介紹 (5)弱點掃描系統的實務 (6)弱點掃描系統的專案實作 共需三個鐘點

  3. Module 5:弱點掃描系統實習 • Module 5-1:弱點簡介(*) • Module 5-2:弱點掃描與評分介紹(*) • Module 5-3:弱點管理與評分方式(**) • Module 5-4:弱點掃描與評分工具介紹(*) • Module 5-5:弱點掃描系統的實務(*) • Module 5-6:弱點掃描系統的專案實作(**) * 初級(basic):基礎性教材內容 **中級(moderate):教師依據學生的吸收情況,選擇性介紹本節的內容 ***高級(advanced):適用於深入研究的內容

  4. Module 5-1:弱點簡介(*)

  5. Vulnerability Exploit Weakness Flaw Bug 弱點定義 • 任何會導致應用程式、系統、設備或服務出現隱含或外顯的問題,例:失去保密性、資料完整性或可用性的一些bug、flaw (缺陷)、行為、程序、輸出或事件,都可被定義為弱點

  6. 弱點定義 (續) • 程式與網路架構上的安全弱點 • 因軟硬體系統設計不良,導致攻擊者可藉由惡意操作,進行非原來系統設計意圖,進一步執行對系統安全有危害的動作 • 安全弱點將提供攻擊者可以阻斷服務或提升權限等等多種攻擊機會

  7. 安全弱點的形成原因 • 設計階段(Design Phase) • 脆弱的演算法,或設計時未考慮到的問題 • 實作階段(Implementation Phase) • 因疏忽或是錯誤所造成的軟體問題 • 操作階段(Operation Phase) • 使用者操作與設定習慣不良 • 人性弱點(Human Nature) • 人性上的弱點所導致

  8. 設計階段(Design Phase) • 脆弱的演算法(Weak algorithm) • 設計時忽略的項目 • 未考慮到的問題 • 例:早期的密碼演算法 • 設計錯誤(Design error )

  9. 實作階段(Implementation Phase) • 輸入驗證的錯誤(Input validation error) • 沒有檢查輸入值的資料型態 • 例:SQL Injection • 界限(範圍)檢查的錯誤(Boundary check error) • 未正確檢查傳入資訊的長度,導致緩衝區溢位(Buffer Overflow)或程式計算錯誤 • 競爭情況(Race condition) • 指多個處理元(Process)同時並行存取共用資源,系統依排程次序執行,而造成資源內的資料不正確的問題發生

  10. 操作階段(Operation Phase) • 設定錯誤與疏忽 • 例:未正確設定檔案權限,導致攻擊者可以存取隱私資訊相關檔案 • 對於設定的知識不足 • 管理者對於系統設定不熟悉

  11. 人性弱點(Human Nature) • 脆弱的密碼(Weak Passwords) • 密碼與使用者帳號相同 • 生日或學號 • 太過簡單的密碼 • 例: 12345 • 不良的使用習慣(Unsafe habits) • 將密碼告訴別人 • 寫下貼在桌面上

  12. 弱點運用的例子 • 暴力攻擊法(Bruce Force) • 耗盡資源(Resource Exhausting) • 運算資源 • 記憶體資源 • 緩衝區溢位攻擊(Buffer Overflow) • IP偽造(IP spoofing) • 封包攔截(Packet Interception )

  13. 弱點可能造成的影響 • 程式錯誤 • 不當取得權限 • 服務遭阻斷 • 資訊洩漏/竊取/破壞/竄改 • 被殖入後門程式/木馬程式

  14. 弱點影響:真實範例一 • 英國國防部首次遭受嚴重病毒攻擊 • 英國國防部網路自2009/1/6開始,首次遭受嚴重電腦病毒入侵事件,感染範圍包括英國皇家空軍(Royal Air Force)與英國皇家海軍(Royal Navy)內部電腦之電子郵件系統與網際網路系統 行政院國家資通安全會報技術服務中心-資安新聞 資料來源:http://www.icst.org.tw 2009/3/18

  15. 弱點影響:真實範例二 • 英國資安社群針對近來出現嚴重攻擊的變種蠕蟲Conflicker worm,積極找出應變措施與方法。儘管微軟已於去年2008/10/23發布安全漏洞更新(MS08-067),但仍有資安廠商發現新變種的Conflicker持續進行攻擊,微軟再次於2009/1月發布MS09-001更新程式。芬蘭資安廠商F-Secure估計,約有35萬台電腦於一天內遭到Conflicker攻擊,1星期內受害數量再持續增加約1萬台 行政院國家資通安全會報技術服務中心-資安新聞 資料來源:http://www.icst.org.tw 2009/3/18

  16. Module 5-2:弱點掃描與評分介紹(*)

  17. 預防弱點被利用 - 防護策略 • 被動防護策略(管理者角度):保障系統安全 • 防毒軟體 • 防火牆 • 入侵偵測系統 • 以上是否真的足夠防禦攻擊? • 輔以主動防護策略:預防勝於治療 • 主動防護策略(攻擊者角度):探查系統弱點 • 弱點掃描與評估系統

  18. 弱點掃描與評分的重要性 • 弱點數目增長,若使用者的系統沒經過適當修補,則受攻擊的機會將會越大 US-CERT所發布的安全弱點(2000-2011) 資料來源:http://web.nvd.nist.gov/view/vuln/statistics

  19. 弱點掃描的定義 • 模擬攻擊者所發出的攻擊動作,以無傷害性的攻擊去檢查網路設備和作業系統 • 供使用者或網路管理人員做為弱點修補之依據 • 修補方式建議 • 依據”弱點特徵資料庫”來進行測試 • 檢查網路或作業系統的安全性

  20. 身為一個網管人員,且在人力、資源、時間及技術有限的情況下,該如何決定弱點修補的先後順序呢?身為一個網管人員,且在人力、資源、時間及技術有限的情況下,該如何決定弱點修補的先後順序呢? 引入弱點評估概念,對弱點的威脅及風險進行分級,再根據弱點風險及嚴重性決定修補的優先順序 弱點掃描 - 發現弱點!

  21. 弱點評估的定義 • 針對弱點的嚴重性,為了有較為客觀的判斷標準,採用標準的數學方程式,來判定威脅的嚴重性 • 列入評估標準的因素 • 包括安全弱點能否被遠端利用 • 攻擊者是否需要登入,才能利用此一弱點 • 在不同主機環境下,同一漏洞會有不同的影響性 • 提供使用者一個修補系統漏洞的優先順序參考 • 因為不同的漏洞修補,會有不同的成本花費 • 使用者可利用弱點的分數來決定要修補的順序

  22. Microsoft僅將弱點利用等級加以區分。讓使用者了解那些等級需要快速地進行修補,那些則可等有資源與時間時再來進行Microsoft僅將弱點利用等級加以區分。讓使用者了解那些等級需要快速地進行修補,那些則可等有資源與時間時再來進行 弱點評估範例 資料來源:http://www.microsoft.com

  23. 弱點掃描與評估的效益 • 掌握系統安全現狀 • 了解如何改善系統的安全問題 • 決定修補漏洞的先後順序 • 降低安全風險及管理成本 • 主動式安全防護與安全政策稽核 • 定期的弱點評估有助於掌握風險

  24. Module 5-3:弱點管理與評分方式 (**) 5-24

  25. 弱點管理流程 開始 弱點掃描 NO 是否具有弱點 結束 YES 匯入掃描報告 CVSS 分數計算 修補弱點 設定弱點漏洞修補優先序 CVSS 報告

  26. 弱點掃描與評估標準 • 專屬的弱點掃描與評估準則 • 每個弱點特徵資料庫或是弱點的發布者會有自己的一套評估標準 • 缺點: • 沒有明確的標準來定義弱點的等級 • 不同的標準對同一弱點會有不同的評分 • 每個弱點特徵資料庫的格式皆不同 • 通用性不高

  27. SCAP 標準簡介 • SCAP 安全自動化協定 • 英文全名 Security Content Automation Protocol • 目的:自動化弱點管理與標準化 • 由美國國家標準技術研究院所負責管理與整合由MITRE, NSA, First等單位所發展的6個不同標準

  28. SCAP 標準簡介 (續) • 由六個”標準”所組成 • 通用弱點和漏洞 • Common Vulnerabilities and Exposures • 通用配置設定列舉 • Common Configuration Enumeration • 通用平台列舉 • Common Platform Enumeration • 可擴展設定配置清單描述格式 • Extensible Configuration Checklist Description Format • 開放性”漏洞和評估”描述語言 • Open Vulnerability and Assessment Language • 通用弱點評估系統 • Common Vulnerability Scoring System

  29. 弱點管理 Vulnerability Management 整合資訊科技與資訊安全 (藉由SCAP標準) CVE OVAL CVSS SCAP 資產管理 AssetManagement XCCDF CCE CPE 設定管理 Configuration Management Integrating IT and IT Security Through SCAP 資料來源:http://nvd.nist.gov/scap/docs/ISAP-SecuritySolutions-2007.ppt

  30. SCAP 標準

  31. 通用弱點和漏洞 CVE • 全名 Common Vulnerabilities & Exposures • 特點 • 為每個已知的漏洞,訂定一個唯一的名稱 • 為每個已知的漏洞,提供一個標準的描述 • 藉由統一名稱,使安全評估報告更容易被理解與解讀 • 使各廠商所提供的弱點漏洞資料庫,能有較佳的相容性

  32. CVE編號 • CVE為每個安全弱點指定統一之參照編號 • CVE編號格式 • CVE-xxxx-xxxx (xxxx為四位數字): • 第一組數字表示年度,第二組數字表示該年度第幾個被發現的安全弱點

  33. 通用弱點評估系統 CVSS • CVSS • 全名 Common Vulnerability Scoring System • 由美國國家基礎建設諮詢委員會 (NIAC)委託製作 • 主要目的 • 建立一個中立的評估系統 • 可以評估弱點風險度 • 建立診斷弱點嚴重性的標準 • 統一的弱點評估標準 • CVSS使用數學方程式,來判定弱點的嚴重性及影響

  34. 通用弱點評估系統 CVSS (續) • CVSS由下列兩項組成 • 評分項目(Metrics Group) • 基本評估項目(Base Metrics) • 時間週期項目(Temporal Metrics) • 環境評估(Environmental Metrics) • 配分權重(Formulas) • 每個要素各有其配分與整體評估時的權重

  35. 藉由各別的計分方程式產生不同項目的分數 CVSS 評分項目(Metrics View)

  36. 評分項目Metrics Group • 基本評估項目(Base Metrics Group) • 由弱點的揭露者或被發現弱點的軟體廠商定義 • 定義後就不再修改 • 時間周期評估項目(Temporal Metric Group) • 由弱點的揭露者或被發現弱點的軟體廠商定義 • 會隨著弱點發現後所經過的時間或生命週期而修改 • 同一弱點在不同時間點的影響力會改變 • 環境評估項目(Environmental Metric Group) • 由終端使用者依據環境因素加以調整或改變 • 符合弱點在不同環境的影響狀況 • 同一弱點在不同環境下可能會有不同的影響力

  37. 評分項目Metrics Group (續)

  38. 評分項目Metrics Group (續)

  39. 評分項目Metrics Group (續)

  40. CVSS Example NIST美國國家標準技術研究院-弱點特徵資料庫 http://nvd.nist.gov/cvss.cfm?calculator

  41. Module 5-4:弱點掃描與評分工具介紹(*) 5-41

  42. 弱點掃描與評估工具比較 • 商業軟體 • 優:有廠商維護,支援性較佳,且介面易於操作 • 缺:成本較高 • 例:Foundstone與DragonSoft Vulnerability Management • 免費軟體 • 優:成本較低 • 缺:功能與使用說明較為簡略,誤判率高 • 例: Nessus與OpenVAS

  43. 選擇工具時需注意以下五點 弱點特徵資料庫的更新是否夠快 弱點特徵資料的描述和修補建議是否完整明確 掃描的效率以及對目標系統的影響 使用者介面的易用性 分析報告的形式是否符合需求 選擇合適的弱點掃描與評估工具

  44. 全名為Microsoft Baseline Security Analyzer Microsoft 為系統管理員、安全性稽核人員及IT專業人員免費提供的最新版安全性與弱點評估掃描工具 與 Windows Vista及Windows Server 2008 相容,並支援 64 位元 Microsoft - MBSA掃描工具 Microsoft安全工具 資料來源:http://technet.microsoft.com/zh-tw/security/cc184924.aspx

  45. 弱點掃描工具 - Nessus • 為一免費的網路安全檢測工具 • 受GPL保護的免費軟體 • 在1998年,由法國的Renaud Deraison發展 • Nessus網頁:http://www.nessus.org/ • 由3.0版本開始不提供原始碼 • 提供弱點特徵資料庫更新 • 免費下載版會慢7天更新弱點資料

  46. Nessus功能 • 功能:掃描偵測系統的漏洞資訊,並提供詳盡之統計分析,包括漏洞數目統計與嚴重性等。此外,Nessus也針對掃描結果,提供安全建議及修補資訊等 • 原理:送出各種類型之網路封包或攻擊指令,以測試目標系統之回應,並從回應之訊息來判斷各項系統漏洞及其他資訊

  47. Nessus軟體的特點 • 以Plug-in的方式組成 • 主從式架構 • 能辨識檢測目標主機上提供的服務 • 重覆服務的檢測 • 同機器上有兩個以上相同的服務,Nessus都會對其執行檢測 • 使用自附的直譯器及程式語言- NASL • 支援多種格式的報告結果 • txt、html與pdf等格式

  48. Command Hosts 1 Nessus client Command Hosts 2 進行Scan Nessus server Nessus client Hosts 3 Hosts 4 Nessus架構 • Nessus由兩部份組成 • Server是真正執行攻擊測試的部份 • Client則是前端介面以作為收集測試結果之用 • Server與Client亦可安裝於同台主機

  49. Nessus弱點報告範例 • 從弱點報告中可獲得一些資訊,包含 • 弱點的種類 • 弱點簡介 • 弱點評分 • 修補方式 資料來源:Nessus官方網站 http://www.nessus.org

  50. 弱點修補範例 微軟的漏洞編號以年份命名 格式為:MS(年份)-編號 “ Microsoft安全性公告 MS04-022”是2004年的第22號安全性公告 弱點安全性更新檔下載 資料來源:微軟官方網站 http://www.microsoft.com

More Related