元智大學資訊管理學系
第二十一屆專業實習成果報告
期末專題:
1. 弱點掃描目的:
資安威脅持續推陳出新,面對傳統防禦方式像是防火牆、IPS等資安機制,駭客或有心人士早已有許多經驗來規避其偵測機制,因此系統本身的安全性也必須提升。
從過去癱瘓運作的電腦病毒肆虐,到現代暗中竊取資料的針對性攻擊,多數是利用應用程式或作業系統本身的漏洞來進行。因此為了維持企業內部高資訊安全水準,透過弱點掃描進行系統的安全評估,並及時補強漏洞與弱點,以降低因新增業務及網路架構調整等因素所產生的安全風險,或是新的漏洞出現被駭客利用,而為企業帶來災害。
藉由系統弱點掃描,不但能找出系統有哪些新的漏洞需要被修補,也可以作為一個審查的機制,由於系統漏洞,本就該由系統負責人負責更新與解決,以避免自己的系統成為駭客入侵公司的機會,因此弱點掃描也能夠作為一個審查的工具,看出哪些系統負責人平常疏於維護屬於自己的系統。
2. 弱點掃描工具比較:
於弱點掃描前,必須先選擇適用於公司的工具,因此以下我將針對目前較知名的兩套弱點掃描工具進行測試與評比,分別是Nessus與OpenVAS。
比較項目:
以下為測試此二項軟體的測試項目與測試重點
1. 軟體授權:是否需要支付費用
2. 介面使用:操作是否人性化與方便
3. 掃描時間:兩者掃描時間的差異
4. 報表呈現:掃描後的結果寶表是否清楚易懂
5. 弱點偵測:偵測到的弱點是否正確或有無遺漏
6. 修補建議:弱點的修補建議是否清楚
掃描測試的目標,由公司內部Windows測試機與Linux測試機中,分別選一台作為掃描測試使用,如下表:
兩弱點掃描軟體的掃描資料庫皆更新於同一日期,如下:
Nessus:
介面-首頁
介面-新增掃描工作
介面-掃描結果
弱點數統計:
詳細弱點清單:
OpenVAS:
介面-首頁
介面-�新增掃描工作
介面-掃描結果
弱點數統計:
詳細弱點清單:
比較結果:
掃描日期: 2016/11/14
掃描結果如下:
1. Windows 7
2. CentOS 6.8
軟體測試評比表:
透過一連串的建置流程與掃描測試後,個人認為Nessus在軟體的安裝與建置比OpenVAS容易許多。掃描的設定與報表,Nessus也是較容易上手且報表資訊清晰易懂。
而OpenVAS的優點在於,它是免費軟體仍可以達到與Nessus類似的效果,且針對Linux系統的掃描並不會輸給Nessus,如果企業於建立弱掃機制的初期,可以先以OpenVAS此免費軟體,作為導入此機制的評估。
企業弱掃標準流��程:
1.訂定掃描目標與範圍:
依照企業需求,訂定需要被掃描的目標系統,進而將目標系統的IP列入弱點掃描目標IP。
2.進行掃描作業:
執行第一次的掃描。
3.產生弱掃報表:
整理弱點掃描軟體所產生的報表。
4.是否有安全性問題:
針對掃描結果,判斷是否有安全性漏洞於系統中。
5.進行弱點修補:
針對各弱點,以弱掃軟體提供之解決方法,進行漏洞修補。
6.弱點掃描複測:
為測試漏洞修補是否有成功解決,因此進行第二次弱點掃描,以了解兩次弱點掃描間結果 的差異。
以上為標準的弱點掃描流程,每個完整流程共進行兩次的掃描作業,而每次進行掃瞄或兩次掃瞄間的時間區隔可依各公司狀況制定,如:
每季進行一次掃瞄,第一次與第二次掃瞄間隔一個月。
新系統上線掃描流程:
1.進行掃描作業:
各系統於正式上線前,進行弱點掃描,以避免系統漏洞,成為公司內部的資安弱點。
2.產生弱掃報告:
掃瞄後,產生結果報表。
3.重大安全漏洞:
判斷是否有重大安全漏洞。而重大安全漏洞需依各公司狀況而有不同定義。如:
Critical以上為重大安全漏洞,或是High與Critical以上皆視為重大安全漏洞。
4.進行弱點修補:
將重大安全性漏洞修補,完成修補後即完成本流程。
重大弱點公布:
1.確認影響範圍:
於各軟硬體公司公布重大安全性漏洞後,確認其影響之系統版本。
2.影響公司系統:
根據漏洞影響範圍,判斷是否有包含公司內系統。
3.安排修補日期:
如有,則需安排修補時間。
4.進行弱點修補:
於安排之修補時間,進行弱點修補即結束本流程。
重大安全性漏洞,基本上為Critical以上之漏洞,如資安標準較嚴格之公司,可依其需求而 調整。
結論:
以上流程為大方向的定義,而不同公司背景可能會有些差異,可於流程上增加更多細部流程。
而在這些標準的流程中,仍有些議題可以討論,如:
1.已上線的系統,於系統重新安裝或系統版本更新後,事實上也是屬於一個新的系統上線, 然而這部分,我們又該如何去判斷哪些系統經過了變更呢?
2.承上,如系統經過變更後,已屬於一個新的系統上線,是否該於偵測到變更後,將它與網 際網路斷開,並於系統安全性漏洞修補後才再允許上線呢?