觀點

淺談弱點評估之應用

2005 / 10 / 05
陳仁傑
淺談弱點評估之應用

在現今的網路環境中,充斥了病毒、蠕蟲病毒等危害,網路的安全巳成為刻不容緩的工作,如何做好網路安全成為 IT 人員最重要的任務。網路安全如此重要,那要從那裡開始呢?其實弱點(Vulnerability)是安全上最根本的問題點,近年來重大的資安事件幾乎都與安全弱點有關;例如說最近剛出爐的 ZOTOB 蠕蟲病毒,就是利用微軟 MS05-039 Windows Plug and Play 功能緩衝區溢位弱點來進行攻擊。因此,只要你有確實做好弱點的修補,那麼 ZOTOB 蠕蟲病毒就無法危害你的系統。

類型

許多人對於弱點(Vulnerability)不是非常了解,下面我們將簡單的介紹一下何謂弱點。弱點一般可分為三大類型,分別如下:

一、硬體弱點
泛指一些網路設備在設計上的缺失或是韌體的 Bug,可以讓心懷惡意的人透過這些弱點來進行攻擊或破壞設備。
例:Cisco Wireless LAN Solution Engine (WLSE) 2.0-2.5 及 Hosting Solution Engine (HSE) 1.7-1.7.3 存在預設的帳號及密碼,這會允許遠端攻擊者未經授權而能夠存取,進而新增或修改帳號,也可以更改設定。

二、軟體弱點
泛指存在於電腦作業系統或應用程式中的程式錯誤,可以讓心懷惡意的人、病毒或蠕蟲病毒對電腦進行入侵、破壞或取得資料。
例:Windows NT 4.0, 2000, 2003 的 winhlp32.exe 存在緩衝區溢位弱點,因為對 windows .hlp 標頭解碼錯誤,遠端攻擊者可以製作惡意的檔案引誘被害者開啟惡意檔案造成緩衝區溢位,並可以執行任意程式碼,攻擊者可以將惡意檔案放在網站上或透過電子郵件引誘被害者開啟。

三、管理弱點
泛指在管理上的疏失,導致被入侵或資料外洩等等。
例如,系統設定錯誤、帳號未設密碼或密碼過於簡單等。

在以上三大弱點類型中,絕大部分的弱點都是屬於軟體弱點,而管理弱點則是比較偏向於人為的因素。

評估步驟 

在了解弱點之後,接下來就了解一下弱點評估(Vulnerability Assessment;VA)。所謂的弱點評估就是使用工具軟體或硬體設備(內含軟體的設備)來找出網路上的設備、電腦等的弱點,並經過分析後進行修補,最後再透過複查看看是否修補完成。弱點評估的主要步驟如下:

一、掃描
要發現弱點,最快的方法就是透過弱點評估軟體進行掃描,使用弱點評估軟體掃描你就可以快速的發現系統上未修補的弱點。市面上有許多的弱點評估軟體可供選擇,你可以選擇一個適合你的工具軟體來使用。要進行掃描之前,你一定要先更新弱點評估軟體的弱點資料庫,這樣你才可以掃描到最新的弱點。接下來就是對於你掃描的目標做分類,例如:DMZ 區中的伺服器、區域網路中的伺服器、用戶端電腦、網路設備等。分類掃描的好處是,可以快速的針對各分類的目標訂定政策進行掃描,節省掃描的時間。

二、分析
掃描完成後,接下來就是要做分析的動作,這也是弱點評估最重要的一個動作。不論你是選擇哪一套弱點評估軟體,在掃描完成後都會產生一份報表與資訊,你就是要透過報表與資訊來了解你的系統有哪些弱點,這些弱點是否為重大弱點,是否需要立刻修補。透過分析掃描完成的資訊,你就可以確實的掌握系統的弱點。

三、修補
分析完成後接下來就是需要進行修補弱點,透過掃描完的分析,你可以知道哪些弱點是重大的、需要立即修補,哪些弱點則是可以經過管理的手段來消除。你要安裝修補程式之前,建議你要先經過測試,看看修補程式是否會與你現在的環境相衝突,如果有衝突的話,你可以先看看有沒有暫時的替代方案,如進行阻擋、封鎖或替換,並立即連繫發行修補程式的廠商,要求更新修補程式。

四、複查
在完成修補之後,你還需要做一件事,那就是再掃描一次,這樣可以讓你知道你之前的修補動作是否確實,如有遺漏則需要馬上進行補救。

弱點評估不是只要做一次你就可以高枕無憂,新的弱點是持續的被發現,所以要保護你的系統安全,你需要的是定期的執行弱點評估。弱點評估要多久執行一次才是正確的?其實這並沒有標準答案,多久執行一次是要依照安全政策而定,每個組織的安全政策都不同,因此執行掃描的時間也不一定,你可以依照貴單位所制定的安全政策來執行定期掃描。在初次做弱點評估時,你可以徹底的做一次弱點掃描,這時所花的時間是最多的,接下來你可以使用排程的功能依序對每個分組定期掃描。如有重大弱點公佈時,你應該立即去下載新的弱點資料庫,並立即進行一次掃描,這樣才可以確保你不被利用新的弱點所做的攻擊。