Posts for: #Security

通用弱点评价体系(CVSS)简介

http://www.xfocus.net

一、综述

弱点(vulnerabilities)是网络安全中的一个重要因素,在多种安全产品(如漏洞扫描、入侵检测、防病毒、补丁管理等)中涉及到对弱点及其可能造成的影响的评价。但目前业界并没有通用统一的评价体系标准。通用弱点评价体系(CVSS)是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级。

二、通用弱点评价体系(CVSS)

2.1 CVSS的要素

通过下图可以看出通用弱点评价体系(CVSS)包含的要素及它们之间的相互关系:

CVSS-model-detailed-8.0.jpg

通用弱点评价体系(CVSS)的所有要素及其取值范围如下表所示:

CVSS-metric.jpg

有些需要说明的要素如下:

1、如果漏洞既可远程利用,又可以本地利用,取值应该为远程利用的分值。

2、攻击复杂度的分值由原先的低/高变为低/中/高,参见:http://www.first.org/cvss/draft/accepted/060103.html

3、需要认证的例子,如需要预先有Email、FTP帐号等。

有些有用的参考资源如下:

CVSS评分计算器:http://nvd.nist.gov/cvss.cfm?calculator

CVSS的最近更新:http://www.first.org/cvss/draft/

一些文档及胶片:http://www.first.org/cvss/links.html

2.2 CVSS评分方法

2.2.1 基本评价

基本评价指的是该漏洞本身固有的一些特点及这些特点可能造成的影响的评价分值,该分值取值如下:

AccessVector     = case AccessVector of

                        local:            0.7

                        remote:           1.0

                        

AccessComplexity = case AccessComplexity of

                        high:             0.6

                        medium:           0.8

                        low:              1.0

                            

Authentication   = case Authentication of

                        required:         0.6

                        not-required:     1.0

                            

ConfImpact       = case ConfidentialityImpact of

                        none:             0

                        partial:          0.7

                        complete:         1.0

                            

ConfImpactBias   = case ImpactBias of

                        normal:           0.333

                        confidentiality:  0.5

[阅读全文]

渗透测试操作实务

渗透测试(Penetration Test)是指安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/系统/主机/应用的安全性作深入的探测,发现系统最脆弱的环节的过程。渗透测试能够直观的让管理人员知道自己网络所面临的问题。

本文用尽量简洁的方式说明网络安全评估中最困难的环节―渗透测试的操作过程,希望读者能够揭开其神秘面纱。能够组织甚至操作一次企业内部的Penetration Testing。

20050926_渗透测试操作实务_wlj_v1.0.pdf

企业秘密保护与陷阱网络

前些时候考虑企业秘密保护时,认为陷阱网络能够在其中发挥一定的作用,因此做了些构思,基于一定的访问控制策略,违规者发送的数据将被透明地转发至陷阱主机,但对正常操作者毫无影响。

访问控制策略包括以下几种:

  1. 基于时间的控制;
  2. 基于协议和开放端口的控制;
  3. 基于IP地址的控制;
  4. 基于扫描和攻击的控制;

这几种访问控制还能够在一定程度上区分出"违规者"、“渗透者”、“试探者"和"攻击者”,并且根据不同分类,转发至不同的陷阱网络中。例如:对内部违规者,可以是一台"内容级"的陷阱主机,主机上存放着部份"关键数据";但对外部扫描者,则陷阱网络可是是一个Honeyd的"机群",用来迷惑攻击者。

对企业机密保护来说,这种陷阱网络,一方面能够转移攻击者的注意力,另一方面也能够为企业可能进行的法律诉讼工作提供证据。

采用 CWVE 方法进行安全风险评估

网络安全风险评估已经从几年前阳春白雪的状态,演化为当前企业/组织信息与网络安全建设前期通常会考虑进行的一项工作。但评估的方法、效果比起以往,是否有所提升?

就我所见,当前安全市场上主流的评估厂商提供的服务,大多存在以下几方面问题:

  1. 妄谈管理(用户选中安全公司,是因为他们懂安全,而不是因为他们懂管理);
  2. 盲目量化(以为数字能说明一切,自己"定义"了量化标准和算法);
  3. 千人一面(评估与业务脱节,一个评估方案放之四海皆准,甚至一个评估报告也是放之四海皆准);

因此,这里提出的CWVE方法,实际上与OCTAVE类似,脆弱性评估不变(这是安全公司的核心技术所在),但有以下几个特点:

  1. 以业务流为核心,是简单资产盘点的深化;
  2. 以事件评估与沙盘推演替代威胁评估,操作起来不再那么虚无飘渺;
  3. 简化的顾问咨询过程,结论中以"制度"来推进管理,更具可操作性;

详细的方案在时间充裕时会写出来与大家共享。