網(wǎng)絡(luò)安全評(píng)估

前言

我已經(jīng)以多種方式公開(kāi)從事有關(guān)計(jì)算機(jī)和軟件漏洞方面的工作十多年了。在非公開(kāi)場(chǎng)合，我似乎一生都在參與計(jì)算機(jī)及其他相關(guān)方面的工作。我通過(guò)Lopht組織發(fā)表了一些早期的建議。有些報(bào)告被送往了政府部門，有些攻擊和防御工具發(fā)布出來(lái)，從LOPhtCrack到Anti-Snff，再到SLINT，還有一些個(gè)人和工作專用工具。保護(hù)備受關(guān)注的各種網(wǎng)絡(luò)，無(wú)論是大型的還是小型的網(wǎng)絡(luò)，都是平常事，受命侵入防御堅(jiān)固的網(wǎng)絡(luò)更是平常。但是只關(guān)注這些事情的本身并不能得到什么信息。通過(guò)不斷對(duì)更全面情況的理解（也就是說(shuō)，所有變化的部分如何從技術(shù)層面一直到項(xiàng)目經(jīng)理和公司態(tài)度都能夠相互聯(lián)系）可以制定出實(shí)際的目標(biāo)。不管攻擊者還是防御者，都會(huì)遇到這個(gè)問(wèn)題。發(fā)現(xiàn)漏洞是很有趣的事情，多半是因?yàn)樗獙ふ业氖酋r為人知的東西。過(guò)去，人們并不總是想把如何發(fā)現(xiàn)安全漏洞的信息隱藏起來(lái)，而是因?yàn)槁┒此巡檫€是一個(gè)新興領(lǐng)域?，F(xiàn)在，有大量的網(wǎng)絡(luò)和出版文檔可以用來(lái)處理一般的和特殊的安全漏洞。但是從更加廣闊的角度來(lái)看，這種資料真正地能告訴讀者什么，并且如何與讀者在現(xiàn)實(shí)世界的情況聯(lián)系起來(lái)？這種資料如何能讓負(fù)責(zé)一個(gè)公司小組或者是整個(gè)公司的人來(lái)做好他們的工作？讓一個(gè)攻擊者搜尋漏洞有什么風(fēng)險(xiǎn)呢？很多情況下，攻擊者可以獲得要進(jìn)攻的軟件或者操作系統(tǒng)的一份拷貝，然后在自己的測(cè)試環(huán)境中進(jìn)行測(cè)試，這樣搜尋漏洞的風(fēng)險(xiǎn)很小。這種情形也經(jīng)常發(fā)生。然而，現(xiàn)實(shí)的世界畢竟與實(shí)驗(yàn)室環(huán)境不同。對(duì)于攻擊者而言，復(fù)制一個(gè)特定的環(huán)境可能是不可行的，因?yàn)檫@太過(guò)于復(fù)雜且需要精心策劃?？赡苣繕?biāo)環(huán)境是完全未知的。在這些情況下，人們樂(lè)于探索和實(shí)驗(yàn)不屬于他們的實(shí)用系統(tǒng)時(shí)有何種風(fēng)險(xiǎn)呢？除了搜尋實(shí)用外部系統(tǒng)中未知漏洞存在的風(fēng)險(xiǎn)，試圖利用這些漏洞還有什么風(fēng)險(xiǎn)嗎？是一個(gè)系統(tǒng)崩潰還是引起攻擊者注意？網(wǎng)絡(luò)是否變得過(guò)于擁擠，不僅阻止合法用戶使用，而且也阻止攻擊者使用網(wǎng)上的服務(wù)和資源？在一個(gè)真實(shí)的環(huán)境中，有多少種破解的機(jī)會(huì)留給攻擊者？組織提供的服務(wù)和系統(tǒng)是否在任何時(shí)候，任何地方都是可用的？在進(jìn)行維護(hù)和回滾的時(shí)期，有可變的機(jī)會(huì)窗口嗎？這個(gè)機(jī)會(huì)窗口會(huì)受到軟件升級(jí)和版本更新的限制嗎？成本同樣會(huì)影響機(jī)會(huì)成分。有些舉措可能在財(cái)政上是不允許的，如果其他一些舉措以開(kāi)發(fā)、交付和使用的時(shí)間段作為成本標(biāo)尺，則可能太昂貴了。何種動(dòng)機(jī)驅(qū)使攻擊者對(duì)你的環(huán)境感興趣呢？對(duì)有些人而言，可能是機(jī)會(huì)主義的想法；然而對(duì)其他人而言，他們都有明確的目標(biāo)?？赡苡腥耸苊谝粋€(gè)國(guó)家、競(jìng)爭(zhēng)對(duì)手或者基于某種特定的信念?；蛘哂行┤司褪菬o(wú)聊，這對(duì)你來(lái)說(shuō)就不走運(yùn)了。這種特殊的對(duì)手模型技術(shù)也稱之為ROM（風(fēng)險(xiǎn)、機(jī)會(huì)及動(dòng)機(jī)）模型，是非常強(qiáng)大的。它開(kāi)始考慮對(duì)手目標(biāo)更多的組成部分，并對(duì)應(yīng)到現(xiàn)有真實(shí)世界的環(huán)境中決定用來(lái)防范或取證的重要地點(diǎn)和各種措施。這個(gè)模型有一個(gè)好處是在沒(méi)有考慮環(huán)境、對(duì)手目標(biāo)，以及沒(méi)有對(duì)模型存在的問(wèn)題和環(huán)境進(jìn)行鑒定的情況下，就不必考慮一個(gè)漏洞，并且也不用考慮可能受命攻擊或者防御的網(wǎng)絡(luò)和系統(tǒng)里存在的問(wèn)題進(jìn)行處理。

內(nèi)容概要

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，人們對(duì)網(wǎng)絡(luò)的依賴性達(dá)到了前所未有的程度，網(wǎng)絡(luò)安全也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)。如何保障網(wǎng)絡(luò)安全就顯得非常重要，而網(wǎng)絡(luò)安全評(píng)估是保證網(wǎng)絡(luò)安全的重要環(huán)節(jié)。本書(shū)從漏洞評(píng)估、漏洞評(píng)估工具、漏洞評(píng)估步驟和漏洞管理等方面介紹了網(wǎng)絡(luò)安全評(píng)估。通過(guò)本書(shū)的學(xué)習(xí)，一方面可以使讀者了解網(wǎng)絡(luò)安全評(píng)估的一些基本概念、基本原理，另一方面，更重要的是可以指導(dǎo)讀者一步步地完成整個(gè)評(píng)估過(guò)程。此外，詳細(xì)介紹了網(wǎng)絡(luò)安全評(píng)估中各種常用的開(kāi)源工具和商業(yè)工具及其特點(diǎn)．有助于讀者能夠快速地找到合適的評(píng)估工具。

作者簡(jiǎn)介

Steve Manzuik，目前在Juniper網(wǎng)絡(luò)公司任高級(jí)安全研究主管。他在信息技術(shù)和安全行業(yè)有超過(guò)14年的經(jīng)驗(yàn)，尤其側(cè)重于操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備。在加入Juniper網(wǎng)絡(luò)公司之前，Steve在eEye Digital Security公司任研究經(jīng)理。2001年，他成立了EntrenchTechnologies公司，并任技術(shù)領(lǐng)導(dǎo)。在Entrench之前，Steve在Ernst & Young公司的Security ＆ Technology Solutions Practice部門任經(jīng)理，他是Canadian Penetration Testing Practice部門的solution line leader。在加入Ernst & Young之前，他是世界性組織“白帽黑客”的安全分析師，并在BindView RAZOR Team任安全研究員。 
    Steve是“Hack Proofing Your Network”（Syngress出版社出版，1928994709）第二版的合著者。此外，他在Defcon，Black Hat，Pacsec和CERT等世界性會(huì)議上多次演講，并且他的文章在許多行業(yè)出版物上（包括CNET，CNN，InfoSecuritv Maga—zinc，Linux Security Magazine，Windows IT Pro，以及Windows Magazine）被引用。

書(shū)籍目錄

主要作者合著者編者譯者序序言第1章  漏洞窗口  引言  什么是漏洞？  理解漏洞造成的風(fēng)險(xiǎn)  小結(jié)  快速解決方案  常見(jiàn)問(wèn)題第2章  漏洞評(píng)估101  引言  什么是漏洞評(píng)估？    第一步：信息收集/發(fā)現(xiàn)    第二步：列舉    第三步：檢測(cè)  查找漏洞  利用安全技術(shù)檢測(cè)漏洞    解釋通過(guò)安全技術(shù)收集的漏洞評(píng)估數(shù)據(jù)    通過(guò)修復(fù)技術(shù)存取漏洞    從修復(fù)知識(shí)庫(kù)中提取漏洞評(píng)估數(shù)據(jù)    利用配置工具評(píng)估漏洞  查找漏洞的重要性    看一些具體的數(shù)字  小結(jié)  快速解決方案  常見(jiàn)問(wèn)題第3章  漏洞評(píng)估工具  引言  一個(gè)好的漏洞評(píng)估工具的特征  使用漏洞評(píng)估工具    第一步：識(shí)別網(wǎng)絡(luò)上的主機(jī)    第二步：把主機(jī)分組    第三步：創(chuàng)建一個(gè)審計(jì)策略    第四步：執(zhí)行掃描    第五步：分析報(bào)告    第六步：在必要的地方做出修復(fù)  小結(jié)  快速解決方案  常見(jiàn)問(wèn)題第4章  漏洞評(píng)估：第一步  引言  認(rèn)識(shí)你的網(wǎng)絡(luò)  對(duì)資產(chǎn)分類  我認(rèn)為這是一個(gè)漏洞評(píng)估章節(jié)  小結(jié)  快速解決方案  常見(jiàn)問(wèn)題第5章  漏洞評(píng)估：第二步  引言  一個(gè)有效的掃描計(jì)劃  掃描你的網(wǎng)絡(luò)  何時(shí)掃描  小結(jié)  快速解決方案  常見(jiàn)問(wèn)題第6章  更進(jìn)一步  引言  滲透測(cè)試類型  場(chǎng)景：一次內(nèi)部網(wǎng)絡(luò)攻擊    客戶端網(wǎng)絡(luò)    第一步：信息收集    第二步：測(cè)定漏洞  滲透測(cè)試    第三步：攻擊和滲透  漏洞評(píng)估vs滲透測(cè)試    決定實(shí)施漏洞評(píng)估還是滲透測(cè)試的提示  內(nèi)部vs外部  小結(jié)  快速解決方案  常見(jiàn)問(wèn)題第7章  漏洞管理第8章  漏洞管理工具第9章  漏洞和配置管理第10章  遵守管理法規(guī)第11章  融會(huì)貫通附錄A  信息安全評(píng)價(jià)的法律案例附錄B  信息安全基線活動(dòng)工具

章節(jié)摘錄

插圖：第1章 漏洞窗口引言本書(shū)不是典型的介紹信息技術(shù)（Information Technology，IT）安全的書(shū)。雖然本書(shū)作者具有專業(yè)技術(shù)背景，而且也寫(xiě)過(guò)一些很暢銷的書(shū)，如Syngress出版的“Hack Proofing Your Network”，但是本書(shū)還是主要將漏洞管理的技術(shù)融人到業(yè)務(wù)管理中。盡管熟悉最新的黑客技術(shù)是很重要的，但是只有當(dāng)能夠把黑客所實(shí)施的威脅與對(duì)組織所造成的風(fēng)險(xiǎn)聯(lián)系在一起時(shí)，這些知識(shí)才是有價(jià)值的，本書(shū)將介紹做這件事情的工具。本章主要介紹漏洞及其重要性，我們還將討論一個(gè)被稱作“漏洞窗口”（Windows of Vulnerabilities）的概念，以及如何確定一個(gè)已知的漏洞對(duì)環(huán)境造成的風(fēng)險(xiǎn)。什么是漏洞？那么，什么是漏洞呢？在過(guò)去，很多人把漏洞看作是有惡意的人能夠利用的軟件或硬件的缺陷。然而，在近幾年中，漏洞的定義發(fā)展成為有惡意的人能夠利用的軟硬件的缺陷及配置錯(cuò)誤（misconfiguration）。補(bǔ)丁管理、配置管理和安全管理等常常相互競(jìng)爭(zhēng)的學(xué)科，都已從單一的學(xué)科發(fā)展成為同一個(gè)信息技術(shù)（IT）方面的問(wèn)題，那就是今天的漏洞管理。

編輯推薦

《網(wǎng)絡(luò)安全評(píng)估:從漏洞到補(bǔ)丁》為21世紀(jì)信息安全大系叢書(shū)之一，由科學(xué)出版社出版。

圖書(shū)封面

圖書(shū)標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    網(wǎng)絡(luò)安全評(píng)估 PDF格式下載

---