超级会员免费看
信息安全评估与工具全解析
在当今数字化时代,信息安全至关重要。信息安全主要有三个目标:保密性、完整性和可用性。这些目标可通过评估活动来衡量,而评估活动又是风险管理过程的重要输入。
评估活动包括风险评估、漏洞评估、威胁评估、自我评估和审计等。其中,风险评估是最全面的评估活动,但其他评估也各有其适用场景。任何评估活动的输出都是详细报告所发现的问题,这些问题必须能够追溯到成功利用漏洞可能导致的业务功能或业务影响。之后,可利用CVE数据库(如果可用)对每个发现的问题进行优先级排序,排序结果将成为改善安全态势的路线图。
路线图应包含修复问题所需的资源以及跟踪进度的方法。NSA IPR被认为是跟踪漏洞管理进度的最佳方法。漏洞管理不仅包括补丁管理,还能帮助管理者了解网络资产、识别弱点、衡量安全控制的有效性、执行策略以及评估补丁工作的成效。虽然信息安全和安全态势的识别不会直接带来投资回报,但可以避免成本损失。
以下是一些常见问题及解答:
|问题|解答|
| ---- | ---- |
|为什么要关注我们的安全态势?|简短的答案是责任和风险管理。积极采取风险管理方法的公司将降低无法满足监管合规要求的可能性。了解安全态势有助于管理层有效分配资源,以实现业务和安全目标。|
|如果想与联邦政府合作,应该阅读什么?|应阅读2002年的《联邦信息安全管理法案》(FISMA)以及FISMA文件中讨论的相关文件。|
|公司目前支持DITSCAP流程,为什么本章未涵盖?|DITSCAP已被DIACAP取代,过渡过程可在DITSCAP网站(http://iase.disa.mil ,点击DIACAP)上查看。|
|能否使用除保密性、完整性和可用性之外的更多安全目标?|可以,但这取决于客户需求。一些客户可能需要身份验证或不可否认性。身份验证是确定某人或某物是否为其所声称的身份的过程,不可否认性是确保通信发送者不能否认其在文件上的签名或所发送消息的真实性的能力。其他安全目标因客户而异。|
|风险评估与自我评估有何不同?|风险评估通常由不受组织政治影响的独立团队进行,而自我评估可以是本章讨论的任何评估,但由内部人员进行。|
|PDD - 63的有效性如何?|PDD - 63在克林顿总统离任时失效,但乔治·W·布什总统签署了PDD - 1作为临时措施,以防止PDD - 63的意图落空。目前关键基础设施保护的权威文件是HSPD - 7。|
|能否使用DISA IAVA系统代替CVE?|可以,要求是使用行业标准。IAVA是国防部行业标准,而CVE是安全行业标准。重要的是为客户选择合适的标准并坚持使用。|
|如果CVEs是漏洞字典,ICAT是漏洞数据库,应该使用哪个?|建议使用ICAT,因为它提供的信息比CVE多,并且包含所有的CVEs。|
|为什么为每个发现的问题提供理由说明很重要?|每个发现问题的讨论部分很重要,可确保管理层有足够的信息做出良好的风险管理决策。考虑到评估结束30天后才提交报告,管理层可能在接下来的一两周内没有时间开始实施漏洞管理。管理者可能记不清简报中的内容,需要依赖管理员来填补空白。如果管理员不想修复某个问题,可能会影响管理层的决策。因此,需要提供足够的信息以做出良好的风险管理决策。|
|IPR真的有用吗?|是的。在简报结束时,客户想了解公司的情况。多年来,答案往往是评估者的个人意见,而IPR能客观地展示客户的情况。|
在信息安全领域,有多种工具可供选择。这些工具可分为以下几类:
1.
枚举、端口扫描和横幅抓取
:用于确定网络上每台机器正在监听的服务及其版本。
2.
SNMP扫描
:查看网络和主机设备的配置。
3.
无线枚举
:随着无线(802.11)网络的增加,了解如何扫描它们变得更加重要。
4.
漏洞扫描
:在了解网络连接的设备后,测试是否存在漏洞。
5.
主机评估
:许多漏洞是基于主机的攻击,这类工具从控制台测试机器。
6.
密码合规性测试
:验证用户是否遵守公司的密码策略。
7.
应用程序扫描
:许多应用程序存在安全漏洞,需要进行检查。
8.
网络嗅探
:通过嗅探网络了解公司的流量模式,判断是否存在恶意流量。
9.
渗透测试
:在明确要求时,帮助实际入侵网站。
10.
学习
:通过使用这些安全工具来学习,但不要在公司的生产网络上进行培训。
以下是对部分工具的详细介绍:
枚举、端口扫描和横幅抓取工具
-
SuperScan
- 网站 :www.foundstone.com/
- 操作系统 :Windows
- 它是Foundstone的免费软件工具,是运行在Windows操作系统上的图形化工具,速度快,可用于枚举、端口扫描和横幅抓取,还能生成漂亮的HTML报告。需要注意的是,Windows XP Service Pack 2会限制对原始端口的访问,运行前需执行“net stop SharedAccess”命令,且需要管理员权限。
-
Nmap
- 网站 :www.nmap.org/
- 操作系统 :Windows、UNIX、OS X
- 这是一个开源工具,可用于枚举、端口扫描、横幅抓取和版本识别。它内置了许多操作系统和应用程序的指纹数据库,能较准确地判断端口上监听的软件类型和版本以及底层操作系统。随着版本更新,其能准确识别的服务器和操作系统数量不断增加。虽然指纹识别很准确,但仍需确认输出结果。它是命令行工具,有Windows和XWindows的图形前端,但功能有限。此外,还有Perl模块Nmap::Scanner,可用于自动化扫描和输出,也可结合其他工具使用。另一个使用Nmap的工具是PBNJ,可利用Nmap扫描网络并结合Perl的数据库功能跟踪网络。例如,使用以下命令可扫描主机192.168.1.5,即使主机不响应ping命令:
nmap –sV –O –P0 192.168.1.5
SNMP扫描工具
-
SNScan
- 网站 :www.foundstone.com/
- 操作系统 :Windows
- 它是Foundstone开发的基于Windows的SNMP检测工具,能快速准确地识别网络上支持SNMP的设备。使用时,需将目标地址输入相应框,然后按箭头将地址移至目标列表。该工具仅枚举哪些IP地址响应哪些社区字符串,只查看六个主要的SNMP UDP端口:161、162、193、199、391和1993。
-
Net - SNMP
- 网站 :http://net - snmp.sourceforge.net/
- 操作系统 :Windows、UNIX、OS X
- 这是一套用于实现SNMP的应用程序,可在大多数操作系统上使用。其中,snmpget工具用于从单台机器下载SNMP信息,snmpwalk工具用于遍历多台机器。对于SNMP新手或需要复习的人,教程文档部分是很好的起点。例如,使用以下命令可通过SNMP v3连接到主机192.168.1.5,使用社区字符串ABCincRO,输出将为ASCII文本:
snmpwalk –c ABCincRO –Oa –v3 192.168.1.5 system
-
SolarWinds
- 网站 :www.solarwinds.net/
- 操作系统 :Windows
- SolarWinds提供许多商业应用程序,其工具集包含对网络、系统和安全管理员有用的工具。用于SNMP扫描的是IP Network Browser,它可输入多个目标和多个社区字符串,扫描过程中可实时查看结果并深入了解每个主机的情况。使用该工具还可从Cisco设备下载整个配置,如果IOS配置未正确设置密码加密,可通过点击“Decrypt Passwords”按钮快速解密密码。此外,SolarWinds还提供30天的工程师工具包评估版本以及一些免费工具,如子网计算器和TFTP服务器。
无线枚举工具
许多公司声称没有无线(802.11)网络,但员工可能会连接 rogue 接入点,因此即使公司表示没有无线网络,也最好进行扫描。无线枚举主要关注以下几点:
1. 是否有无线接入点连接到公司网络?
2. 是否有无线接入点伪装成公司接入点?
3. 公司环境范围内是否有配置了常见服务集标识符(SSIDs)的接入点,可能会使漫游笔记本自动连接?
无线扫描器分为被动和主动两种类型。被动扫描器不广播任何信息,仅监听电波;主动扫描器的无线网卡会广播一些信息。许多无线枚举工具支持连接GPS设备,以便绘制每个接入点的位置和覆盖范围。
-
Kismet
-
网站
:www.kismetwireless.net/
-
操作系统
:Windows、UNIX、OS X
- Kismet通过被动收集数据包来识别网络,可检测标准命名网络、隐藏网络(随着时间推移可揭露),并通过数据流量推断非信标网络的存在。它支持连接GPS接收器,能较好地绘制接入点的相对位置,还可结合区域航拍照片和彩色编码的覆盖范围,直观展示无线覆盖情况。不过,它对每个不同的发现都有声音反馈,会产生很大噪音,可使用“m”键静音。
-
KisMAC
-
网站
:http://kismac.de/
-
操作系统
:OS X
- 专为苹果电脑编写,是基于图形界面的被动无线扫描工具,类似于OS X上的Kismet。
-
AirMagnet
-
网站
:www.airmagnet.com
-
操作系统
:Windows
- 提供多种针对802.11无线网络管理的产品。Survey工具对规划和调整无线基础设施非常有用,可输入办公室的CAD图纸,找到接入点的最佳位置,也可绘制当前接入点的无线覆盖范围,且适用于多层建筑。此外,还有用于笔记本或手持设备的分析工具,可用于监控和故障排除。Enterprise工具可将无线监控与有线环境相结合,通过训练工具识别批准的无线设备,监控并关闭 rogue 设备,对于多地点的公司是很好的保护工具。
漏洞扫描工具
漏洞扫描器仅扫描已知漏洞,需注意漏洞与威胁的区别,漏洞是威胁可能用来破坏关键数据保密性、完整性和可用性的机制。每个漏洞扫描器都有其已知漏洞的数据库,默认情况下,它会扫描响应ping的IP地址,然后查找这些地址上的开放端口,对每个端口上运行的常见服务进行已知漏洞扫描。为提高效率,不应以默认状态运行这些工具,应根据扫描网络的已知变量进行配置,可使用枚举工具的输出结果来减少网络枚举时间,例如在仅使用Microsoft Windows的环境中关闭AIX扫描,可减少每台机器的测试数量。
-
Nessus
-
网站
:www.tenablesecurity.com/
-
操作系统
:Windows、UNIX、OS X
- 是当前漏洞扫描器的领导者。Nessus版本2的扫描引擎是100%的GPL代码,使用Tenable的漏洞数据库(Tenable拥有版权)。版本3的Nessus漏洞数据库是免费和商业的混合体,可免费下载版本3的二进制文件,然后根据需求选择合适的数据库版本。实际的Nessus应用程序是免费的,数据库部分有免费和商业版本,免费版本的数据库比商业版本晚七天更新,使用免费版本仍需向Tenable注册Nessus安装。版本3的二进制文件适用于UNIX、Windows和Macintosh。对于大型网络扫描,可在网络周围部署Nessus守护进程,并通过Security Center进行集中控制,分布式扫描有助于缓解网络瓶颈。
-
Saint
-
网站
:www.saintcorporation.com/
-
操作系统
:Linux、Solaris、FreeBSD、OS X
- Saint工具已有十多年历史,最初是开源应用程序,后来发展为商业应用程序,高效且有效。其界面是Web浏览器,可使用集成的SaintWriter工具创建漂亮的报告。
-
IBM Internet Scanner Software (ISS)
-
网站
:www.iss.net/
-
操作系统
:Windows
- 该工具始于1992年的免费工具,1994年成立的Internet Security Systems公司将其商业化后,公司发展成为价值数十亿美元的企业,最近被IBM收购。ISS可识别1300多种类型的系统,识别网络设备后,会对每个设备进行漏洞扫描。
-
eEye Retina Network Security Scanner
-
网站
:www.eeye.com/
-
操作系统
:Windows
- eEye是一家专门发现漏洞的知名安全公司,其漏洞扫描工具基于自身的漏洞数据库构建,扫描速度快、效率高,据称可在不到15分钟内扫描整个C类网络。
主机评估工具
主机评估需要在每台机器上运行,这些工具用于查找操作系统和应用程序的常见配置缺陷。每个工具的结果基于程序员的观点,因此不能用于比较不同组织的机器。主机评估非常重要,因为操作系统和应用程序的配置是最后一层技术防御。
-
CIS Scripts
-
网站
:www.cisecurity.com
-
操作系统
:Windows、UNIX、OS X
- 互联网安全中心(CIS)是一个非营利组织,其使命是帮助企业改善安全态势。其基准工具可帮助配置多种操作系统,这些工具被美国政府接受用于合规性测试。使用这些工具强化操作系统可减少许多攻击途径。
总之,信息安全评估和工具的选择与使用对于保护企业网络安全至关重要。企业应根据自身需求和网络环境,合理选择和配置工具,定期进行评估和漏洞管理,以确保安全态势的持续改善。
信息安全评估与工具全解析
密码合规性测试工具
密码合规性测试的目的并非破解密码,而是验证用户是否遵循了公司的密码政策。虽然文中未详细提及具体工具,但此类测试一般可按照以下步骤进行:
1.
定义密码策略
:明确公司对密码长度、复杂度(包含字母、数字、特殊字符等)、使用周期等方面的要求。
2.
收集用户密码样本
:在不违反隐私和安全原则的前提下,获取部分用户的密码进行测试。
3.
进行合规性检查
:使用自动化脚本或工具,将收集到的密码与公司的密码策略进行比对,标记出不符合要求的密码。
4.
生成报告
:总结测试结果,列出不符合密码策略的用户和具体问题,为后续的整改提供依据。
应用程序扫描工具
许多应用程序存在安全漏洞,需要进行专门的扫描来发现和修复。应用程序扫描通常包括以下几个方面:
1.
输入验证检查
:检查应用程序是否对用户输入进行了有效的验证,防止SQL注入、跨站脚本攻击(XSS)等。
2.
会话管理检查
:确保应用程序的会话管理机制安全,避免会话劫持等问题。
3.
文件包含漏洞检查
:查找应用程序中是否存在文件包含漏洞,防止攻击者通过包含恶意文件来执行任意代码。
4.
代码审计
:对应用程序的源代码进行审查,发现潜在的安全漏洞。
虽然文中未提及具体的应用程序扫描工具,但市场上有许多知名的工具可供选择,如Acunetix、AppScan等。这些工具可以自动化地进行应用程序扫描,并生成详细的报告。
网络嗅探工具
网络嗅探是了解公司网络流量模式、判断是否存在恶意流量的重要手段。网络嗅探工具可以捕获网络数据包,并对其进行分析。常见的网络嗅探工具包括:
1.
Wireshark
-
网站
:www.wireshark.org/
-
操作系统
:Windows、UNIX、OS X
- Wireshark是一款功能强大的开源网络协议分析器,可用于捕获和分析网络数据包。它支持多种网络协议,能够深入分析数据包的内容,帮助用户发现网络中的异常流量和安全问题。
2.
tcpdump
-
操作系统
:UNIX、Linux
- tcpdump是一款基于命令行的网络数据包捕获工具,可在UNIX和Linux系统上使用。它可以捕获指定网络接口上的数据包,并将其输出到控制台或文件中,方便用户进行后续分析。
渗透测试工具
渗透测试是在明确授权的情况下,模拟攻击者的行为,尝试入侵网站或系统,以发现潜在的安全漏洞。常见的渗透测试工具包括:
1.
Metasploit
-
网站
:www.metasploit.com/
-
操作系统
:Windows、UNIX、OS X
- Metasploit是一款开源的渗透测试框架,提供了丰富的漏洞利用模块和工具。它可以帮助安全人员快速发现和利用系统中的漏洞,进行安全评估和测试。
2.
Burp Suite
-
网站
:portswigger.net/burp
-
操作系统
:Windows、UNIX、OS X
- Burp Suite是一款用于Web应用程序安全测试的集成平台,可用于发现和利用Web应用程序中的安全漏洞,如SQL注入、XSS等。
学习工具使用的方法
学习使用这些安全工具是信息安全专业人员的重要任务。为了避免对公司生产网络造成影响,建议在测试环境中进行学习和实践。以下是一些学习工具使用的建议:
1.
阅读文档和教程
:每个工具都有详细的文档和教程,通过阅读这些资料可以了解工具的基本功能和使用方法。
2.
参加培训课程
:可以参加专业的培训课程,由经验丰富的讲师进行指导,更快地掌握工具的使用技巧。
3.
实践操作
:通过实际操作工具,不断尝试不同的功能和参数设置,加深对工具的理解和掌握。
4.
参与社区和论坛
:加入相关的社区和论坛,与其他安全专业人员交流经验和心得,获取最新的工具使用技巧和安全信息。
工具选择与使用的综合考虑
在选择和使用信息安全工具时,需要综合考虑以下几个因素:
1.
网络环境
:不同的网络环境(如企业网络、数据中心网络、无线网络等)对工具的要求不同,需要选择适合当前网络环境的工具。
2.
安全需求
:根据企业的安全目标和需求,确定需要重点关注的安全领域,如漏洞扫描、主机评估、网络嗅探等,选择相应的工具。
3.
工具功能和性能
:评估工具的功能是否满足需求,以及工具的性能是否稳定、高效。例如,对于大型网络的漏洞扫描,需要选择具有分布式扫描功能的工具,以提高扫描效率。
4.
兼容性
:确保所选工具与企业现有的操作系统、应用程序和网络设备兼容,避免出现兼容性问题。
5.
成本
:考虑工具的购买成本、使用成本和维护成本,选择性价比高的工具。
总结与建议
信息安全是一个复杂而重要的领域,信息安全评估和工具的选择与使用对于保护企业网络安全至关重要。为了确保企业的安全态势,建议采取以下措施:
1.
定期进行安全评估
:定期对企业的网络和系统进行安全评估,及时发现和修复潜在的安全漏洞。
2.
合理选择和配置工具
:根据企业的网络环境、安全需求和预算,合理选择和配置信息安全工具,并确保工具的正确使用。
3.
加强员工安全意识培训
:提高员工的安全意识,教育员工正确使用密码、避免点击可疑链接等,减少人为因素导致的安全风险。
4.
建立应急响应机制
:制定完善的应急响应计划,在发生安全事件时能够迅速响应,减少损失。
以下是一个简单的信息安全工具使用流程的mermaid流程图:
graph LR
A[确定安全需求] --> B[选择合适工具]
B --> C[配置工具参数]
C --> D[执行工具扫描]
D --> E[分析扫描结果]
E --> F{是否存在漏洞?}
F -- 是 --> G[修复漏洞]
F -- 否 --> H[结束]
G --> D
通过以上的介绍和分析,希望能够帮助读者更好地了解信息安全评估和工具的相关知识,在实际工作中合理选择和使用工具,保障企业的网络安全。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
