OnWorks Linux dan Windows Online Workstations

logo

Pengehosan Dalam Talian Percuma untuk Workstation

<Sebelum | Contents [show] | Seterusnya>

11.2.1. Penilaian Kerentanan‌


A kelemahan dianggap sebagai kelemahan yang boleh digunakan dalam beberapa cara untuk menjejaskan kerahsiaan, integriti atau ketersediaan sistem maklumat. Dalam penilaian kerentanan, objektif anda adalah untuk mencipta inventori mudah kelemahan yang ditemui dalam persekitaran sasaran. Konsep persekitaran sasaran ini amat penting. Anda mesti memastikan untuk kekal dalam skop rangkaian sasaran pelanggan anda dan objektif yang diperlukan. Merayap di luar skop penilaian boleh menyebabkan gangguan perkhidmatan, pecah amanah dengan pelanggan anda atau tindakan undang-undang terhadap anda dan majikan anda.

Disebabkan kesederhanaan relatifnya, ujian kerentanan sering diselesaikan dalam persekitaran yang lebih matang secara tetap sebagai sebahagian daripada menunjukkan usaha wajar mereka. Dalam kebanyakan kes, alat automatik, seperti yang terdapat dalam Analisis Keterdedahan7 dan Aplikasi Web8 kategori tapak Kali Tools dan menu Aplikasi desktop Kali, digunakan untuk menemui sistem langsung dalam persekitaran sasaran, mengenal pasti perkhidmatan mendengar dan menghitungnya untuk menemui sebanyak mungkin maklumat seperti perisian pelayan, versi, platform dan sebagainya. .

Maklumat ini kemudiannya disemak untuk tandatangan yang diketahui tentang potensi isu atau kelemahan. Tandatangan ini terdiri daripada gabungan titik data yang bertujuan untuk mewakili isu yang diketahui. Berbilang titik data digunakan, kerana lebih banyak titik data yang anda gunakan, lebih tepat pengenalannya. Sebilangan besar titik data berpotensi wujud, termasuk tetapi tidak terhad kepada:

• Versi Sistem Pengendalian: Selalunya perisian terdedah pada satu versi sistem pengendalian tetapi tidak pada versi lain. Oleh sebab itu, pengimbas akan cuba menentukan, setepat mungkin, versi sistem pengendalian yang mengehos aplikasi yang disasarkan.

• Tahap Patch: Banyak kali, patch untuk sistem pengendalian akan dikeluarkan yang tidak meningkatkan maklumat versi, tetapi masih mengubah cara kelemahan akan bertindak balas, atau bahkan menghapuskan kelemahan sepenuhnya.

• Seni Bina Pemproses: Banyak aplikasi perisian tersedia untuk berbilang seni bina pemproses seperti Intel x86, Intel x64, berbilang versi ARM, UltraSPARC dan sebagainya.


gambar

5https://en.wikipedia.org/wiki/Executable_space_protection#Windows 6https://en.wikipedia.org/wiki/Address_space_layout_randomization 7http://tools.kali.org/category/vulnerability-analysis 8http://tools.kali.org/category/web-applications‌‌‌

Dalam sesetengah kes, kelemahan hanya akan wujud pada seni bina tertentu, jadi mengetahui sedikit maklumat ini boleh menjadi kritikal untuk tandatangan yang tepat.

• Versi Perisian: Versi perisian yang disasarkan adalah salah satu item asas yang perlu ditangkap untuk mengenal pasti kelemahan.

Ini, dan banyak titik data lain, akan digunakan untuk membuat tandatangan sebagai sebahagian daripada imbasan kerentanan. Seperti yang dijangkakan, lebih banyak titik data yang sepadan, lebih tepat tandatangan itu. Apabila berurusan dengan padanan tandatangan, anda boleh mempunyai beberapa hasil yang berpotensi berbeza:

• Positif Benar: Tandatangan dipadankan dan ia menangkap kelemahan sebenar. Keputusan ini ialah keputusan yang anda perlu buat susulan dan betulkan, kerana ini adalah item yang boleh dimanfaatkan oleh individu yang berniat jahat untuk menyakiti organisasi anda (atau pelanggan anda).

• Positif Palsu: Tandatangan dipadankan; namun isu yang dikesan bukanlah kelemahan sebenar. Dalam penilaian, ini sering dianggap bunyi bising dan boleh mengecewakan. Anda tidak sekali-kali mahu mengetepikan positif benar sebagai positif palsu tanpa pengesahan yang lebih meluas.

• Negatif Benar: Tandatangan tidak dipadankan dan tiada kelemahan. Ini adalah senario yang ideal, mengesahkan bahawa kelemahan tidak wujud pada sasaran.

• Negatif Palsu: Tandatangan tidak dipadankan tetapi terdapat kelemahan sedia ada. Seburuk-buruk positif palsu, negatif palsu adalah lebih teruk. Dalam kes ini, masalah wujud tetapi pengimbas tidak mengesannya, jadi anda tidak mempunyai petunjuk tentang kewujudannya.

Seperti yang anda boleh bayangkan, ketepatan tandatangan adalah sangat penting untuk hasil yang tepat. Lebih banyak data yang disediakan, lebih besar peluang untuk mendapatkan hasil yang tepat daripada imbasan berasaskan tandatangan automatik, itulah sebabnya imbasan yang disahkan selalunya begitu popular.

Dengan imbasan yang disahkan, perisian pengimbasan akan menggunakan kelayakan yang disediakan untuk mengesahkan kepada sasaran. Ini memberikan tahap keterlihatan yang lebih mendalam ke dalam sasaran daripada yang mungkin. Sebagai contoh, pada imbasan biasa anda hanya boleh mengesan maklumat tentang sistem yang boleh diperolehi daripada perkhidmatan mendengar dan fungsi yang mereka sediakan. Ini boleh menjadi sedikit maklumat kadang-kadang tetapi ia tidak dapat bersaing dengan tahap dan kedalaman data yang akan diperoleh jika anda mengesahkan sistem dan menyemak secara menyeluruh semua perisian yang dipasang, tampung yang digunakan, proses berjalan dan sebagainya. . Keluasan data ini berguna untuk mengesan kelemahan yang mungkin tidak ditemui.

Penilaian kelemahan yang dijalankan dengan baik membentangkan gambaran masalah yang berpotensi dalam organisasi dan menyediakan metrik untuk mengukur perubahan dari semasa ke semasa. Ini adalah penilaian yang agak ringan, tetapi walaupun begitu, banyak organisasi akan kerap melakukan imbasan kelemahan automatik pada waktu luar untuk mengelakkan masalah yang mungkin berlaku pada hari ketika ketersediaan perkhidmatan dan lebar jalur adalah paling kritikal.

Seperti yang dinyatakan sebelum ini, imbasan kelemahan perlu menyemak banyak titik data yang berbeza untuk mendapatkan hasil yang tepat. Semua semakan berbeza ini boleh membuat beban pada sistem sasaran serta menggunakan lebar jalur. Malangnya, sukar untuk mengetahui dengan tepat berapa banyak sumber yang akan digunakan pada sasaran kerana ia bergantung pada bilangan perkhidmatan terbuka dan jenis

pemeriksaan yang akan dikaitkan dengan perkhidmatan tersebut. Ini adalah kos untuk melakukan imbasan; ia akan menduduki sumber sistem. Mempunyai idea umum tentang sumber yang akan digunakan dan jumlah beban yang boleh diambil oleh sistem sasaran adalah penting semasa menjalankan alatan ini.


Mengimbas Benang Kebanyakan pengimbas kerentanan termasuk pilihan untuk ditetapkan benang setiap imbasan, yang bersamaan dengan bilangan semakan serentak yang berlaku pada satu masa. Meningkatkan bilangan ini akan memberi kesan langsung pada beban pada platform penilaian serta rangkaian dan sasaran yang anda berinteraksi. Ini penting untuk diingat semasa anda menggunakan pengimbas ini. Adalah menarik untuk meningkatkan benang untuk menyelesaikan imbasan dengan lebih cepat tetapi ingat peningkatan beban yang ketara yang dikaitkan dengan berbuat demikian.

Mengimbas Benang Kebanyakan pengimbas kerentanan termasuk pilihan untuk ditetapkan benang setiap imbasan, yang bersamaan dengan bilangan semakan serentak yang berlaku pada satu masa. Meningkatkan bilangan ini akan memberi kesan langsung pada beban pada platform penilaian serta rangkaian dan sasaran yang anda berinteraksi. Ini penting untuk diingat semasa anda menggunakan pengimbas ini. Adalah menarik untuk meningkatkan benang untuk menyelesaikan imbasan dengan lebih cepat tetapi ingat peningkatan beban yang ketara yang dikaitkan dengan berbuat demikian.


Apabila imbasan kerentanan selesai, isu yang ditemui biasanya dipautkan kembali kepada pengecam standard industri seperti nombor CVE9, EDB-ID10, dan nasihat vendor. Maklumat ini, bersama-sama dengan kelemahan skor CVSS11, digunakan untuk menentukan penarafan risiko. Bersama-sama dengan negatif palsu (dan positif palsu), penilaian risiko sewenang-wenang ini adalah isu biasa yang perlu dipertimbangkan semasa menganalisis keputusan imbasan.

Memandangkan alat automatik menggunakan pangkalan data tandatangan untuk mengesan kelemahan, sebarang sisihan sedikit daripada tandatangan yang diketahui boleh mengubah keputusan dan begitu juga kesahihan kelemahan yang dirasakan. Positif palsu secara tidak betul menandakan kelemahan yang tidak wujud, manakala negatif palsu secara berkesan buta terhadap kelemahan dan tidak melaporkannya. Oleh sebab itu, pengimbas sering dikatakan hanya sebaik asas peraturan tandatangannya. Atas sebab ini, banyak vendor menyediakan beberapa set tanda-tanda: satu set yang mungkin percuma kepada pengguna di rumah dan satu lagi set yang agak mahal yang lebih komprehensif, yang biasanya dijual kepada pelanggan korporat.

Isu lain yang sering dihadapi dengan imbasan kerentanan ialah kesahihan penarafan risiko yang dicadangkan. Penarafan risiko ini ditakrifkan secara generik, dengan mengambil kira banyak faktor berbeza seperti tahap keistimewaan, jenis perisian dan pra atau pasca pengesahan. Bergantung pada persekitaran anda, penilaian ini mungkin terpakai atau tidak, jadi ia tidak boleh diterima secara membuta tuli. Hanya mereka yang mahir dalam sistem dan kelemahan yang boleh mengesahkan penilaian risiko dengan betul.

Walaupun tiada perjanjian yang ditakrifkan secara universal mengenai penarafan risiko, penerbitan Khas NIST 800-3012 disyorkan sebagai garis dasar untuk penilaian penilaian risiko dan ketepatannya dalam persekitaran anda. NIST SP 800-30 mentakrifkan risiko sebenar kelemahan yang ditemui sebagai gabungan kemungkinan berlaku dan kesan yang berpotensi.



9https://cve.mitre.org 10https://www.exploit-db.com/about/ 11https://www.first.org/cvss‌‌

12http://csrc.nist.gov/publications/PubsSPs.html#800-30

 

Kemungkinan BerlakuKesanRisiko KeseluruhanDalam Ringkasan

  

 

<Sebelum | Contents [show] | Seterusnya>

  

Pengkomputeran Awan OS teratas di OnWorks: