博客
什么是漏洞?
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

在  网络安全,漏洞是一个弱点,可能是 被剥削 由一个 网络攻击 获得对计算机系统的未经授权的访问或对其执行未经授权的操作。漏洞可能允许攻击者运行代码,访问系统's memory, install 恶意软件并窃取,销毁或修改 敏感数据.

要利用漏洞,攻击者必须能够连接到计算机系统。可以通过多种方法利用漏洞,包括 SQL注入,缓冲区溢出, 跨站点脚本(XSS) 和开源漏洞利用工具包,用于查找Web应用程序中的已知漏洞和安全漏洞。 

漏洞定义

漏洞有很多定义:

  • 美国国家标准技术研究院(NIST): 信息系统,系统安全性程序,内部控制或实施中的弱点可能被威胁源利用或触发。
  • ISO 27005: 一项或多项资产可以被一个或多个利用的弱点 网络威胁 资产是对组织,其业务运营及其连续性有价值的任何事物,包括支持组织的信息资源's mission.
  • IETF RFC 4949: 系统的缺陷或弱点'可能被利用来破坏系统的设计,实施或运营和管理's 安全政策.
  • ENISA: 存在弱点,设计或实现错误,可能导致意外的不良事件,从而损害所涉及的计算机系统,网络,应用程序或协议的安全性。 
  • 公开组: 威胁能力超过抵抗威胁的能力的可能性。
  • 信息风险因素分析: 资产无法抵御威胁代理的行为的可能性。
  • ISACA: 设计,实施,操作或内部控制方面的弱点

是否应该公开披露已知漏洞?

是否公开披露已知漏洞仍然是一个有争议的问题:

  • 立即全面披露: 一些网络安全专家主张立即披露信息,包括有关如何利用此漏洞的特定信息。立即披露的支持者认为,它可以带来安全的软件和更快的修补程序,从而改善软件安全性,应用程序安全性,计算机安全性,操作系统安全性和 信息安全.
  • 限于不公开: 其他人则反对漏洞披露,因为他们认为漏洞将被利用。公开程度有限的支持者认为,将信息限制在特定人群中可以降低利用风险。

像大多数参数一样,双方都有有效的参数。

无论您站在哪一边,都知道'现在,对于友好的攻击者和网络犯罪分子而言,定期搜索漏洞并测试已知漏洞利用非常普遍。

一些公司拥有内部安全团队,其职责是测试组织的IT安全和其他安全措施,作为其整体的一部分 信息风险管理 and 网络安全风险评估 process. 

一流的公司提供漏洞赏金,以鼓励任何人发现漏洞并向他们报告漏洞,而不是加以利用。错误赏金计划非常有用,可以最大程度地降低您的组织加入我们的列表中的风险。 最大的数据泄露

通常,漏洞赏金计划的支付额将与组织的规模,利用漏洞的难度以及漏洞的影响相称。例如,找到一个 资料泄漏 of 个人身份信息(PII) 拥有Bug赏金计划的财富500强公司的价值要高于 数据泄露 您当地的专卖店。 

脆弱性和风险之间有什么区别?

网络安全风险 通常被归类为漏洞。但是,脆弱性和风险不是一回事,这可能导致混乱。

将风险视为漏洞被利用的可能性和影响。

如果漏洞利用的影响和可能性很小,那么风险就很小。相反,如果漏洞被利用的影响和可能性很高,那么风险就很高。 

通常,网络攻击的影响可以与 CIA三合会或机密性,完整性或可用性 资源。按照这种推理方法,在某些情况下,常见漏洞不会带来任何风险。例如,当带有漏洞的信息系统对您的组织没有价值时。

漏洞何时可以被利用?

至少已知一个有效的漏洞 攻击载体 被归类为可利用漏洞。漏洞窗口是指从引入漏洞到修补漏洞的时间。  

如果您具有严格的安全性惯例,那么您的组织将无法利用许多漏洞。

例如,如果您已正确配置 S3安全 则降低了数据泄漏的可能性。 检查您的S3权限,否则其他人会.

同样,您可以减少 第三方风险 and 第四方风险 with 第三方风险管理 and 供应商风险管理 strategies.

什么是零日攻击?

零日漏洞利用(或零日漏洞) 利用零日漏洞。零日(或零日)漏洞是要修补该漏洞的人员不知道或未解决的漏洞。

在修补此漏洞之前,攻击者可以利用它对计算机程序,数据仓库,计算机或网络产生不利影响。 

"Day Zero"是相关方了解该漏洞并进行补丁或替代方法以避免利用的日子。

要了解的关键是,从零日到现在的天数越少,没有补丁或缓解措施发生的可能性就越高,成功攻击的风险就越高。

是什么导致漏洞?

造成漏洞的原因有很多,其中包括:

  • 复杂: 复杂的系统会增加出现缺陷,配置错误或意外访问的可能性。
  • 熟悉度: 通用代码,软件,操作系统和硬件会增加攻击者发现或具有已知漏洞信息的可能性。
  • 连接性: 设备的连接越多,出现漏洞的可能性就越高。
  • 密码管理不善: 弱密码可以用 蛮力 重用密码可能会导致一次数据泄露事件增多。
  • 操作系统缺陷: 像任何软件一样,操作系统也可能存在缺陷。默认情况下不安全并为所有用户提供完全访问权限的操作系统可能允许病毒和恶意软件执行命令。
  • 互联网使用情况: 互联网充满了 间谍软件 以及可以在计算机上自动安装的广告软件。
  • 软件错误: 程序员可能会意外或故意在软件中留下可利用的漏洞。
  • 未经检查的用户输入: 如果您的网站或软件假定所有输入都是安全的,则可能会执行意外的SQL命令。
  • 人: 任何组织中最大的漏洞是系统末端的人员。 社会工程学 是对大多数组织的最大威胁。 

什么是漏洞管理?

漏洞管理 是识别,分类,补救和缓解安全漏洞的一种周期性做法。漏洞管理的基本要素包括漏洞检测, 漏洞评估 和补救。 

漏洞检测方法包括:

一旦发现漏洞,它将通过漏洞评估过程:

  • 识别漏洞: 分析网络扫描,笔测试结果,防火墙日志和漏洞扫描结果,以发现表明网络攻击可以利用漏洞的异常。
  • 验证漏洞: 确定是否可以利用已识别的漏洞,并对漏洞的严重程度进行分类,以了解风险级别
  • 缓解漏洞: 确定对策以及在没有补丁的情况下如何衡量其有效性。
  • 修复漏洞: 尽可能更新受影响的软件或硬件。

由于网络攻击在不断发展,因此漏洞管理必须是连续不断的实践,以确保您的组织受到保护。

什么是漏洞扫描?

漏洞扫描程序是旨在评估计算机,网络或应用程序中已知漏洞的软件。他们可以识别和检测由于网络中的错误配置和有缺陷的编程而引起的漏洞,并执行经过身份验证和未经身份验证的扫描:

  • 认证扫描: 允许漏洞扫描程序使用诸如安全外壳(SSH)或远程桌面协议(RDP)之类的远程管理协议直接访问网络资产,并使用提供的系统凭据进行身份验证。这样就可以访问底层数据,例如特定服务和配置详细信息,提供有关操作系统,已安装软件,配置问题和缺少安全补丁程序的详细而准确的信息。
  • 未经身份验证的扫描: 结果是误报和有关操作系统和已安装软件的不可靠信息。网络攻击者和安全分析人员通常使用此方法来尝试确定 安全态势 外部资产并查找可能的数据泄漏。 

什么是渗透测试?

渗透测试,也称为笔测试或道德黑客,是一种测试信息技术资产以发现攻击者可以利用的安全漏洞的做法。渗透测试可以通过软件自动执行或手动执行。

无论哪种方式,该过程都是收集有关目标的信息,识别可能的漏洞并尝试利用它们并报告发现的结果。 

渗透测试也可以用于测试组织'的安全策略,遵守合规性要求,员工安全意识和组织'识别和响应安全事件的能力。 

什么是Google骇客?

Google骇客是指使用搜寻引擎,例如Google或Microsoft's Bing,以查找安全漏洞。通过在查询中使用高级搜索运算符来查找难以找到的信息或由于云服务配置错误而意外暴露的信息,从而实现Google黑客攻击。

安全研究人员和攻击者使用这些有针对性的查询来查找不打算向公众公开的敏感信息。

这些漏洞通常分为两种类型:

  1. 软件漏洞
  2. 配置错误

也就是说,绝大多数攻击者将倾向于搜索他们已经知道如何利用的常见用户错误配置,并简单地扫描具有已知安全漏洞的系统。

为了防止Google遭到黑客入侵,您必须确保正确配置了所有云服务。一旦有东西暴露给谷歌,它'公众是否喜欢。

是的,Google会定期清除其缓存,但是在此之前,您的敏感文件才会向公众公开。

什么是漏洞数据库?

漏洞数据库是一个收集,维护和共享有关已发现漏洞的信息的平台。 MITRE是最大的 CVE或常见漏洞和披露 并分配一个通用漏洞评分系统(CVSS)分数,以反映漏洞可能给您的组织带来的潜在风险。

CVE的中央列表是许多漏洞扫描程序的基础。

公共漏洞数据库的好处在于,它使组织能够开发,确定优先级并执行补丁程序和其他缓解措施,以纠正关键漏洞。

也就是说,它们还可能导致从匆忙发布的补丁中创建其他漏洞,这些补丁修复了第一个漏洞,但创建了另一个漏洞。

参见上面关于完全公开与有限公开的论点。 

漏洞数据库中的常见漏洞列表包括: 

  • 初始部署失败: 数据库的功能可能看起来不错,但是如果没有严格的测试,则漏洞可能会使攻击者渗透。安全控制欠佳,密码不正确或默认安全设置可能会导致敏感内容变为公开访问。 
  • SQL注入 数据库攻击通常记录在漏洞数据库中。
  • 配置错误: 公司通常无法正确配置其云服务,从而使它们容易受到攻击,并且通常可以公开访问。
  • 审核不足: 未经审核,它'很难知道数据是否已被修改或访问。漏洞数据库已经发布了审计跟踪作为阻止网络攻击的重要意义。

漏洞示例

漏洞可分为六大类:

  1. 硬件: 易受潮,灰尘,污物,自然灾害,不良 加密 或固件漏洞。
  2. 软件: 测试不足,缺乏审计跟踪,设计缺陷,违反内存安全性(缓冲区溢出,过度读取,指针悬空),输入验证错误(代码注入,跨站点脚本(XSS),目录遍历,电子邮件注入,格式字符串攻击,HTTP标头注入,HTTP响应拆分,SQL注入),权限混淆错误(点击劫持,跨站点请求伪造,FTP反弹攻击),竞争条件(符号链接竞争,使用时间检查错误,侧通道攻击,定时攻击和用户界面故障(责备受害者,比赛条件,警告疲劳)。
  3. 网络: 未受保护的通讯线路, 中间人攻击,网络架构不安全,缺少身份验证或默认身份验证。
  4. 人员: 较差的招聘政策,缺乏安全意识和培训,对安全培训的依从性差,密码管理不善或通过电子邮件附件下载恶意软件。
  5. 物理站点: 遭受自然灾害,电源不可靠或无法使用钥匙卡的区域。
  6. 组织: 缺乏审核,连续性计划,安全性或 事件响应计划.

UpGuard如何帮助保护您的组织免受漏洞侵害

UpGuard helps companies like 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA保护其数据, 防止数据泄露.

我们的平台显示您和您的供应商容易受到漏洞攻击的位置。 UpGuard BreachSight can help combat 抢注, 避免 数据泄露 and 数据泄漏,避免监管罚款并保护您的客户'通过网络安全等级和持续暴露检测获得信任。 

我们也可以为您提供帮助 持续监控,评估安全问卷并将其发送给您的供应商 to control 第三方风险 and 第四方风险 并改善您的安全状况,以及 自动创建清单,执行策略并检测对IT基础架构的意外更改。帮助您扩大规模 供应商风险管理第三方风险管理 and 网络安全风险评估 processes.

网络安全变得越来越重要 than ever before.

立即预订演示。

免费电子书

行政人员's网络风险管理指南

了解作为主管的您如何管理整个组织中的网络风险。
白色UpGuard徽标
行政人员's网络风险管理指南
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状