博客
什么是漏洞?
摘要形状摘要形状

网络安全,漏洞是一种弱点,可以由网络犯罪分子利用,以获得对计算机系统的未经授权访问。在利用漏洞之后,一个Cyber​​Attack可以运行恶意代码,安装 恶意软件 甚至偷窃 敏感数据

可以通过各种方法利用漏洞,包括 SQL注入,缓冲区溢出, 跨站点脚本(XSS) 和寻找Web应用程序中的已知漏洞和安全弱点的开源开发套件

许多漏洞影响了流行的软件,将许多客户放置使用该软件以提高的风险 数据泄露, 或者 供应链攻击。这些零日的漏洞被斜斜肌登记为a 常见的漏洞暴露 (CVE)。

漏洞定义

有许多脆弱性定义。以下是各种网络安全机构的定义列表。

  • 国家标准与技术研究所(NIST): 信息系统中的弱点,系统安全程序,内部控制或实现可以被威胁源利用或触发。
  • ISO 27005: 可以通过一个或多个利用的资产或资产组的弱点 网络威胁 资产是对组织有价值的任何东西,其业务运营及其连续性,包括支持本组织的信息资源's mission.
  • IETF RFC 4949: 系统中的缺陷或弱点'S的设计,实现或操作和管理可以被利用以违反系统's 安全政策.
  • 恩莎: 存在弱点,设计或实现错误,可以导致意外,不良事件损害所涉及的计算机系统,网络,应用程序或协议的安全性。 
  • 开放组: 威胁能力超出抵制威胁的能力的概率。
  • 因素分析信息风险: 资产将无法抵制威胁代理人的行动的可能性。
  • Isaca: 设计,实施,操作或内部控制方面的弱点

应已知的漏洞应该公开披露?

是否公开披露已知的漏洞仍然是一个有争议的问题。有两个选项:

立即全面披露

一些网络安全专家认为,立即披露,包括有关如何利用漏洞的具体信息。立即披露的支持者认为它导致安全软件和更快的修补改善软件安全,应用程序安全性,计算机安全性,操作系统安全性和更快的修补程序 信息安全.

仅限于尚未披露

而其他人则反对漏洞披露,因为他们认为漏洞将被利用。有限披露的支持者认为限制选择组的信息可降低利用的风险。

与大多数参数一样,双方都有有效的参数。

无论你在哪一边都知道它'现在是友好攻击者和网络罪犯的常见,以定期搜索漏洞和测试已知的漏洞利用。

有些公司拥有内部的安全团队,其工作是将组织的安全和其他安全措施作为其整体的一部分测试  信息风险管理 and 网络安全风险评估 process. 

最佳公司提供Bug奖金,以鼓励任何人查找并报告漏洞,而不是利用它们。 BUG赏金计划很棒,有助于最大限度地降低组织加入我们的列表的风险 最大的数据违规行为

通常,错误赏金计划的付款金额将与组织的大小相称,利用漏洞的难度和漏洞的影响。例如,找到一个 数据泄漏 of 个人身份信息(PII) 一个有一个Bug Bounty计划的财富500强公司的价值比a更高  数据泄露 你当地的角落商店。 

脆弱性和风险之间有什么区别?

网络安全风险 通常被归类为漏洞。然而,脆弱性和风险不一样,这可能导致混淆。

将风险视为漏洞被剥削的概率和影响。

如果漏洞的漏洞的影响和概率很低,则风险很低。反向,如果漏洞的漏洞的影响和概率很高,那么风险很高。 

通常,网络攻击的影响可以束缚 CIA三合会或机密性,完整性或可用性 资源。在这次推理训练之后,存在普通漏洞的情况下没有风险。例如,当带有漏洞的信息系统对您的组织没有值。

漏洞什么时候成为可利用的?

至少有一个已知的工作的漏洞 攻击矢量 被归类为可利用的漏洞。漏洞窗口是从漏洞被引入时漏洞时的时间。 

如果您有强有力的安全实践,那么许多漏洞都不会为您的组织提供利用。

例如,如果您已正确配置 S3安全 然后降低了泄漏数据的概率。 检查您的S3权限或其他人会.

同样,你可以减少 第三方风险 and 第四方风险 with 第三方风险管理 and 供应商风险管理 strategies.

什么是零点利用?

零点利用(或零天) 利用零天脆弱性。零天(或0天)漏洞是一种脆弱性,或者是那些想要的人或不明的漏洞 补丁漏洞.

在修补漏洞之前,攻击者可以利用它对计算机程序,数据仓库,计算机或网络产生不利影响。 

"Day Zero"是感兴趣的政党了解漏洞的日子,导致修补程序或解决方法来避免开发。

要理解的关键是自零年以来的日子越少,没有开发斑块或缓解的可能性越高,成功攻击的风险越高。

什么导致漏洞?

漏洞有很多原因,包括:

复杂

复杂系统增加了缺陷,错误配置或意外访问的概率。

熟悉

通用代码,软件,操作系统和硬件增加攻击者可以找到或有关于已知漏洞的信息的概率。

连通性

设备越多的漏洞机会越高。

密码管理差

弱密码可以打破 蛮力 重用密码可能导致一个数据违规可能会成为许多数据。

操作系统缺陷

与任何软件一样,操作系统可能有缺陷。默认情况下不安全的操作系统并为所有用户提供完全访问权限可以允许病毒和恶意软件执行命令。

互联网使用率

互联网充满了 间谍软件 和可在计算机上自动安装的广告软件。

软件错误

程序员可以意外地或故意在软件中留下可利用的错误。

未选用的用户输入

如果您的网站或软件假设所有输入是安全的,它可能会执行意外的SQL命令。

人们

任何组织中最大的漏洞就是系统末尾的人。 社会工程学 对大多数组织来说是最大的威胁。 

什么是漏洞管理?

漏洞管理 是识别,分类,修复和减轻安全漏洞的周期性实践。漏洞管理的基本要素包括漏洞检测, 漏洞评估 和 remediation. 

漏洞检测方法包括:

发现漏洞后,它会通过漏洞评估过程:

  • 识别漏洞: 分析网络扫描,笔测试结果,防火墙日志和漏洞扫描结果,以找到建议网络攻击可能利用漏洞的异常。
  • 验证漏洞: 决定是否可以利用已识别的漏洞并分类利用的严重程度来理解风险程度
  • 缓解漏洞: 在不可用的情况下决定对策以及如何衡量其有效性。
  • 修复漏洞: 尽可能更新受影响的软件或硬件。

由于网络攻击不断发展,漏洞管理必须是一个连续和重复的做法,以确保您的组织仍然受到保护。

什么是漏洞扫描?

漏洞扫描仪是旨在评估已知漏洞的计算机,网络或应用程序的软件。他们可以识别和检测从网络内的错误配置和有缺陷的编程上升的漏洞,并执行经过身份验证和未经身份验证的扫描:

  • 经过身份验证的扫描: 允许漏洞扫描程序直接使用Secure Shell(SSH)或远程桌面协议(RDP)等远程管理协议访问联网资产并使用提供的系统凭据进行身份验证。这可以访问诸如特定服务和配置详细信息的低级数据,提供有关操作系统,安装软件,配置问题和缺少安全修补程序的详细和准确的信息。
  • 未经身份化的扫描: 结果是关于操作系统和已安装软件的误报和不可靠的信息。这种方法通常由网络攻击者和安全分析师使用,以试图确定 安全姿势 外部面对资产并找到可能的数据泄漏。 

什么是渗透测试?

渗透测试,也称为笔测试或道德黑客,测试信息技术资产的做法,以查找安全漏洞的攻击者可以利用。渗透测试可以用软件自动化或手动执行。

无论哪种方式,该过程是收集有关目标的信息,确定可能的漏洞并尝试利用它们并报告调查结果。 

渗透测试也可用于测试组织'安全政策,遵守合规要求,员工安全意识和组织'能够识别和响应安全事件。 

什么是谷歌黑客攻击?

Google Hacking是使用搜索引擎,例如Google或Microsoft's bing,找到安全漏洞。通过在查询中使用高级搜索运算符来实现Google Hacking,该查询中找到难以查找的信息或通过云服务错误配置而意外暴露的信息。

安全研究人员和攻击者使用这些有针对性的查询来定位不打算暴露在公众的敏感信息。

这些漏洞往往分为两种类型:

  1. 软件漏洞
  2. 错误配置

也就是说,绝大多数攻击者将倾向于搜索他们已经知道如何利用并简单扫描具有已知安全漏洞的系统的常见用户错误配置。

为防止Google Hacking您必须确保正确配置所有云服务。一旦某些东西接触到谷歌,它'公众是否喜欢与否。

是的,Google定期清除其缓存,但直到那时,您的敏感文件就会接触到公众。

什么是漏洞数据库?

漏洞数据库是一个收集,维护和共享有关已发现漏洞的信息的平台。梅特运行最大的一个被叫 cve或常见的漏洞和曝光 并分配一个常见的漏洞评分系统(CVSS)分数,以反映漏洞可能向您的组织介绍的潜在风险。

这个CIVE的中央列表是许多漏洞扫描仪的基础。

公共漏洞数据库的好处是它允许组织开发,优先级序和执行修补程序和其他缓解以纠正关键漏洞。

也就是说,它们还可以从加速发布的修补程序中造成额外的漏洞,该修补程序修复第一个漏洞但创建另一个。

请参阅上文完整披露的参数。 

漏洞数据库中的常见漏洞列表包括: 

  • 初始部署失败: 数据库的功能可能出现很好但没有严格的测试,缺陷可以允许攻击者渗透。安全控制不佳,密码弱或默认安全设置可能导致敏感材料可公开访问。 
  • SQL注射: 数据库攻击通常在漏洞数据库中记录。
  • 错误配置: 公司往往无法正确配置云服务,让他们易受攻击,并且通常可公开访问。
  • 审计不足: 没有审计'难以知道数据是否已被修改或访问。漏洞数据库已颁布审计跟踪作为网络攻击威慑的重要性。

漏洞的例子

漏洞可以分为六大类:

  1. 硬件: 对湿度,尘埃,污染,自然灾害,穷人的易感性 加密 或固件漏洞。
  2. 软件: 测试不足,缺乏审计跟踪,设计缺陷,内存安全违规(缓冲区溢出,过度读取,悬空指针),输入验证错误(代码注入,跨站点脚本(XSS),目录遍历,电子邮件注入,格式串攻击,HTTP标头注射,HTTP响应分裂,SQL注入),特权混淆错误(ClickJacking,跨站点请求伪造,FTP反弹攻击),竞争条件(Symlink比赛,时间核对时间错误),侧频攻击,定时攻击和用户界面故障(指责受害者,种族条件,警告疲劳)。
  3. 网络: 未受保护的通信线路, 中间人攻击,不安全的网络架构,缺乏身份验证或默认身份验证。
  4. 人员: 令人难招募的政策,缺乏安全意识和培训,遵守安全培训,密码管理差或通过电子邮件附件下载恶意软件。
  5. 物理网站: 面积受自然灾害,不可靠的电源或无键卡通道。
  6. 组织: 缺乏审计,连续性计划,安全或 事件响应计划.

Upguard可以检测和修复您的漏洞

在Upguard,我们可以 保护您的业务免受数据泄露的影响,识别你的所有 数据泄漏,并帮助您不断监控 所有供应商的安全姿势.

点击这里 今天获得免费试用Upguard!

免费电子书

管理人员'管理网络风险指南

了解您作为执行高管的方式,可以管理对您组织的网络风险。
白色upguard徽标
管理人员'管理网络风险指南
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 02:49:46

最近发表