上篇文章《 》內容為數據資產識別,數據資產識別是風險評估的開始,而脆弱性是對一個或多個資產弱點的集合,脆弱性識別也可稱為弱點識別,而該弱點是資產本身存在的,如果沒有威脅利用,單純的弱點不會引發安全事件。威脅總是利用資產脆弱點才能造成破壞,這也是弱點和威脅的區別。
本篇文章將從脆弱性識別內容、識別方式、脆弱性定級,三個部分進行介紹。
一、脆弱性識別內容
資產脆弱性包括管理型與技術型兩大類。技術脆弱性主要涉及數據庫(結構化,關係型和非關係型)及網絡層和主機層(非結構化,DLP檢測)。具體脆弱性識別示例內容如下表:
數據脆弱性識別示例
二、識別方式
常見主要識別方法有問卷調查、工具檢測、人工核查、文檔查閱、滲透測試等,不同環節、不同場景下擇優選擇,本篇主要介紹工具檢測,即數據庫漏洞掃描系統。數據庫漏洞掃描系統一般是通過讀取數據庫的信息與安全策略進行綜合分析,在查出數據庫中存在的漏洞後自動給出詳細的漏洞描述、漏洞來源及修復建議、並提供完整的數據庫漏洞報告、數據庫安全評估報告。我們據此報告對數據庫進行漏洞修復,大限度地保護數據庫的安全。
數據庫漏掃功能架構圖示例圖(中安威士-漏洞掃描系統)
端口掃描:系統提供自動搜索數據庫的功能,可以直接給出數據庫的各項信息
漏洞檢測:(授權檢測、非授權檢測、滲透檢測、木馬檢測)
授權檢測:具有DBA權限的數據庫用戶,執行選定的安全策略實現對目標數據庫的檢測。
非授權檢測:用戶在無權限的情況下,依據數據庫版本號並根據選定的安全策略對目標數據庫進行的檢測的方法。
滲透檢測:利用數據庫本身存在的漏洞,攻擊數據庫。
木馬檢測:檢查數據庫所在服務器是否感染木馬,可檢測出被佔用的端口和木馬種類。
三、脆弱性定級
可以根據資產的損害程度、技術實現的難易程度,以及弱點的流行程度等多個維度,採用等級方式對已識別的脆弱性嚴重程度進行賦值。對某個資產脆弱性賦值還應參考管理脆弱性的嚴重程度。具體定級如下示例表:
脆弱性定級
此外還可以參考CVE、CNNVD等提供的漏洞分級作為脆弱性賦值參考。
下章介紹數據資產威脅性相關內容(威脅識別+脆弱性識別=安全事件的可能性),主要包括威脅來源、威脅識別內容、威脅等級劃分等。
閱讀更多 MR王峰 的文章
