记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

云工作负载之软件漏洞检测

2019-09-24 13:10

0x00、前言

在公有云云主机安全管理中,批量检测操作系统、软件漏洞功能是安全管理的基本能力,特别针对在linux存在多个发行版,社区维护滞后等很多不确定因素的存在,需要企业级用户安全人员付出更多精力关注,同时,如果你所处的行业是金融行业,那么对Linux补丁管理提出了更高的要求:及时、准确。但在实际情况中,我们发现很多商用解决方案,版本比对的准确性上存在诸多问题,本文针对上述问题和大家展开探讨。

0x01、软件漏洞检测解决方案

那么补丁管理需要给用户展示哪些信息呢?根据调研如图所示:软件漏洞

软件漏洞.png

安全业务需求:

1、漏洞信息展示

我们要想向用户展示的漏洞信息必须和我们的云主机相关联。所以,可以通过两个维度来展示,主机维度和漏洞维度。

1.1、针对漏洞维度:通过补丁公告+简单漏洞描述,每个补丁公告会涉及到多个CVEID。同时要列举多台存在风险的云主机,针对主机维度:显示云主机,漏洞分布情况(高、中、低漏洞各占多少个)。

1.2、需要明确告诉用户本漏洞的危害程度,例如:RCE、DoS等

1.3、需要明确告诉用户本漏洞在全网是否存在POC、是否存在EXP,存在EXP对用户云主机危险性很大。需要立刻马上修复。

2、自动修复补丁

针对海量云主机漏洞管理,IT管理员需要一套高效的自动打补丁系统。而不是登陆每台主机在上面运行命令升级。

3、修复建议

3.1、针对一些应用系统,无法直接升级的需要给出修复建议,指引管理人员操作。

3.2、需要明确告诉用户本漏洞修复时是否需要重启。

详细设计:

根据以上需求,我们需要一套补丁管理系统来完成。本系统需要有三部分组成。

1、爬虫程序,爬取漏洞相关,可以通过爬取cnvd、nvd、cve.mitre.org、exploit-db等实现

2、客户端软件版本信息获取,各种找版本号奇技淫巧。

3、服务器端人工运维系统,针对特殊的版本号比对逻辑(Version Analysis),做人工调整。

漏洞管理数据库.png

漏洞管理数据库爬虫系统:

从CNVD数据库获取的关系表:

image.png

从nvd库中获取

image.png

从exploit-db库中获取exp

exp.png

合并之后就是我们想要的完整漏洞数据库。

在Agent端。

cat /proc/version | grep Linux

centos:1

1.png

ubuntu:2

2.png

当然除了linux kernel, 还有很多软件版本可以在客户端查找。

最后,也是最重要的环节,需要在服务器端做对比。

从漏洞运营角度看,漏洞对比需要一个比较灵活的处理手段,那么如何处理呢?个人认为,其实可以通过自动化运营编排SOAR来解决。demo如下:

soar.pngsoar

这样漏洞运营人员就可以实时调整数据差异。保证漏洞检测的准确性。

Linux打补丁是一个老大难问题,目前比较好的解决方案是,可以通过云主机快照的方式保证补丁回滚,一旦出现异常情况,不影响业务。

0x02、总结与展望

Linux漏洞管理虽然是比较基础的功能,但是在公有云主机安全产品中的使用频率很高,一套准确的漏洞检测系统,会快速提升安全运营效率。同时缩短漏洞响应时间。

本文为 bt0sea 原创稿件,授权嘶吼独家发布,如若转载,请注明原文地址: http://www.hackdig.com/09/hack-56171.htm
知识来源: https://www.4hou.com/system/20463.html

阅读:10641 | 评论:0 | 标签:系统安全 公有云 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“云工作负载之软件漏洞检测”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词