本文講述了使用云中的遠(yuǎn)程漏洞掃描服務(wù)的種種好處。這項(xiàng)服務(wù)可以由來自任何地方的任何系統(tǒng)加載，猶如第三方所管理的一個(gè)遠(yuǎn)程實(shí)體一般。使用開放源漏洞分析工具，可以幫助對(duì)云安全進(jìn)行公開、全面審查。而漏洞分析僅僅是確保服務(wù)器安全的一部分。顯而易見的是，準(zhǔn)確定義漏洞評(píng)估政策則是沿著正確方向邁出的一大步。

1、介紹

對(duì)于任何一個(gè)安全政策來講，漏洞評(píng)估都是一個(gè)很重要的方面。現(xiàn)在，針對(duì)互聯(lián)網(wǎng)主機(jī)攻擊越來越多地是以利益為驅(qū)動(dòng)的，因此它們更狡猾分布也更廣泛。

保護(hù)所有的網(wǎng)絡(luò)服務(wù)器似乎有不少難度，但是黑客發(fā)起的大部分攻擊卻可以避免。

服務(wù)器配置不符合要求或者所使用的工具沒有經(jīng)過更新，容易導(dǎo)致大量的互聯(lián)網(wǎng)服務(wù)器遭受攻擊。因?yàn)椋诳蛡兒苋菀渍业讲⒗梅?wù)器漏洞。確保服務(wù)器升級(jí)至最新而且沒有配置錯(cuò)誤，這并不困難，但是這些工作卻會(huì)因?yàn)闀r(shí)間限制而被忽略。

漏洞評(píng)估有助于發(fā)現(xiàn)服務(wù)器安全配置中出現(xiàn)的錯(cuò)誤，也有助于挖掘出需要安裝補(bǔ)丁的軟件漏洞。

通過利用云中的遠(yuǎn)程漏洞評(píng)估，可以幫助你的組織實(shí)現(xiàn)規(guī)模效益。由于配置和管理評(píng)估工具不需要專業(yè)知識(shí)，你也可以對(duì)自己的組織進(jìn)行漏洞評(píng)估。

2、日益嚴(yán)重的威脅情形

攻擊自動(dòng)化和訪問利用漏洞的簡(jiǎn)單化，成為了服務(wù)器受到日益嚴(yán)重的威脅的主要原因。事實(shí)上，如果你想證明它有多么容易的話，可以訪問http://www.milw0rm.com，選擇最近的一個(gè)Web應(yīng)用程序漏洞，然后，在Google中輸入“Google Dork”——比如“powered by scriptname”，在五分鐘時(shí)間內(nèi)，看看所有網(wǎng)頁上的服務(wù)器你能找到多少漏洞。

圖1：掃描漏洞

注意，本文所講僅僅是一種例子，并不含有個(gè)人因素成分。HackerTarget.com會(huì)充分披露各類漏洞，并在安全的時(shí)候給與開放。

3、漏洞存在的共同載體

3.1配置不當(dāng)?shù)姆?wù)器

混亂的文件權(quán)限，配置不當(dāng)?shù)腤eb或者Email服務(wù)器，或者當(dāng)時(shí)間在流逝你還停留在臨時(shí)的補(bǔ)丁更新的時(shí)候——配置不當(dāng)?shù)姆?wù)器到處都是，也常常因?yàn)闀r(shí)間限制沒有過多考慮，使得即使作為系統(tǒng)管理員也會(huì)有看走眼的時(shí)候。

3.2軟件沒有獲得更新

服務(wù)器操作系統(tǒng)和應(yīng)用程序都需要更新，這不是可有可無的。使用Windows更新、Yum和Apt工具，可以幫助更新減少大量的主機(jī)漏洞，但是，仍然會(huì)有很多主機(jī)會(huì)被忽略。這只是個(gè)時(shí)間問題，當(dāng)漏洞百出的服務(wù)被發(fā)現(xiàn)后，系統(tǒng)就會(huì)遭受損害。

3.3網(wǎng)頁腳本

PHP與ASP應(yīng)用程序和腳本是實(shí)現(xiàn)網(wǎng)頁動(dòng)態(tài)效果的有效方法，但是，當(dāng)有可用安全更新的時(shí)候，像操作系統(tǒng)和軟件這些都必須確保獲得更新。關(guān)于這方面的一個(gè)很好例子就是WordPress博客軟件，我們選擇WordPress不是因?yàn)樗貏e不安全，而是因?yàn)樗砹艘环N廣泛流行的腳本——曾在過去暴露出一些危險(xiǎn)的安全漏洞。這些腳本需要持續(xù)不斷地更新，因?yàn)樗鼈兒苋菀妆缓雎浴钡侥愕牟┛褪艿焦簦⒅踩霅阂忭撁婀裟愕臑g覽用戶。

3.4密碼不夠安全

在互聯(lián)網(wǎng)上遨游必不可少的是使用強(qiáng)密碼，查看主機(jī)和互聯(lián)網(wǎng)的記錄是件很簡(jiǎn)單的事情，也很容易發(fā)現(xiàn)系統(tǒng)大概會(huì)多久被蠻力攻擊一次。蠻力攻擊會(huì)危害到很多服務(wù)項(xiàng)目，包括ssh，rdp，ftp，web窗體和vnc。

3.5 密碼重用

每次登錄都使用不同的密碼是不現(xiàn)實(shí)的，但是，處處使用同一個(gè)密碼也是不明智的。經(jīng)過調(diào)查發(fā)現(xiàn)，服務(wù)器用戶總是會(huì)在配置不當(dāng)?shù)木W(wǎng)上論壇上使用本該在Web郵件上使用的密碼，而且也會(huì)在網(wǎng)頁主機(jī)系統(tǒng)上使用相同的密碼。