使用微軟安全工具評(píng)測(cè)Server攻擊平面
安全專家們創(chuàng)造了“攻擊平面”這個(gè)詞來(lái)形容指定電腦可能受到惡意實(shí)體攻擊的方法數(shù)量。攻擊實(shí)體既可能是惡意軟件,也可能是一個(gè)惡意用戶。你可以這樣理解它:攻擊平面越大,電腦受攻擊的可能就越大;攻擊平面越小,攻擊者能夠獲得的立足點(diǎn)也就越少。
微軟在上幾個(gè)版本的產(chǎn)品中一直在強(qiáng)調(diào),要減少Windows Server的攻擊平面。它們的想法是通過(guò)默認(rèn)就能減小攻擊平面,從而讓新安裝的Windows Server也能輕松地避免攻擊。但是,減少攻擊平面的概念適用于所有版本的Windows產(chǎn)品,包括桌面和服務(wù)器等版本。
微軟關(guān)于減少攻擊平面的工作主要集中于改進(jìn)應(yīng)用在Windows上的工程設(shè)計(jì),如操作系統(tǒng)的默認(rèn)設(shè)置等。但是第三方的應(yīng)用程序(從不會(huì)造成損害的獨(dú)立程序到相對(duì)復(fù)雜的、添加了設(shè)備驅(qū)動(dòng)的程序)也可能會(huì)增加Windows的攻擊平面。有時(shí)用戶或者程序員并沒有意識(shí)到這一點(diǎn),尤其是在應(yīng)用程序改變了系統(tǒng)功能的底層元素時(shí),如防火墻或殺毒軟件。
直到最近,程序員們也仍然沒有一個(gè)真正實(shí)用的方法可以檢查他們的程序是否會(huì)增加系統(tǒng)的攻擊平面,往往只有等到被攻擊后問(wèn)題才會(huì)暴露。然而,在今年早些時(shí)候的Black Hat技術(shù)安全會(huì)議上,微軟發(fā)布了一款beta版工具。該工具讓IT人士(不僅只是程序員)可以確定某一指定應(yīng)用程序是否會(huì)顯著增加Windows Server的整體攻擊平面。這個(gè)工具就是攻擊平面分析器(Attack Surface Analyzer),有32位和64位版可以使用,目前還處于測(cè)試階段,正在征求用戶的反饋意見。
攻擊平面分析器的工作方式是在Windows系統(tǒng)中進(jìn)行兩次掃描。第一次是基線掃描,即在未安裝問(wèn)題程序的系統(tǒng)上進(jìn)行掃描。當(dāng)然為了完成基線掃描,你需要安裝相應(yīng)的支持庫(kù)(.NET框架或SQL服務(wù)器)。該掃描涵蓋了系統(tǒng)內(nèi)可能會(huì)影響攻擊平面的方方面面,包括注冊(cè)表項(xiàng)、安全標(biāo)識(shí)符(SID)、開放端口等。掃描結(jié)果保存在當(dāng)前用戶目錄的一個(gè).CAB文件中,文件名由當(dāng)前的主機(jī)名和掃描的時(shí)間日期自動(dòng)產(chǎn)生。
圖1:攻擊平面分析器的基線掃描
第二次掃描應(yīng)在你安裝了受測(cè)程序之后再進(jìn)行。在攻擊平面分析器中,這被稱為“非產(chǎn)品掃描(aproduct scan)”,受測(cè)程序造成的任何改變都會(huì)被詳細(xì)地記錄下來(lái)。掃描結(jié)果保存在一份HTML格式的報(bào)告中,描述了掃描過(guò)程中發(fā)現(xiàn)的明顯的安全問(wèn)題,以及可能的攻擊平面的詳細(xì)信息。請(qǐng)注意,一個(gè)給定的攻擊平面并不一定總是危險(xiǎn)的,但如果在掃描中被察覺,那么就值得引起注意了。
微軟撰寫了一篇關(guān)于衡量攻擊平面的文章,對(duì)Windows各版本已暴露的攻擊平面做了比較。文中提出的一些概念指導(dǎo)了攻擊平面分析器的誕生——具體地,就是以受攻擊的機(jī)會(huì)大小作為衡量指標(biāo),考慮什么會(huì)最先、最快地受到攻擊。
圖2:攻擊平面分析器掃描已安裝程序的漏洞
【編輯推薦】
