Title: A Proposed Visualization for Vulnerability Scan Data(针对漏洞扫描数据的建议可视化)
原文作者: S Watson
会议: Thirteenth Symposium on Usable Privacy and Security ({SOUPS} 2017)
日期: 2017/6/20
原文地址: https://www.usenix.org/system/files/conference/soups2017/wsiw2017-watson.pdf
0x01 论文背景
基于通信和保护需求将系统分开的网络安全区域可以最大限度地降低安全风险,同时即使面对故障和安全事件,也可以继续保持信息流。
通过基于角色的组织访问控制将风险和风险限制在每个区域,允许监控网络的人员更快地识别针对位于关键区域中的关键资产的可疑活动,并允许区域或子区域被锁定在违规事件或需要收容的事件。
基于区域的体系结构,其中网络被布置成六个逻辑和/或物理上分离的区域。 根据需要,也可以在每个区域内配置子区域。对每个区域的访问由周边安全设备管理,例如防火墙。
不受信任区域包含不属于该组织的所有主机,包括Internet服务提供商。来自此区域的流量流入半可信(DMZ)区域,其中必须在外部公开的系统位于该区域中。这将包括组织的外部Web服务器。
受信任区域将包含所有内部公开的系统,例如员工桌面和笔记本电脑以及组织内部网。流量从它流入半透明区域并流向不可信区域,以便允许访问互联网的所有资源。
高风险的关键任务系统(例如保存受限组织数据的数据库服务器)将位于受限区域中。来自此区域的流量将流入受信任区域。
管理区域将包含管理组织的网络和安全性的所有系统。来自此区域的流量流入半可信,受信任和受限制的区域。
最后,审计区域将包含收集审计组织所需的日志和其他数据的所有系统。由于此数据高度敏感,因此流量仅从半信任,受信任和受限制的区域流入。
0x02 论文内容
作者提出了一种基于安全区域的安全可视化建议,在基于区域的网络防御之上覆盖漏洞扫描数据的可视化,在实际网络布局的上下文中提供漏洞数据。
2.1 论文目标
使用现有工具和技术、简单可视化方法来整合所需的上下文信息以帮助用户做出关键安全决策。
2.2 数据与工具
使用了Rapid7 Nexpose扫描的同一子网中的35系统中的11,836个个体漏洞生成的扫描报告。
2.3 可视化输入
用于图节点的文件,每个图节点对应于网络上的唯一设备,其中每个节点的IP地址被指定为节点id。
边缘的文件,表示与所表示的周边设备的所有连接,再次在文件中通过IP地址指定为从/到列。
带有原始漏洞数据的文件。
2.4 节点与边界
- 在图上使用标签来表示每个节点;使用给定节点的所有Nexpose严重性分数的平均值来确定其总体严重性分数,分数基于Common Vulnerability Scoring System计算。
A moderate vulnerability,(0-3.9);只能在本地被利用,需要验证。这些漏洞几乎不会为攻击者提供受限信息,也不会提供攻击者破坏或破坏数据或导致系统中断的手段。
A severe vulnerability,(4.0-6.9);只能被经验丰富的黑客利用,有或没有身份验证。这些漏洞将为攻击者提供对受限信息的部分访问,并可能提供攻击者破坏或破坏数据或导致系统中断的手段。
- A critical vulnerability,(7.0-10.0);只需很少甚至不需要身份验证即可轻松利用。这些漏洞将为攻击者提供对受限信息的完全访问权限,并提供攻击者可以破坏或破坏数据或导致系统中断的方法。
节点大小代表每个节点的整体漏洞风险,并根据为给定节点发现的严重漏洞和关键漏洞的数量计算。
放置在网络区域之间的线上的灰色节点表示在网络区域之间创建逻辑或物理分离的周边设备。
0x03 未来研究
可视化在处理更大的网络和更复杂的关键性度量时进行扩展。
评估可视化在交流和沟通方面对用户做出决策所做的贡献。
0x04 总结
根据基于区域的网络防御架构,提出了一种建议的漏洞数据可视化分析方法。使用标签来表示节点,每个节点对应于实际网络中的一个设备;使用给定节点的所有Nexpose严重性分数的平均值来确定其总体严重性分数,分数基于Common Vulnerability Scoring System计算,分数在0.0到10.0之间,分成轻度(0-3.9)、严重(4.0-6.9)、关键(7.0-10.0)漏洞;节点大小代表每个节点的整体漏洞风险,并根据为给定节点发现的严重漏洞和关键漏洞的数量计算;放置在网络区域之间的线上的灰色节点表示在网络区域之间创建逻辑或物理分离的周边设备。
0x05 收获
- 了解了可视化在网络基础方面的具体应用。
- 可视化模型与实际网络结构的结合。