银行安全渗透
3同行回答
先说点理论的,有比较多的标准共参考:CVE、CVSS、CWE、CWSS、CPE、OVAL等标准。还有如ISO29174、30111。国内的如GBT-28458、30276、30279,这几个可以从理论上进行参考。
个人认为首先要区分安全扫描和渗透测试,这个从工作发起端和发现问题的结果来看还是有些区别的。
对于安全扫描来讲,含基础设施层、代码层及应用层,对于前两者直接参考工具提供的漏洞级别即可,尤其是基础设施的(操作系统、数据库、中间件和网络),因为这些漏洞在纳入工具前已经参考业界通用规范进行定级的。对于代码层,这个一般工具会扫描出风险点和可能性,基本按照最高级别整改,次高级别关注。对于应用层扫描(一般包含移动app和web类),从工具级别一般下降一个维度是比较合适的,这两者都要结合业务了。
对于渗透测试,一般要结合业务进行定级,结合行业场景进行区分,如是否涉及资金、权限、和大量敏感数据,定义几个对行业影响比较大的维度,排列组合影响度进行定级。
收起两个角度,一个是威胁程度,高中低之类的。一个是从互联网,内网区分,互联网的更高一些。
目前,各个厂商和研究机构关于具体漏洞的定级标准尚未统一。个人认为,漏洞分级,要结合具体漏洞类别、漏洞危害程度、可利用情况、影响的系统、漏洞叠加情况等多种因素,综合考虑。
收起