“两高一弱”专项整治 | 亚信安全云网能力联合治理之道

“两高一弱”整治工作，受到了公安及相关行业主管部门的高度重视，常态化的专项排查也成为企业网络安全保障的重要举措。

巩固日常：“两高一弱”的整治，能够让企业单位在日常工作中及时发现并处置网络安全隐患，有效提升企业及全社会的网络安全防护水平；

赢战攻防：“两高一弱”整治在大型攻防演练中有着重要意义 ，企业对于“两高一弱”问题的重视与治理，能够快速收敛攻击暴露面，提高整体防护能力。

从“两高一弱”，看深层问题

01高危漏洞

指网络系统中存在的、可能被黑客利用以进行非法访问、数据窃取或系统破坏的严重安全缺陷。每一个操作系统或网络软件都可能存在漏洞，这些漏洞一旦被恶意利用，将给系统带来极大的安全风险。

02高危端口

指在网络通信中容易被黑客利用进行攻击的端口。开放的高危端口为黑客提供了攻击入口，他们可以通过这些端口进行漏洞扫描、入侵尝试等恶意行为。

03弱口令

指设置过于简单、容易被猜测或破解的密码。弱口令是网络安全中最常见的隐患之一，它使得黑客能够通过暴力破解等方式轻松获取用户账号权限。

“两高一弱”形成专项治理并受到高度重视，也反应出当前用户在攻击面管理、高危漏洞治理，与弱口令检测三方面的问题：

攻击面管理：

管理能力弱，用户的攻击面管理基础较为薄弱，从机房的老旧设备到云端的新业务，潜在的攻击暴露面始终存在；缺乏系统性管理，攻击面治理通常面临多组织多部门的协同，在传统的周期性、运动式、单次、手动式等方式，缺乏整体系统性管理，和有效的协同机制；认知薄弱，攻击面管理正在历经从“安全事件驱动”向“风险量化驱动”转变，企业用户需要意识到单纯的管理是不够的，应该将重点放在攻击面“收敛”的相关工作。

高危漏洞治理：

主动漏扫影响，漏洞扫描可能会对企业的网络性能产生负面影响，包括网络拥塞、服务中断或系统崩溃等；误报和漏报‘’漏洞扫描工具可能会产生误报或漏报，这可能导致资源的浪费或安全风险的遗漏。

弱口令检测：

网络环境复杂，涉及弱口令通信的协议过多，很难有效梳理；弱密码类型过多，检测工具无法自定义检测规则，灵活度不足，适用范围小；弱密码检测结果信息不够全面，无法支撑客户判断下一步处理动作与风险评估。

云网能力联手对症处置“两高一弱”问题

针对高危漏洞、高危端口和弱口令问题，亚信安全从网络侧和主机侧入手，打造对应性技术方案。

攻击面可管可控

信舱ForCloud梳理&管理攻击面。在数据中心主机侧的攻击面收敛上，ForCloud 具备强大的网络资产攻击面管理能力，包括主被动发现资产、发现被动的流量资产、通过 POC 扫描发现脆弱资产等，能够实现容器等细粒度的资产梳理。它可以动静结合，持续跟踪变更的资产与流量，不放过任何异常行为，并以可视化方式呈现，让攻击面管理可控、可视。此外，其链接关系采集图像化整理以及账号登录使用信息梳理等能力，能更好地帮助客户在攻击面梳理过程中不仅知其然，更知其所以然，同时对使用情况进行全面梳理。

高危漏洞全面治理信桅TDA精准检测高危漏洞，部署于旁路不影响用户系统性能，同时行为检测能力突出，能够最大程度减少误报与漏报情况；此外TDA在CVE中高危漏洞覆盖总量超过8000条，国产及信创漏洞超过1000条。

在主机侧的高危漏洞处置中，信舱ForCloud可针对Windows、Linux、中间件、数据库等提供漏洞扫描结论，同时支持资产漏洞专题、必修漏洞专题、阅读漏洞专题、自定义漏洞专题、需特殊关注的应急漏洞等方式的漏洞检测，并且可生成各类漏洞情况报表，让用户整体漏洞情况清晰明了。

信舱ForCloud漏洞修复，信舱ForCloud可提供“虚实结合补丁”以及微隔离能力，让用户结合自身实际情况选择合适且有效的漏洞修复方式。

不影响业务的虚拟补丁：对于0day漏洞，或官方还未发布实体补丁，或着担心结合实体补丁修复会影响业务连续性、稳定性等等不便立即进行漏洞修复的用户，可通过信舱ForCloud的“虚拟补丁”功能检测及阻断对该漏洞扫描工具的扫描行为，并且无需重启服务器即可完成。

一键升级的实体补丁：对于已有实体补丁想快速完成升级工作的用户，则可结合信舱ForCloud的实体补丁一键修复的功能，在受此漏洞影响的资产台账上快速修复，减少人为错误并可加速修复速度。

安全策略隔离老旧难题：对于拥有多个新旧业务系统且安全运营团队水平有限的用户，一直存在复杂度高且难以修复的老漏洞，则可结合下发安全策略防止这些老旧漏洞问题扩散或被加以利用，相应的安全环境不受影响。

高危端口处置

信舱ForCloud高危端口处置，对于不该开放却开放了的高危端口，信舱ForCloud可根据端口进程开放梳理情况做封禁策略处置；对于未做限制和收敛的高危端口，信舱ForCloud可根据梳理出的访问关系图，结合一键微隔离策略进行快速处置。

弱口令有效处置

在网络侧，信桅TDA弱口令检测，多协议覆盖，为客户提供全面的弱口令登陆行为梳理，全面覆盖HTTP、TELNET、FTP、MYSQL、PGSQL、REDIS、IMAP、POP3、SMTP、DB2、MSSQL、Mysql空口令等协议的弱口令检测。

信桅TDA自定义弱口令检测模型，最大程度保证对弱口令行为的检测结果。TDA支持自定义弱口令规则配置（最短口令长度、最少字符类型数等），自定义新增用户名、弱密码及其检测类型；同时自定义HTTP登录行为的用户名、密码的正则提取配置；支持自定义配置登录结果的正则提取方法。

信桅TDA弱口令告警，支持识别流量中的敏感信息，并展示传输信息的协议、网站域名、URL、客户端IP、服务端IP，便于用户发现敏感信息的传输安全隐患和处置；TDA支持URL 302重定向报文登录结果的精准提取，web请求响应的精准展示。

在主机侧，弱口令造成的权限风险不仅限于弱口令层面，弱口令可以看做是权限安全的单独体现。信舱ForCloud可通过对账号安全、口令安全、登录安全等对检测防护，实现账号权限风险的发现与收敛，从根本问题上处置弱口令。