在当今高度互联的世界中,网络攻击和数据泄露的报告司空见惯。在一年中的任何一周,都可以看到有关最新网络事件的新闻报道。IBM的报道称数据泄露的平均总成本达到惊人的 435 万美元,可以理解为什么网络安全越来越受到全球企业的关注。
漏洞扫描是所有优秀网络安全策略的基本组成部分,但它可能很复杂,而且要做到正确也很有挑战性。无论组织是刚刚开始其变得更加安全的旅程,还是您希望改进现有的安全控制并了解有关漏洞扫描最佳实践的更多信息,本指南都能提供帮助。
在本指南中,将了解:什么是漏洞扫描、可用的不同类型的漏洞扫描程序、漏洞扫描频率最佳实践、如何选择漏洞扫描程序以及如何启动和运行选择的产品。
什么是漏洞扫描?
在最简单的层面上,漏洞扫描是使用软件工具来识别和报告影响系统的安全问题(称为漏洞)。
漏洞扫描器通常有数以千计的自动测试可供使用,通过探测和收集有关系统的信息,可以识别安全漏洞,黑客可以利用这些漏洞窃取敏感信息、获得对系统的未授权访问或对系统造成全面破坏。
有了这些知识,希望自我保护的组织就可以采取行动来补救发现的安全漏洞。这种识别和修复弱点的整体持续过程称为漏洞管理。
漏洞扫描工具适用于哪些人?
新闻头条往往关注最大的安全漏洞,这些漏洞通常会影响大型组织。因此,认为网络安全是“大公司”的问题是情有可原的。然而,不幸的是,在网络安全方面,小并不意味着安全。
英国政府最近进行的一项调查得出结论,近三分之二 (61%)的大中型企业在过去 12 个月内发现了网络攻击。小型企业也不例外,其中(38%) 报告了攻击或违规行为。这些发现表明,各种规模的企业都应该考虑存在的威胁,并制定能够应对这些威胁的安全策略。
可能你没有任何值得黑客攻击的东西。但在2020年,任何规模的企业不依赖技术运营的情况都非常罕见。无论是通过网站提供营销或博客内容,操作互联网公开的应用程序或服务,还是仅仅是员工用于工作的笔记本电脑;几乎总是有一系列系统可能受到攻击。所有这些系统都包含一个供黑客攻击的攻击面。成功的违规行为会导致勒索软件攻击,甚至泄露不太敏感的数据(例如姓名和地址),这可能会导致客户流失到竞争对手那里,或者根据GDPR处以巨额罚款。
制定全面的安全策略来缓解这些威胁是一个需要数年时间才能正确完成的过程,而且它应该随着组织的发展和威胁形势的演变而不断变化和适应。漏洞扫描器提供了一个很好的起点,允许组织识别他们最严重和最暴露的技术弱点,这样他们就可以在攻击者利用之前做出反应。
简而言之,每个企业都应该了解他们的网络弱点在哪里,并加以修复。
漏洞扫描与渗透测试?
漏洞扫描并不是发现影响组织系统的漏洞的唯一方法——手动渗透测试也是检查系统漏洞的常用方法。然而,两者在所提供的内容和成本方面存在很大差异,因此询问哪些适合组织以及应该多久执行一次是一个合理的问题。
漏洞扫描和渗透测试各有利弊。漏洞扫描的优点是它可以以较低的成本自动和连续地执行,因此可以在引入新的安全问题后迅速识别它们。同时,渗透测试通常是在咨询的基础上进行的,它会带来时间和成本开销,这可能会减慢项目速度,或者在执行测试的频率方面令人望而却步。但是,由熟练且合格的专业人员执行的手动笔测试可以发现更复杂或特定于业务的安全问题,这些问题需要人类的理解水平才能发现。
每个都有自己的位置,如果预算允许,最好将两者结合使用。但是,对于希望首次开始保护其业务的组织,建议首先设置漏洞扫描器并定期测试公开暴露的攻击面。这种入门方式最有意义,因为渗透测试人员也会使用漏洞扫描器作为其产品的一部分,而花钱请专业人员告诉您一些您本可以自己发现的东西并没有多大价值。更重要的是,如果只能负担每年运行一次渗透测试的费用,那么在测试之间的整个时间里,仍然会面临配置错误和新漏洞的风险。
漏洞扫描流程:入门
定义范围
为了使用漏洞扫描器,首先需要知道要将其指向什么。这听起来可能很简单,但如果不熟悉漏洞扫描,可能会发现组织所负责的系统没有中央记录。如果是这种情况,是时候开始跟踪了——如果不知道自己拥有什么,就无法保护它!
资产管理
对于组织来说,集中记录他们所管理的系统(通常称为资产管理)是一种很好的做法。随着组织的发展或变化,跟上它的步伐至关重要。随着新系统上线,或现有系统更改其 IP 地址或域,使文档保持最新将有助于确保系统不会出现漏洞,并错过扫描仪为识别所做的所有辛勤工作安全弱点。
如果部分财产使用现代云系统,那么这可能会有所帮助,现代漏洞扫描器将能够连接云账户,使这个过程无缝进行。但是,毫无疑问,将拥有一些不在此范围内的系统(至少是员工设备、边缘路由器和防火墙),因此保留资产登记簿仍然是个好主意。
漏洞扫描的范围界定策略
现在知道得到了什么,如何决定扫描什么?
组织通常会部署一系列系统,从办公室或家中的笔记本电脑和工作站,到 AWS、Azure 和 Google Cloud 等云平台中的系统。决定在扫描中包括什么可能是一项艰巨的工作,但有多种方法可以解决这个问题。在这里,我们提出了三种漏洞扫描策略,基于暴露、基于敏感度和基于覆盖:
基于曝光
可以通过 Internet 公开访问的任何系统都可以全天 24 小时有效地进行攻击。因此,攻击者会不断地扫描这些系统中的漏洞。事实上,即使是不熟练的攻击者也可以使用可免费下载的工具自动扫描整个互联网以寻找弱点。
举例来说,公司是一家科技初创公司,通过互联网向其客户提供服务。这可以通过网站、网络应用程序或任何其他在线托管的方式进行。虽然在正常情况下对这些应用程序的访问可能是安全的,但其中一个系统中的一个弱点或错误可能会立即导致数据泄露。由于这些系统是攻击者日复一日扫描的系统,理想情况下,需要做同样的事情以在他们这样做之前找到这些安全问题。
面向公众的系统上的严重漏洞通常很快就会被利用。为了正确看待这一点,让我们看一下最近一次基于 2019年12月披露的Citrix弱点的攻击。该漏洞 ( CVE-2019-19781 ) 用于在除夕夜攻击外汇公司Travelex,目标是面向互联网的 VPN 服务。攻击者得逞并对公司造成严重破坏,其中包括使用恶意软件加密他们的系统并索要赎金。令人震惊的是,攻击发生在漏洞被公开披露之日起仅十二天。这个引人注目的例子提醒我们定期进行外部漏洞扫描的重要性是,以及以前不存在的弱点如何在一夜之间突然出现,并产生深远的影响。
基于灵敏度
公司在 Internet 上可能没有太多敏感信息。可能只是主要网站只包含营销信息,但所有的敏感客户信息都存储在一个中央存储中,该存储与互联网某处(无论是个人笔记本电脑还是网络文件共享)隔离开来。如果网站污损造成的声誉损害与自己无关,那么在这种情况下,可能会决定对存储敏感数据的系统执行漏洞扫描更有意义,以确保它们尽可能得到强化对抗攻击。
基于覆盖
在考虑了暴露在 Internet 上的内容以及最敏感数据的存储位置之后,值得考虑的是其他公司系统仍然适合攻击者妥协。任何系统都可能存在漏洞,一旦攻击者攻破了一个系统,他们的下一步往往就是利用该位置作为立足点,发起新的攻击。
例如,黑客可以通过发送包含恶意文件(或指向恶意网站的链接)的电子邮件来破坏员工的笔记本电脑,这些文件会利用打开它们的系统上的漏洞。如果设备被成功入侵,它可用于扫描同一网络上的其他系统,以利用这些系统上的漏洞。或者,从笔记本电脑获得的信息或对其他系统的访问可能会用于进一步的攻击。
出于这个原因,尝试覆盖尽可能多的系统通常是有意义的,尤其是在访问一个系统可能导致破坏其他系统的情况下。
这些漏洞扫描方法中的哪一种适合将取决于您的业务资源,以及最敏感数据的存储位置和存储方式——通常,正确的答案将是这三者的组合。
不同类型的漏洞扫描
有许多类型的漏洞扫描器执行不同的安全任务,并涵盖一系列不同的攻击场景。例如,攻击者可以通过暴露的 Web 服务器上的漏洞或通过员工工作站上未打补丁的软件侵入内部网络。识别这些不同的攻击向量需要不同的漏洞扫描器用例,并且并不总是支持每一个,因此值得考虑您的业务面临的风险并找到合适的扫描器。本节将更详细地介绍不同的用例。
主要类型
将看到的主要不同类型的漏洞扫描器是:
网络漏洞扫描器
之所以这样称呼网络漏洞扫描器,是因为它们通过发送探测器来寻找开放端口和服务,然后进一步探测每个服务以获取更多信息、配置弱点或已知漏洞,从而跨网络扫描系统。它的工作方式可能有所不同,可以在网络中安装硬件设备,或在虚拟机上部署虚拟设备,然后从该机器对网络上的所有其他机器运行扫描。
网络漏洞扫描器的一个明显好处是它们可以快速设置,只需安装扫描器并进行扫描。不过,在维护方面,它们很快就会变得更加复杂,让设备保持最新状态,并让它们与网络变化保持同步。网络变得越复杂,覆盖每个网段所需的扫描器数量就越多,这一点尤其明显。
内部与外部漏洞扫描
网络扫描仪通常配置为扫描“内部”网络或“外部”网络。
作为一般经验法则,专用网络变得越大越复杂,考虑使用内部网络扫描器就越重要,它可以检查内部系统是否存在可能导致单个系统转向的漏洞进入更广泛的突破口。
具有更现代数字足迹的较小组织可能不会决定尽早进行内部扫描,例如那些将所有服务器都放在云中以及仅用于互联网访问的简单专用网络的组织。但是,这些组织仍会受益于基于代理的内部扫描,以便识别员工设备上的漏洞以进行修补。
外网扫描
外部漏洞扫描只是从外部扫描系统的扫描。这实际上意味着,扫描器的探测来自一个不受信任的互联网地址,该地址位于组织的任何专用网络之外。它们模拟远程攻击者的活动,查看通过Internet提供的系统和服务,并从查找暴露于Internet的系统上的漏洞开始。
虽然与下面描述的其他类型相比,这些扫描可以发现的信息量可能有限,但它们在理解攻击者可以看到的内容方面也非常有启发性。那是因为如果攻击者可以看到弱点,他们很可能会利用它。
一些漏洞扫描器可以很好地处理这种情况,并在云中准备好扫描器,因此无需部署或管理自己的系统。它们只需指向并单击即可。其他人可能会要求您设置自己的扫描设备,并持续进行管理。虽然此类服务可能更便宜,但这里的管理费用有时可能不值得成本差异。
内网扫描
内部网络漏洞扫描旨在发现不向Internet公开端口或服务的系统上的弱点。这种漏洞扫描有助于掩盖外部漏洞扫描器无法扫描的一系列攻击场景。例如,如果公司笔记本电脑上使用的是过时版本的Firefox浏览器,如果用户被说服访问恶意网站,则该机器可能容易受到攻击。同样,设备在专用网络中公开的端口或服务中可能存在漏洞(例如SMB 服务中的弱点),外部扫描器也无法发现这些漏洞。
基于内部网络的扫描仪的工作方式与外部网络扫描仪的工作方式大致相同,只是扫描设备位于内部网络中,因此可以评估仅暴露在专用网络中的服务和设备。
内部扫描可用于识别事先不知道的潜在易受攻击的设备,因为它们可以扫描整个网络范围。但是,除非向他们提供用于登录系统和查询特定补丁和配置数据的凭据,否则他们在提供详细信息方面可能非常低效。这称为“经过身份验证的扫描”。
经过身份验证的扫描可以提供更详细的漏洞信息,但配置和维护起来可能很棘手。出于这个原因,一种流行的替代方法是运行“基于代理”的扫描仪。
基于代理的扫描器
基于代理的扫描是通过在每个要覆盖的设备上安装轻量级软件扫描器来执行的,它可以运行本地漏洞扫描并将结果报告回中央服务器。
与经过身份验证的网络扫描一样,这种类型的扫描器可以发现范围广泛的漏洞,包括根本不公开端口或服务以供远程访问的软件中的弱点(例如,易受攻击的Firefox版本)。虽然在数字资产中安装代理可能会花费更多时间,但它们的好处是一旦安装它们,即使从网络中移除它们也可以报告回来(例如笔记本电脑被带回家工作)。
两种类型的内部扫描仪都有其局限性和优势。对于具有简单内部网络且大部分基础架构位于云中的现代组织,基于代理的扫描器将是合乎逻辑的选择。对于拥有复杂内部网络的组织来说,选择哪种类型的扫描仪有点困难,对于最成熟的组织——在预算允许的情况下——应该考虑部署这两种扫描仪的组合。
上下文感知扫描仪
一些扫描器可用于从外部和内部角度检查弱点,但并非所有扫描器都能够报告发现漏洞的上下文中的问题。许多配备了执行内部和外部扫描功能的扫描仪都忽略了突出安全问题,这些安全问题是由通常不应向外部公开的技术引起的。
例如,众所周知的“WannaCry”勒索软件通过利用面向互联网的SMB服务(一种为本地网络设计的服务)进行传播。这是一个永远不应暴露在互联网上的服务示例,但许多领先的漏洞扫描器不会将此作为安全问题突出显示,因为它们不会根据扫描是从内部还是外部角度向结果添加上下文.
如果有安全专家来分析扫描结果,这可能不是什么大问题 - 但还必须记住,这可能是重复性工作,他们的时间最好花在其他地方。
Web 应用程序扫描仪
Web 应用程序漏洞扫描器是一种专门类型的漏洞扫描器,专注于查找 Web 应用程序和网站中的弱点。传统上,它们的工作方式与搜索引擎类似,通过站点或应用程序“爬行”,向每个页面或表单发送一系列探测以查找弱点。
许多漏洞扫描器都将Web 应用程序扫描作为其产品的一部分,尽管它可以单独获得许可。其他的专门用于 Web 应用程序扫描,而一些供应商将其与一系列其他检查一起包含在内。
可能需要注意的一件事是扫描仪是否可以执行经过身份验证的 Web 应用程序扫描。经过身份验证的扫描是指从恶意用户或具有凭据登录到应用程序的攻击者的角度,通过登录页面扫描应用程序。
由于制作 web 应用程序的业务逻辑和复杂性的数量,即使是当今市场上最好的漏洞扫描器也很难有效地识别一些应用程序缺陷,遗憾的是,它们仍然无法接近寻找缺陷的人类专家手动。重要的是要了解他们擅长什么,以及他们有什么困难。
他们通常擅长识别直接的弱点(例如简单的 SQL 注入和跨站点脚本漏洞)。无法可靠地检测到不太容易利用的弱点,特别是:
OWASP 前十名
OWASP 项目长期以来一直是 Web 应用程序漏洞的首选资源,他们每隔几年发布一次最常见的 Web 应用程序漏洞的“十大”摘要。在最新版文档中OWASP 列出的10 个问题中,许多要么无法被 Web 应用程序扫描器检测到,要么只能可靠地检测到某些类型的缺陷。
单页应用程序
现代单页应用程序对于自动扫描仪来说很难,因为它们无法正确发现和生成合法的应用程序请求来执行测试。
误报
验证漏洞是否是误报是自动扫描器有效完成的一项艰巨任务,而且大多数人不会尝试这样做。因此,您最终可能会在长长的非问题列表中进行拖网式搜索,这可能会很快变成一个耗时的过程。
自动扫描器当然能够发现真正的 Web 应用程序安全问题,但它们不太可能捕获所有问题,也不应该是唯一的防御措施。我们的建议是确保定期对 Web 应用程序进行渗透测试,包括部署 Web 应用程序扫描程序的地方。这种策略是发现各种弱点的一种更有效的方法,如果预算允许,它是一种最佳实践。
漏洞扫描最佳实践
选择合适的漏洞扫描器可能很困难,而且漏洞扫描产品的质量范围很广,而且并不总是透明的。每天都会依靠所选的扫描器来帮助防止攻击,那么如何知道评估的扫描器是有效的,以及应该如何将一个扫描器与另一个进行比较?我们在下面包含了一些尽职调查技巧和漏洞扫描最佳实践。
试一试
大多数漏洞扫描器都提供有限的免费试用,让用户有机会熟悉它的工作原理和功能。这是感受产品、其功能和可用性的好方法。合乎逻辑的下一步是针对自己选择的系统运行扫描并查看返回的结果。如果正在比较多个扫描仪,那么针对相同的系统运行它们并查看发现的内容可能是一个很好的练习。不幸的是,两个或多个扫描仪的同类比较并不总能清楚地显示它们的比较情况。例如,正在评估的其中一台扫描仪可能会返回更多误报的安全问题(扫描仪错误地识别为安全问题的问题)。如果团队没有能力验证安全问题是否有效,
还值得注意的是,系统现在可能没有任何问题,这降低了进行此类扫描仪比较的价值。如果正在扫描的系统中没有广泛的安全问题(已经知道),则很难衡量扫描仪的好坏。此外,许多漏洞扫描器用“信息”问题填充它们的结果,这些问题实际上并不是安全问题。注意这些并记住,简单比较每个扫描仪发现的问题数量是没有意义的。可能会对哪种扫描器可以发现最真实的安全问题感兴趣,而最好的方法是扫描已知易受攻击的系统。如果系统已经存在已知问题,
找出扫描仪可以检查的内容
大多数漏洞扫描器都会提供扫描器检查的安全问题列表。这是帮助决定适合扫描仪的好方法。通过查看扫描仪的文档,可以确认它能够检查构成组织数字资产的软件和应用程序范围内的安全问题。我们在下面列出了一些广泛的漏洞类别,综合漏洞扫描程序应该能够检查这些漏洞,并附有一些示例:
易受攻击的软件——此类漏洞是最大的类别,因为它包括对各种第 3 方软件和硬件中已知弱点的检查。这些是安全研究人员在特定技术的某些版本中发现的弱点。其中的一些示例是 Nginx Web 服务器的弱版本、易受攻击的 FTP 服务或 Cisco 路由器或 VPN 中的弱点。
Web 应用程序漏洞– 这些是Web应用程序中的弱点。存在范围广泛的弱点,可用于获取未经授权的信息访问、危及 Web 服务器或攻击 Web 应用程序用户。其中的一些例子是弱点,例如 SQL 注入、跨站点脚本和目录遍历弱点。
常见错误和错误配置——这些是一类弱点,包括识别配置不正确的软件、常见的错误以及未遵循的安全最佳实践。其中的一些示例包括暴露的 SVN/git 存储库、开放的电子邮件中继和/或配置为显示敏感信息的 Web 服务器。
加密弱点——漏洞扫描器可以识别用于保护用户和服务器之间传输数据的加密配置中的各种弱点。这些应包括检查 SSL/TLS 实施中的弱点,例如使用弱加密密码、弱加密协议、SSL 证书配置错误以及使用未加密的服务(如 FTP)。
减少攻击面——一些扫描仪可以检测到可以减少攻击面的区域。这就是只公开你绝对需要的核心服务的原则。外部漏洞扫描器可以识别可能存在安全风险的端口和服务,方法是将它们暴露在互联网上。其中的一些示例是:公开的数据库、管理界面和敏感服务(例如SMB)。
信息泄漏——此类检查报告您的系统向最终用户报告信息的区域,这些信息应该保密。
并非所有漏洞扫描器都包括对上述所有类别的检查,并且在每个类别中,检查的数量和质量也各不相同。一些扫描器专注于一类特定的漏洞 - 例如,Web 应用程序漏洞。以 Web 应用程序为中心的扫描器不一定会检查基础架构级别的缺陷,例如正在使用的 Web 服务器中的已知漏洞。如果只使用一个漏洞扫描器,那么确保它能够处理上述所有问题当然是值得的,这样您的安全覆盖范围就不会出现任何漏洞。还可以详细了解专门针对 Windows和Linux 的漏洞扫描。
检查基本功能
市场上的漏洞扫描器种类繁多,每种都提供了一组独特的功能,这些功能提供了不同的核心功能和“可有可无”的功能,这些功能旨在让生活更轻松。
在选择扫描仪之前,有必要问问自己哪些功能对来说是必不可少的,哪些是不需要的。有了这些知识,将能够更轻松地决定搭配哪种产品。我们在下面列出了可能希望考虑的一些扫描仪功能:
报告
报告本身就是一个需要考虑的重要因素。来自漏洞扫描器的安全报告有两个主要用途:开发人员和安全工程师将使用它来修复安全漏洞,可能还需要使用它来传递给合作伙伴和客户,作为安全实践的证明。
重要的是,报告中详述的安全问题以清晰的语言提供补救建议,以便轻松解决问题。一些漏洞扫描报告难以阅读和理解,而另一些则提供了对安全问题的清晰、简洁的描述以及有关如何实施修复的简单说明。
潜在客户或合作伙伴要求提供安全证明是很常见的。将安全报告传递给第三方时,需要确保可以轻松传递格式正确的文档,该文档清楚地详细说明了所有剩余的漏洞,并让读者深入了解所测试的内容。大多数漏洞扫描器都允许在试用期间下载漏洞评估报告,所以不要忘记看一看。
漏洞扫描器成本
选择漏洞扫描器时,价格和可用预算始终是主要考虑因素。网络安全预算通常很紧张,并且有各种各样的安全产品和其他成本在争夺将用于漏洞扫描器的相同预算。值得庆幸的是,市场上的大多数漏洞扫描器与它们提供的产品相比价格合理,所以一般来说你确实物有所值。也就是说,一些漏洞扫描器更便宜,因为它们提供了一组可能不需要的精简功能,所以一些货比三家以尝试一些不同的扫描器是值得花时间的。
比较漏洞扫描器的价格也是一个值得仔细研究的领域。可归类为“漏洞扫描器”的软件种类繁多,它们提供的检查质量和范围也大相径庭。如果正在考虑的其中一个选项比其他选项便宜得多,那么可能需要进行一些额外的尽职调查,以确保它能够执行与您正在比较的其他选项相同范围的安全检查。
许可和发现扫描
大多数现代漏洞扫描器都有一个定价模型,该模型根据想要覆盖的系统数量而有所不同。定价将根据使用的扫描仪类型和需要的功能而有所不同,但总的来说,将根据数字资产的大小和扫描的系统数量付费。
正如我们在上面的“定义范围”部分中提到的,一些组织可能难以回答“我们需要多少许可证?”这个问题。在这个阶段,因为他们可能不知道他们负责多少个实时系统。这可能是一个挑战,特别是因为这个问题的答案可能会对扫描仪的成本产生重大影响。许多扫描仪都能够帮助解决这个问题,使用通常称为“发现扫描”的方法。发现扫描是一种轻触式扫描,旨在发现哪些系统处于活动状态,哪些系统未处于活动状态。比如你可能有一个公网IP地址范围,比如1.2.3.4/24,对应256个IP地址。很可能并非所有这些都在使用中,
这是发现扫描有用的地方。可以对IP范围运行简单的扫描,以发现哪些响应 - 那些不响应任何端口上的探测的IP要么处于非活动状态,要么未暴露给扫描仪,因此不需要这些的许可证。一些现代扫描仪可以通过运行发现扫描并仅在实时系统上使用许可证来自动为保存许可证。此功能可以节省时间和金钱,因为可以输入所有已知的 IP,扫描器只会向收取当前有效和正在使用的 IP。
扫描系统的频率
现在已经决定了哪些系统应该在范围内,以及需要什么类型的扫描仪,就可以开始扫描了。那么一些漏洞扫描频率最佳实践是什么?
这在一定程度上取决于扫描的内容以及扫描的原因。以下是要考虑的三种策略:
基于变化
快速发展的科技公司通常每天都会部署代码或基础架构更改,而其他组织可能具有相对静态的设置,并且不会对其任何系统进行定期更改。任何新的开发都可以很容易地引入新的漏洞,会想知道这些。这可能是由于配置错误或正在部署的新服务包含未知漏洞。出于这个原因,即使对系统应用了微小的更改后运行漏洞扫描也是一种明智的方法。
以卫生为本
即使不对系统进行定期更改,仍然有一个非常重要的原因需要定期扫描您的系统,而这个原因有时会被刚接触漏洞扫描的组织所忽视:安全研究人员会定期发现软件中的新漏洞各种类型,并且可以随时公开披露使利用它们变得轻而易举的公共利用代码。
每天都会发现新的漏洞,因此即使系统没有部署任何更改,它们也可能在一夜之间变得脆弱。
没有软件可以不受此经验法则的约束。无论是Web服务器、操作系统、使用的特定开发框架、远程工作 VPN 还是防火墙。
臭名昭著的WannaCry网络攻击向我们表明,在这种情况下,时间可能很紧迫,如果组织没有在合理的时间内做出反应以发现和修复其安全问题,就会将自己置于危险之中。微软发布了针对 WannaCry漏洞的补丁,该漏洞曾在攻击发生前 59 天传播。更重要的是,攻击者能够在公开漏洞被泄露后仅 28 天就产生漏洞并开始危害机器。另请记住,这是一个未进行任何开发或更改的服务示例。
仅查看本案例的时间表,很明显,如果不在 30-60 天的时间内运行漏洞扫描和修复问题,就会冒很大的风险。至少每月使用一次漏洞扫描器可以让您保持领先于这些令人讨厌的意外。
基于合规性
如果出于合规性原因运行漏洞扫描,那么特定法规通常会明确规定应该多久执行一次漏洞扫描。例如,PCI DSS 要求每季度对其范围内的系统执行一次外部扫描。但是,Intruder 建议仔细考虑您的扫描策略,因为监管规则是一种放之四海而皆准的准则,可能不适合业务。简单地将这个90天的规定与上面WannaCry示例中看到的时间表进行比较,我们就会知道这样的指导方针并不总是切中要害。
总而言之,作为最低限度,Intruder建议至少每月运行一次完整的漏洞扫描。最重要的是,当发生新的更改或开发以及发现严重的新漏洞时,运行增量扫描非常重要。
虽然其中大部分可以自动化,但掌握安全新闻和最新漏洞所需的资源可能会阻碍有效的漏洞管理。选择一个可以自动检查您的系统是否存在最新威胁的漏洞扫描器将有助于减少工作量并使安全策略有效,即使在资源紧张的情况下也是如此。
运行第一次扫描
所以,假设已经选择了要搭配的扫描仪——太棒了!
以下是在注册并开始首次扫描之前需要考虑的一些重要提示:
扫描仪可以访问系统吗?
这听起来很明显,但这很容易犯错误!当开始扫描时,漏洞扫描器对系统一无所知,因此如果它没有发现任何打开的端口或服务,它可能会报告一个干净的状态——没有问题。如果防火墙阻止了扫描器,或者扫描器无法访问正在扫描的系统,那么它将无法发现任何安全问题。当检查扫描结果时,这种情况可能不会立即显而易见,因此值得考虑。
入侵防御系统
任何系统是否受到入侵防御系统 (IPS/IDS) 或 Web 应用程序防火墙 (WAF) 的保护?
一些安全技术旨在保护系统,但可能会妨碍充分利用漏洞扫描器。这些系统是对安全套件的重要补充,但如果配置不当,它们会干扰扫描结果,甚至可能会悄无声息地阻止漏洞扫描器执行其工作。这些系统旨在将坏人拒之门外,但允许它们阻止漏洞扫描器尝试完成其工作是没有意义的,因此请确保已将安全软件配置为将扫描器列入白名单。将漏洞扫描器列入白名单似乎不切实际(因为真正的坏人没有被列入白名单),但这实际上是保护系统的最可靠方法。
考虑在未来发现 WAF 中的漏洞允许攻击者绕过它的情况。或者黑客可能已经破坏了另一个已经列入白名单的系统。为了防止这些类型的攻击,漏洞扫描器需要能够在保护层下进行扫描,这样就可以了解如果这些保护失败,这些系统将如何运行。
将扫描仪列入白名单以允许不受阻碍地访问系统将最大限度地提高成功发现否则会被阻止的安全问题的机会。需要注意的是,IPS 系统和其他保护技术(如 WAF)是一项很好的附加措施,但不应将它们作为抵御攻击的唯一保护措施。虽然他们通常擅长阻止一系列攻击,但他们并非万无一失。绕过它们的保护的方法经常被发现,黑客可以使用使这些系统无法检测到他们的攻击的技术。
原文始发于微信公众号(河南等级保护测评):漏洞扫描终极指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论