从原理上说,漏洞扫描应用会帮助团队,优先创建已连接到企业内网中所有系统和设备的清单,然后它会记录操作系统、目标软件、以及与各种在册部件的详细信息,最后逐一实施安全管理。
下面,我们将深入探讨企业为何采用自动化漏洞扫描,可采用的各种扫描机制,以及一些时下流行的自动化漏洞扫描工具。
一、自动化漏洞扫描的基本原理
前文提到了漏洞扫描工具可以识别网络内的各种资产,其中包括:服务器、笔记本电脑、防火墙、打印机、以及应用容器等,并不断收集它们的具体运作细节。同时,此类扫描工具具有审计、日志记录、威胁建模、报告和修复等组合性功能,并在此基础上,允许企业在任何给定的时间内,去评估自身的安全态势。
除了时常被作为企业网络安全的优秀实践,各国政府的法规和行业标准也通常会要求企业,通过漏洞扫描工具来确保数据得到安全的保护。尽管不同行业的具体实现用例可能有所不同,但采用自动化的漏洞扫描方式,一般可以为企业带来如下好处:
1.主动安全
鉴于黑客通常会将应用服务的漏洞,作为入侵系统的入口,自动化漏洞扫描工具能够让安全团队,抢在各种漏洞被利用,进而危害到企业现有资产之前,予以报告并修复。
2.风险评估
定期执行漏洞扫描,会使得IT和安全团队能够掌握,针对当前系统已实施的安全控制的有效性。而且,在安全专家完成了某个错误和漏洞的修复之后,还可通过再次执行扫描的方式,评估整体的改进效果。
3.降低成本和开发时间
显然,自动化扫描可以通过无缝地执行测试,省去了各种既耗时、又耗力的人工操作。此外,漏洞扫描工具还能够缩短修复漏洞的开发周期、以及高昂的成本。
4.合规
业界的各种合规性法律往往会要求企业,遵循适当的技术和安全措施,以妥善处理持有的数据。此类合规标准包括我们耳熟能详的:通用数据保护条例(GDPR)、健康信息隐私和责任法案(HIPAA)、以及支付卡行业数据安全标准(PCI-DSS)等。
二、漏洞管理的流程
为了最小化攻击的潜在威胁,我们可以通过如下流程,来实施针对漏洞的检测与管理:
1.漏洞识别
企业可以使用各种依赖于最新漏洞数据库、以及威胁情报技术的工具,来识别系统组件上的漏洞,进而创建待修复的组件清单。漏洞扫描工具可以凭借着实时、完整的监控特性,在威胁发起攻击之时,立即识别出来。
2.风险评估
一旦漏洞被识别,我们就需要通过评级系统,根据它们的时效特征、以及固有危害性,来评估其影响性,进而对它们进行优先级的权重评定。据此,管理团队便可根据风险的严重性,确定待实施补丁的优先级,进而实施有效的修复。
3.修复
根据漏洞的优先级,安全专家开始计划并筹备通过加强监控,限制对高风险子系统的访问等修复措施,从而在应用的补丁被发布之前,从系统与组件级别,阻止可能的攻击。
4.报告
我们通过记录和报告已处置的漏洞,以及针对应用的补救措施,以展示企业对于安全态势的认知与掌控。同时,各种合规性要求,也需要通过报告,来为企业的问责制进行背书。
三、自动化漏洞扫描的类型
1.内部漏洞扫描
内部扫描机制主要针对的是企业的内部网络。扫描工具会识别出系统内部的各种攻击向量(attack vectors),其中就包括了由恶意员工所带来的弱点与威胁。
2.外部漏洞扫描
外部扫描机制主要针对的是暴露于外部网络(如,互联网)的IT系统,包括:面向外部的应用程序、网络、服务、端口、以及网站等。此类扫描工具会关注于对于客户和其他外部用户在访问目标系统时,可能产生的漏洞与威胁。
3.认证成功与否的扫描
针对认证成功(即,持有信任凭据)的扫描,主要着眼于企业的IT系统内部,检查那些已登录进来的受信任用户,在安全环境中的行为表现。针对认证失败(即,无凭据或凭据有错)的扫描,虽然无法介入系统的可信访问,但是可以从外部攻击者的角度,提供有价值的安全洞见。
4.自动化漏洞扫描工具的选择
目前,在安全测试的市场,有着许多类型的漏洞扫描工具。下面,我们来讨论在工具选择的过程中,有哪些需要考虑的因素和注意的事项。
5.漏洞扫描的覆盖率
通常,虽然各家漏洞扫描工具都具备了基本的漏洞识别能力,但是,我们还是希望待选工具能够降低设置安全监控的成本和复杂性。这不但可以保证具有广泛的扫描覆盖率,而且避免了安全团队针对某些安全盲区,而实施的额外集成。
6.Web技术栈的覆盖
大多数漏洞扫描程序一旦被启动,就会去爬取整个Web应用,以获悉完整的系统架构、及其安全态势。但是,该目标往往需要建立在识别Web应用的每个表单、页面、以及组件元素的基础上。作为一款恰当的漏洞扫描工具,应当具有横跨多个开发栈、框架、以及部署环境的识别能力,才能有效地管理漏洞。
7.易用性
作为一个复杂而全面的扫描过程,漏洞管理工具显然需要对企业的网络、设备和服务具有深入的洞察。但是,我们无法保证企业中的每一位安全运维人员,都具备足够的基础知识,并能够对漏洞扫描进行执行与判断。因此,漏洞扫描工具应当事先抽象、并简化所有涉及到采集、识别和检测威胁的人工作业,以便让运维团队更加专注于某些特殊的异常活动。
8.速度和扫描质量
鉴于安全威胁的突发性和易于蔓延的特点,漏洞扫描工具应当能够在短时间内,根据各个应用程序与网络资源的运行状态,持续识别并刷新已发现的漏洞清单。同时,该工具应当能够最大限度地减少误报,以确保漏洞扫描报告的质量。
9.合规
某些高要求的行业(如,医疗保健、金融和国防)通常需要出具更深层次的漏洞评估与报告,以满足监管配置的合规性。对此,它们往往需要根据HIPAA、GDFR和ISO等监管机构所倡导的安全实施标准,来选择扫描工具。
10.修复建议
对于一些已经全面实现运维自动化的企业而言,它们往往希望扫描工具能够提供针对常见漏洞的自动化修复方案,以及针对更为复杂漏洞的合理化措施。这对于那些跨职能的团队而言,是非常实用的。毕竟,安全是整个企业的共同责任。
四、自动化漏洞扫描工具的类型
我们可以根据操作模式和运行环境,将自动化漏洞扫描工具归纳为如下类型:
1.基于网络的扫描
基于网络的漏洞扫描工具可被用于发现,那些连接着企业内、外部网络设备上的安全态势。其目标是使得安全团队能够识别出,可能存在于网络边界处的受攻击面。
2.基于主机的扫描
基于主机的漏洞扫描工具能够协助安全团队,识别出内网中各类主机(包括,工作站、服务器、以及笔记本电脑等)上,可能会被“爬取”的系统类型、补丁历史记录、配置信息、以及攻击者未经身份认证而进入系统的可能性与破坏程度。
3.无线扫描
通过对企业无线网络的扫描,检测可能受到恶意攻击的接入点,以及验证WiFi网络的安全态势。
五、应用程序漏洞扫描工具
此类扫描程序包括:动态应用程序安全测试(Dynamic Application Security Tests,DAST)、交互式应用程序安全测试(Interactive Application Security Tests,IAST)、静态应用程序安全测试(Static Application Security Tests,SAST)、以及运行时应用程序自我保护(Runtime Application Self-Protection,RASP)等类型的工具。
1.数据库扫描工具
大多数Web应用都会依赖数据库来存储关键信息。而针对数据库的扫描工具,能够识别诸如:SQL注入攻击等,典型的数据库管理系统(DBMS)中的漏洞。
2.流行自动化漏洞扫描工具列表
Crashtest Security Suite
这是一款端到端的、能够与Web应用、Javascript、API测试平台,无缝融合的DevSecOps类工具链。在保证更安全的发布和部署的同时,Crashtest Security通过参照OWASP Top 10的基准,实现了较低的误报率(包括false positive和false negative)。同时,它能够提供各种用户友好的格式输出、准确的报告、以及切实可行的修复建议。
Netsparker
该平台通过包含可用于漏洞评估的多种集成与安全方案,实现了自主、快速地检测和描述漏洞,并及时提供包含修复意见的报告。
Acunetix
该Web应用安全扫描工具同时提供付费和开源两个版,可以扫描高达6500种漏洞。Acunetix能够通过对大规模的网络和应用执行自动化扫描,为运维团队提供深入的洞见。
Metasploit
开源的Metasploit框架,通过进行渗透测试和入侵检测,以发现整个基础架构中的系统级漏洞,进而提高企业的安全态势。同时,Metasploit也可以通过定制,来满足各种Web应用的特定安全需求。
Nmap
作为另一种开源式漏洞扫描工具,Nmap可被用于发现操作系统和网络主机中的各种漏洞。
IBM Security QRadar
这是一个功能丰富的安全情报平台,可以让运维团队快速地识别、分析和修复各种潜在的威胁。该平台的人工智能技术,可被用来检测可能出现的新型威胁和模型事件,并及时提供修复建议。
Nessus Professional
Nessus是全面的漏洞评估和配置管理平台。通过扫描各类漏洞,它能够主动地保护目标网络,免受各类攻击。
Burp Suite
Burp Suite是由PortSwigger开发的一款Web应用安全测试方案,可以协助企业通过自动化扫描的方式,对抗各种零日威胁(zero-day threats)。同时,该套件也可以通过渗透测试功能,来识别各种SQLi攻击对于Web服务器的影响。
六、小结
总的说来,自动化漏洞扫描工具包括了各种可定制的高级测试案例,可用于扫描应用环境中的各种潜在漏洞,并通过详细报告的形式,提出相应的修复建议。其自动化特性,也消除了运维人员各项繁琐的手动工作。因此,我们可以通过适当选择工具,来为企业构建良好的安全态势。
原文Your Guide to Automated Vulnerability Scanners: Types, Benefits, and More,作者:Sudip Sengupta
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】