說(shuō)一說(shuō)漏洞掃描
漏洞掃描一般指掃描暴露在外網(wǎng)或者內(nèi)網(wǎng)里的系統(tǒng)、網(wǎng)絡(luò)組件或應(yīng)用程序����,檢測(cè)其中的漏洞或安全弱點(diǎn)�,而漏洞掃描器則是用來(lái)執(zhí)行漏洞掃描的工具�。漏洞掃描器一般基于漏洞數(shù)據(jù)庫(kù)來(lái)檢查遠(yuǎn)程主機(jī),漏洞數(shù)據(jù)庫(kù)包含了檢查安全問(wèn)題的所有信息(服務(wù)���、端口�����、包類型、潛在的攻擊路徑����,等等)。它可以掃描網(wǎng)絡(luò)和網(wǎng)站上的上千個(gè)漏洞�,提供一個(gè)風(fēng)險(xiǎn)列表,以及補(bǔ)救的建議����。
下列人員會(huì)用到漏洞掃描器:
安全審計(jì)人員在進(jìn)行安全審計(jì)時(shí)�。
惡意攻擊者或者黑客在攻擊目標(biāo)����、獲取非法訪問(wèn)時(shí)。
程序開(kāi)發(fā)團(tuán)隊(duì)在發(fā)布環(huán)境中部署產(chǎn)品之前�。
流行的掃描工具包含下面的功能:
1.維護(hù)一個(gè)包含最新漏洞的數(shù)據(jù)庫(kù)。
2.以較低的誤報(bào)率檢測(cè)出漏洞��。
3.同時(shí)掃描多個(gè)目標(biāo)�����。
4.提供詳細(xì)的報(bào)告�����,包括請(qǐng)求和響應(yīng)對(duì)�����。
5.提供修復(fù)漏洞的建議��。
架構(gòu)(掃描器的組件)
漏洞掃描可以分成四個(gè)部分:
1�、用戶接口:用戶通過(guò)這個(gè)接口運(yùn)行和配置一個(gè)掃描。這可以是圖形界面(GUI)也可以是命令行接口(CLI)。
2���、掃描引擎:掃描引擎通過(guò)安裝和配置的插件來(lái)執(zhí)行掃描���。
3、掃描數(shù)據(jù)庫(kù):掃描數(shù)據(jù)庫(kù)保存了掃描器需要的數(shù)據(jù)����。包括,漏洞信息����、插件、消除漏洞的步驟����、CVE-ID映射(常見(jiàn)的漏洞)�����、掃描結(jié)果�����,等等。
4���、報(bào)告模塊:報(bào)告模塊提供了不同的選項(xiàng)���,可以生成不同類型的報(bào)告。比如��,詳細(xì)報(bào)告���、漏洞列表�、圖形化報(bào)告���,等等�。
掃描可以分成兩類
外網(wǎng)掃描:有一些設(shè)備和資產(chǎn)是暴露在互聯(lián)網(wǎng)的����。大部分的機(jī)構(gòu)都開(kāi)放了80或者443端口,這樣人們可以通過(guò)互聯(lián)網(wǎng)訪問(wèn)他們的網(wǎng)站���。許多管理員覺(jué)得他們實(shí)現(xiàn)了邊界防火墻����,這樣他們就很安全了。但是����,并不總是這樣的。防火墻可以依據(jù)定義的規(guī)則和策略阻止對(duì)網(wǎng)絡(luò)的非授權(quán)訪問(wèn)���,但是如果攻擊者找到了通過(guò)這些端口(比如80或者443)攻擊其它系統(tǒng)的方法����,防火墻就不能保護(hù)你了�,因?yàn)槔眠@些端口,攻擊者就自動(dòng)繞過(guò)了防火墻�����,進(jìn)入了你的網(wǎng)絡(luò)�。
外部掃描是重要的,它檢測(cè)那些面向互聯(lián)網(wǎng)的資產(chǎn)的漏洞�。攻擊者通過(guò)這些漏洞可以訪問(wèn)內(nèi)網(wǎng)。外部掃描可以通過(guò)在互聯(lián)網(wǎng)機(jī)器上運(yùn)行漏洞掃描器來(lái)實(shí)現(xiàn)���。最好在攻擊者利用已公開(kāi)的安全問(wèn)題和漏洞之前,就消除它們��。
內(nèi)網(wǎng)掃描:并不是所有的攻擊都來(lái)自外部網(wǎng)絡(luò)。黑客和惡意軟件也可以在內(nèi)網(wǎng)中出現(xiàn)���。通過(guò)以下方式���,就可以訪問(wèn)內(nèi)網(wǎng):
惡意軟件或者病毒通過(guò)互聯(lián)網(wǎng)或者USB下載到網(wǎng)絡(luò)中
一個(gè)可以訪問(wèn)內(nèi)網(wǎng)的不滿的員工
外部的黑客獲取了訪問(wèn)內(nèi)部網(wǎng)絡(luò)的權(quán)限
因此,在內(nèi)網(wǎng)里運(yùn)行漏洞掃描器也同樣重要���。在內(nèi)網(wǎng)的一臺(tái)機(jī)器上運(yùn)行漏洞掃描器�,可以對(duì)網(wǎng)絡(luò)中的關(guān)鍵組件進(jìn)行掃描�����。重要的組件包括核心路由器�����、交換機(jī)����、工作站、web服務(wù)器�����、數(shù)據(jù)庫(kù),等等����。
多久掃描一次?
每天都有很多新漏洞被發(fā)現(xiàn)��。每個(gè)新的漏洞都會(huì)增加危險(xiǎn)���。因此�����,定期掃描資產(chǎn)非常重要�。發(fā)現(xiàn)最新的安全問(wèn)題可以幫助機(jī)構(gòu)關(guān)閉安全漏洞�����,抵御攻擊���。
多久執(zhí)行一次漏洞掃描并沒(méi)有確定的數(shù)字��。根據(jù)機(jī)構(gòu)的不同而不同�。
掃描的頻率基于以下幾點(diǎn):
資產(chǎn)的重要性:越重要的資產(chǎn)掃描應(yīng)該越頻繁����,這樣就能打上最新的補(bǔ)丁。
曝光度:識(shí)別和掃描那些暴露給大量用戶的組件�。這可以是外部和內(nèi)部資產(chǎn)。
變動(dòng)現(xiàn)存環(huán)境時(shí):對(duì)現(xiàn)存環(huán)境的任何修改���,增加新的組件和資產(chǎn)等�,都應(yīng)該進(jìn)行漏洞掃描��。
免費(fèi) vs 收費(fèi)
并沒(méi)有確定的答案來(lái)回答使用免費(fèi)�、開(kāi)源的漏洞掃描器還是商業(yè)掃描器。在互聯(lián)網(wǎng)上可以下載到許多可用的漏洞掃描器���。一些是免費(fèi)的��,還有一些是收費(fèi)的版本�����。免費(fèi)版本的工具�,比如Burp�、Nessus等,在滲透測(cè)試常會(huì)用到�����。但是在一些場(chǎng)合,強(qiáng)制使用商業(yè)版�����。免費(fèi)版本的漏洞掃描器可以在初步安全掃描時(shí)使用�,但是他們也有一些限制:
掃描范圍:免費(fèi)的掃描器在掃描范圍上有限制。在比較高的層級(jí)上掃描�����,不能覆蓋到應(yīng)用程序的所有部分��。
精確性:可能會(huì)導(dǎo)致漏報(bào)�����,發(fā)現(xiàn)不了存在的安全問(wèn)題�����。與誤報(bào)相比�����,這個(gè)更為嚴(yán)重。
支持所有的攻擊和輸入載荷:免費(fèi)的掃描支持的攻擊和輸入載荷與付費(fèi)版相比要少�����。付費(fèi)版的漏洞和載荷數(shù)據(jù)庫(kù)會(huì)定期更新����,能檢查最新的漏洞�。
支持詳細(xì)的報(bào)告:大部分掃描器都支持報(bào)告功能,但是免費(fèi)版的掃描也許不能夠生成包含有請(qǐng)求-響應(yīng)對(duì)�、修補(bǔ)方法、補(bǔ)丁下載鏈接等詳細(xì)內(nèi)容的報(bào)告���。
藍(lán)隊(duì)云漏洞掃描采用旁路部署�, 部署方式靈活簡(jiǎn)單�、安全,不會(huì)對(duì)客戶業(yè)務(wù)連續(xù)性造成任何影響�����。 并且運(yùn)用智能頁(yè)面爬取�、資源動(dòng)態(tài)調(diào)節(jié)、代理緩存機(jī)制和實(shí)時(shí)任務(wù)調(diào)度等技術(shù)���,實(shí)現(xiàn)了對(duì)大規(guī)模網(wǎng)站的快速��、穩(wěn)定的掃描�。
