自動化漏洞掃描工具使用指南
譯文【51CTO.com快譯】作為企業(yè)的IT安全管理員,您的重要任務(wù)之一,一定離不開全面的漏洞管理。即,全方位地評估、報告和緩解企業(yè)內(nèi)部技術(shù)棧中,存在的各項安全弱點和網(wǎng)絡(luò)威脅。而面對此類繁雜復(fù)雜的工作時,我們往往需要借助自動化的漏洞掃描程序,來更加高效地識別出潛在的弱點,并實現(xiàn)對于漏洞的基礎(chǔ)性管理。
從原理上說,漏洞掃描應(yīng)用會幫助團(tuán)隊,優(yōu)先創(chuàng)建已連接到企業(yè)內(nèi)網(wǎng)中所有系統(tǒng)和設(shè)備的清單,然后它會記錄操作系統(tǒng)、目標(biāo)軟件、以及與各種在冊部件的詳細(xì)信息,最后逐一實施安全管理。
下面,我們將深入探討企業(yè)為何采用自動化漏洞掃描,可采用的各種掃描機制,以及一些時下流行的自動化漏洞掃描工具。
一、自動化漏洞掃描的基本原理
前文提到了漏洞掃描工具可以識別網(wǎng)絡(luò)內(nèi)的各種資產(chǎn),其中包括:服務(wù)器、筆記本電腦、防火墻、打印機、以及應(yīng)用容器等,并不斷收集它們的具體運作細(xì)節(jié)。同時,此類掃描工具具有審計、日志記錄、威脅建模、報告和修復(fù)等組合性功能,并在此基礎(chǔ)上,允許企業(yè)在任何給定的時間內(nèi),去評估自身的安全態(tài)勢。
除了時常被作為企業(yè)網(wǎng)絡(luò)安全的優(yōu)秀實踐,各國政府的法規(guī)和行業(yè)標(biāo)準(zhǔn)也通常會要求企業(yè),通過漏洞掃描工具來確保數(shù)據(jù)得到安全的保護(hù)。盡管不同行業(yè)的具體實現(xiàn)用例可能有所不同,但采用自動化的漏洞掃描方式,一般可以為企業(yè)帶來如下好處:
1.主動安全
鑒于黑客通常會將應(yīng)用服務(wù)的漏洞,作為入侵系統(tǒng)的入口,自動化漏洞掃描工具能夠讓安全團(tuán)隊,搶在各種漏洞被利用,進(jìn)而危害到企業(yè)現(xiàn)有資產(chǎn)之前,予以報告并修復(fù)。
2.風(fēng)險評估
定期執(zhí)行漏洞掃描,會使得IT和安全團(tuán)隊能夠掌握,針對當(dāng)前系統(tǒng)已實施的安全控制的有效性。而且,在安全專家完成了某個錯誤和漏洞的修復(fù)之后,還可通過再次執(zhí)行掃描的方式,評估整體的改進(jìn)效果。
3.降低成本和開發(fā)時間
顯然,自動化掃描可以通過無縫地執(zhí)行測試,省去了各種既耗時、又耗力的人工操作。此外,漏洞掃描工具還能夠縮短修復(fù)漏洞的開發(fā)周期、以及高昂的成本。
4.合規(guī)
業(yè)界的各種合規(guī)性法律往往會要求企業(yè),遵循適當(dāng)?shù)募夹g(shù)和安全措施,以妥善處理持有的數(shù)據(jù)。此類合規(guī)標(biāo)準(zhǔn)包括我們耳熟能詳?shù)模和ㄓ脭?shù)據(jù)保護(hù)條例(GDPR)、健康信息隱私和責(zé)任法案(HIPAA)、以及支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)等。
二、漏洞管理的流程
為了最小化攻擊的潛在威脅,我們可以通過如下流程,來實施針對漏洞的檢測與管理:
1.漏洞識別
企業(yè)可以使用各種依賴于最新漏洞數(shù)據(jù)庫、以及威脅情報技術(shù)的工具,來識別系統(tǒng)組件上的漏洞,進(jìn)而創(chuàng)建待修復(fù)的組件清單。漏洞掃描工具可以憑借著實時、完整的監(jiān)控特性,在威脅發(fā)起攻擊之時,立即識別出來。
2.風(fēng)險評估
一旦漏洞被識別,我們就需要通過評級系統(tǒng),根據(jù)它們的時效特征、以及固有危害性,來評估其影響性,進(jìn)而對它們進(jìn)行優(yōu)先級的權(quán)重評定。據(jù)此,管理團(tuán)隊便可根據(jù)風(fēng)險的嚴(yán)重性,確定待實施補丁的優(yōu)先級,進(jìn)而實施有效的修復(fù)。
3.修復(fù)
根據(jù)漏洞的優(yōu)先級,安全專家開始計劃并籌備通過加強監(jiān)控,限制對高風(fēng)險子系統(tǒng)的訪問等修復(fù)措施,從而在應(yīng)用的補丁被發(fā)布之前,從系統(tǒng)與組件級別,阻止可能的攻擊。
4.報告
我們通過記錄和報告已處置的漏洞,以及針對應(yīng)用的補救措施,以展示企業(yè)對于安全態(tài)勢的認(rèn)知與掌控。同時,各種合規(guī)性要求,也需要通過報告,來為企業(yè)的問責(zé)制進(jìn)行背書。
1.內(nèi)部漏洞掃描
內(nèi)部掃描機制主要針對的是企業(yè)的內(nèi)部網(wǎng)絡(luò)。掃描工具會識別出系統(tǒng)內(nèi)部的各種攻擊向量(attack vectors),其中就包括了由惡意員工所帶來的弱點與威脅。
2.外部漏洞掃描
外部掃描機制主要針對的是暴露于外部網(wǎng)絡(luò)(如,互聯(lián)網(wǎng))的IT系統(tǒng),包括:面向外部的應(yīng)用程序、網(wǎng)絡(luò)、服務(wù)、端口、以及網(wǎng)站等。此類掃描工具會關(guān)注于對于客戶和其他外部用戶在訪問目標(biāo)系統(tǒng)時,可能產(chǎn)生的漏洞與威脅。
3.認(rèn)證成功與否的掃描
針對認(rèn)證成功(即,持有信任憑據(jù))的掃描,主要著眼于企業(yè)的IT系統(tǒng)內(nèi)部,檢查那些已登錄進(jìn)來的受信任用戶,在安全環(huán)境中的行為表現(xiàn)。針對認(rèn)證失敗(即,無憑據(jù)或憑據(jù)有錯)的掃描,雖然無法介入系統(tǒng)的可信訪問,但是可以從外部攻擊者的角度,提供有價值的安全洞見。
4.自動化漏洞掃描工具的選擇
目前,在安全測試的市場,有著許多類型的漏洞掃描工具。下面,我們來討論在工具選擇的過程中,有哪些需要考慮的因素和注意的事項。
5.漏洞掃描的覆蓋率
通常,雖然各家漏洞掃描工具都具備了基本的漏洞識別能力,但是,我們還是希望待選工具能夠降低設(shè)置安全監(jiān)控的成本和復(fù)雜性。這不但可以保證具有廣泛的掃描覆蓋率,而且避免了安全團(tuán)隊針對某些安全盲區(qū),而實施的額外集成。
6.Web技術(shù)棧的覆蓋
大多數(shù)漏洞掃描程序一旦被啟動,就會去爬取整個Web應(yīng)用,以獲悉完整的系統(tǒng)架構(gòu)、及其安全態(tài)勢。但是,該目標(biāo)往往需要建立在識別Web應(yīng)用的每個表單、頁面、以及組件元素的基礎(chǔ)上。作為一款恰當(dāng)?shù)穆┒磼呙韫ぞ撸瑧?yīng)當(dāng)具有橫跨多個開發(fā)棧、框架、以及部署環(huán)境的識別能力,才能有效地管理漏洞。
7.易用性
作為一個復(fù)雜而全面的掃描過程,漏洞管理工具顯然需要對企業(yè)的網(wǎng)絡(luò)、設(shè)備和服務(wù)具有深入的洞察。但是,我們無法保證企業(yè)中的每一位安全運維人員,都具備足夠的基礎(chǔ)知識,并能夠?qū)β┒磼呙柽M(jìn)行執(zhí)行與判斷。因此,漏洞掃描工具應(yīng)當(dāng)事先抽象、并簡化所有涉及到采集、識別和檢測威脅的人工作業(yè),以便讓運維團(tuán)隊更加專注于某些特殊的異常活動。
8.速度和掃描質(zhì)量
鑒于安全威脅的突發(fā)性和易于蔓延的特點,漏洞掃描工具應(yīng)當(dāng)能夠在短時間內(nèi),根據(jù)各個應(yīng)用程序與網(wǎng)絡(luò)資源的運行狀態(tài),持續(xù)識別并刷新已發(fā)現(xiàn)的漏洞清單。同時,該工具應(yīng)當(dāng)能夠最大限度地減少誤報,以確保漏洞掃描報告的質(zhì)量。
9.合規(guī)
某些高要求的行業(yè)(如,醫(yī)療保健、金融和國防)通常需要出具更深層次的漏洞評估與報告,以滿足監(jiān)管配置的合規(guī)性。對此,它們往往需要根據(jù)HIPAA、GDFR和ISO等監(jiān)管機構(gòu)所倡導(dǎo)的安全實施標(biāo)準(zhǔn),來選擇掃描工具。
10.修復(fù)建議
對于一些已經(jīng)全面實現(xiàn)運維自動化的企業(yè)而言,它們往往希望掃描工具能夠提供針對常見漏洞的自動化修復(fù)方案,以及針對更為復(fù)雜漏洞的合理化措施。這對于那些跨職能的團(tuán)隊而言,是非常實用的。畢竟,安全是整個企業(yè)的共同責(zé)任。
四、自動化漏洞掃描工具的類型
我們可以根據(jù)操作模式和運行環(huán)境,將自動化漏洞掃描工具歸納為如下類型:
1.基于網(wǎng)絡(luò)的掃描
基于網(wǎng)絡(luò)的漏洞掃描工具可被用于發(fā)現(xiàn),那些連接著企業(yè)內(nèi)、外部網(wǎng)絡(luò)設(shè)備上的安全態(tài)勢。其目標(biāo)是使得安全團(tuán)隊能夠識別出,可能存在于網(wǎng)絡(luò)邊界處的受攻擊面。
2.基于主機的掃描
基于主機的漏洞掃描工具能夠協(xié)助安全團(tuán)隊,識別出內(nèi)網(wǎng)中各類主機(包括,工作站、服務(wù)器、以及筆記本電腦等)上,可能會被“爬取”的系統(tǒng)類型、補丁歷史記錄、配置信息、以及攻擊者未經(jīng)身份認(rèn)證而進(jìn)入系統(tǒng)的可能性與破壞程度。
3.無線掃描
通過對企業(yè)無線網(wǎng)絡(luò)的掃描,檢測可能受到惡意攻擊的接入點,以及驗證WiFi網(wǎng)絡(luò)的安全態(tài)勢。
五、應(yīng)用程序漏洞掃描工具
此類掃描程序包括:動態(tài)應(yīng)用程序安全測試(Dynamic Application Security Tests,DAST)、交互式應(yīng)用程序安全測試(Interactive Application Security Tests,IAST)、靜態(tài)應(yīng)用程序安全測試(Static Application Security Tests,SAST)、以及運行時應(yīng)用程序自我保護(hù)(Runtime Application Self-Protection,RASP)等類型的工具。
1.數(shù)據(jù)庫掃描工具
大多數(shù)Web應(yīng)用都會依賴數(shù)據(jù)庫來存儲關(guān)鍵信息。而針對數(shù)據(jù)庫的掃描工具,能夠識別諸如:SQL注入攻擊等,典型的數(shù)據(jù)庫管理系統(tǒng)(DBMS)中的漏洞。
2.流行自動化漏洞掃描工具列表
Crashtest Security Suite
這是一款端到端的、能夠與Web應(yīng)用、Javascript、API測試平臺,無縫融合的DevSecOps類工具鏈。在保證更安全的發(fā)布和部署的同時,Crashtest Security通過參照OWASP Top 10的基準(zhǔn),實現(xiàn)了較低的誤報率(包括false positive和false negative)。同時,它能夠提供各種用戶友好的格式輸出、準(zhǔn)確的報告、以及切實可行的修復(fù)建議。
Netsparker
該平臺通過包含可用于漏洞評估的多種集成與安全方案,實現(xiàn)了自主、快速地檢測和描述漏洞,并及時提供包含修復(fù)意見的報告。
Acunetix
該Web應(yīng)用安全掃描工具同時提供付費和開源兩個版,可以掃描高達(dá)6500種漏洞。Acunetix能夠通過對大規(guī)模的網(wǎng)絡(luò)和應(yīng)用執(zhí)行自動化掃描,為運維團(tuán)隊提供深入的洞見。
Metasploit
開源的Metasploit框架,通過進(jìn)行滲透測試和入侵檢測,以發(fā)現(xiàn)整個基礎(chǔ)架構(gòu)中的系統(tǒng)級漏洞,進(jìn)而提高企業(yè)的安全態(tài)勢。同時,Metasploit也可以通過定制,來滿足各種Web應(yīng)用的特定安全需求。
Nmap
作為另一種開源式漏洞掃描工具,Nmap可被用于發(fā)現(xiàn)操作系統(tǒng)和網(wǎng)絡(luò)主機中的各種漏洞。
IBM Security QRadar
這是一個功能豐富的安全情報平臺,可以讓運維團(tuán)隊快速地識別、分析和修復(fù)各種潛在的威脅。該平臺的人工智能技術(shù),可被用來檢測可能出現(xiàn)的新型威脅和模型事件,并及時提供修復(fù)建議。
Nessus Professional
Nessus是全面的漏洞評估和配置管理平臺。通過掃描各類漏洞,它能夠主動地保護(hù)目標(biāo)網(wǎng)絡(luò),免受各類攻擊。
Burp Suite
Burp Suite是由PortSwigger開發(fā)的一款Web應(yīng)用安全測試方案,可以協(xié)助企業(yè)通過自動化掃描的方式,對抗各種零日威脅(zero-day threats)。同時,該套件也可以通過滲透測試功能,來識別各種SQLi攻擊對于Web服務(wù)器的影響。
六、小結(jié)
總的說來,自動化漏洞掃描工具包括了各種可定制的高級測試案例,可用于掃描應(yīng)用環(huán)境中的各種潛在漏洞,并通過詳細(xì)報告的形式,提出相應(yīng)的修復(fù)建議。其自動化特性,也消除了運維人員各項繁瑣的手動工作。因此,我們可以通過適當(dāng)選擇工具,來為企業(yè)構(gòu)建良好的安全態(tài)勢。
原文標(biāo)題:Your Guide to Automated Vulnerability Scanners: Types, Benefits, and More,作者:Sudip Sengupta
【51CTO譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】
