聊聊網絡安全漏洞掃描工具和服務
介紹
漏洞掃描是一個廣泛的術語,用于描述檢測組織安全程序中的缺陷的自動化過程。這涵蓋補丁管理流程、強化程序和軟件開發生命周期 (SDLC) 等領域。提供漏洞掃描的服務或產品通常也稱為漏洞評估系統 (VAS)。
作為有效的漏洞管理計劃 (VMP) 的一部分,漏洞掃描解決方案是一種經濟實惠的自動檢測組織網絡內安全問題的方法。然而,漏洞掃描產品和服務市場涵蓋許多專業領域,并包括涉及部署模型和許可成本等問題的廣泛選項。這些復雜性可能在為自己的組織購買漏洞掃描解決方案時難以做出正確的選擇。
本指南旨在為廣大受眾提供選擇合適的漏洞掃描解決方案的工具。
受眾和結構
該指南幫助中小企業、大型組織和公共部門機構:
- 了解漏洞掃描的基礎知識以及它如何與 VMP 集成
- 決定何時以及如何最有效地使用漏洞掃描
- 購買漏洞掃描解決方案時設定重要標準
該指南分為四個步驟,首先評估當前的漏洞掃描設置,然后再考慮您需要的掃描器類型。然后我們考慮掃描什么以及何時掃描,最后給出一些一般性的建議。
漏洞掃描的優點
組織應利用漏洞掃描的原因有很多:
- 自動化:掃描可以按計劃、按需或響應觸發事件(例如軟件項目的新構建或新服務器的部署)運行。這使得能夠維護漏洞狀況的最新視圖。
- 速度:掃描儀通常會以比手動測試快得多的速度執行數百甚至數千次檢查。
- 成本效益:速度和自動化的優勢使得針對目標執行漏洞掃描比手動測試更加經濟。
- 可擴展性:現代基于云的架構意味著服務可以增加或減少其資源,以便能夠在相似的時間范圍內掃描小型或大型環境。
- 合規性:許多漏洞掃描解決方案包括定制檢查,以測試是否符合通用信息安全標準或組織自己的基線控制集。
- 準確性:通過執行定制檢查來確認漏洞的存在,掃描儀可以產生比簡單地引用軟件資產管理解決方案中保存的信息更可靠的結果。
最重要的是,漏洞掃描使組織能夠跟上有意破壞系統的個人和團體的步伐,其中許多人使用類似的工具和技術來發現安全缺陷。
漏洞掃描與手動測試的關系
應該指出的是,在測試覆蓋的廣度和深度方面,自動化漏洞掃描無法與滲透測試等手動流程相比。
相反,自動掃描應被視為查找和管理常見安全問題的一種經濟高效的方式,而無需雇用專業的安全測試人員。
同樣,通過定期漏洞掃描處理“容易實現的目標”,滲透測試可以更有效地關注更適合人類的復雜安全問題。
1. 評估現有的漏洞管理計劃
漏洞掃描僅在作為更大的漏洞管理計劃 (VMP) 的一部分時才能有效降低組織的風險。
VMP程序通常包括以下流程:
- 系統發現:識別組織擁有的資產;
- 資產分類:根據共同特征將資產分配到組或類別中;
- 漏洞檢測:查找并驗證資產中的漏洞;
- 漏洞分類:根據技術或業務目標對漏洞進行優先級排序;
- 漏洞修復:就已識別問題的修復提供建議并驗證;
- 漏洞披露:為安全研究人員提供披露相關漏洞的機制。
支持VMP
漏洞掃描解決方案通常包含支持VMP或與VMP集成的功能,例如:
- 通過定期掃描IP地址范圍內的新主機或新的Web應用程序來執行系統發現
- 根據現有資產管理記錄驗證發現的系統
- 定制漏洞報告的呈現方式,以符合您的業務或組織的優先級
- 通過重新掃描特定問題并在確認問題已修復后進行報告來支持修復過程
- 與錯誤跟蹤器或源代碼存儲庫等其他系統集成,以幫助協調和自動化工作流程
- 為用戶提供安全的身份驗證門戶,以協作登錄和管理漏洞
需要什么功能?
這些功能的可用性將在多大程度上影響對漏洞掃描解決方案的選擇,取決于現有的VMP以及它們是否會改善情況或只是帶來不必要的復雜性。
例如,尚未部署VMP的組織可能會受益于包含中央門戶的服務,該門戶允許不同的管理員查看和管理與其自己系統相關的漏洞。
相比之下,擁有成熟、成熟的MVP的組織可能已經具備此類功能,因此可能只需要一個支持結果導出的產品,以便它們可以輕松地與現有解決方案集成。
本指南末尾記錄了購買漏洞掃描解決方案時應考慮的其他功能。
2. 確定資產
“資產”一詞在漏洞掃描上下文中用于定義與漏洞關聯的實體(物理或虛擬)。
根據所進行的掃描類型,這可以采取多種形式,例如:
- 網絡基礎設施組件,例如路由器或交換機
- 連接的虛擬或物理主機,例如筆記本電腦、外圍設備或服務器
- Web 平臺或應用程序的實例
- 基于云的主機或端點
組織擁有涵蓋部分或全部類別的各種資產是很常見的,盡管有些資產可能比其他資產更為普遍。重要的是要識別并記錄這些內容(最好在資產登記冊中),以便找到最合適類型的漏洞掃描程序。許多供應商按“每件資產”收取掃描服務費用,因此準確了解資產數量對于在采購前估算成本至關重要。這可以借助(通常免費提供的)端口掃描工具來查找網絡上的活動主機來實現。
可能會發現部分 IT 資產高度分散,例如由于用戶使用自己的移動設備遠程工作。在這種情況下,請重點關注旨在由這些設備遠程訪問的任何常見服務。例如,用戶可能需要登錄到可從外部訪問的單個Web門戶或虛擬專用網絡服務器。雖然位于內部網絡外圍的最終用戶設備的安全性仍然很重要,但遠程漏洞掃描在這些情況下不太可能有好處。相反,遠程設備應該通過確保軟件保持最新來避免常見漏洞。
一旦確定了組織內的所有相關資產,應該將它們分成不同的邏輯組。例如,可能希望將與主網站關聯的任何服務器主機或 Web 應用程序放入一個類別,并將內部桌面資產放入另一類別。這有助于為各個漏洞掃描定義單獨的、更易于管理的范圍。
正如上面“評估現有的漏洞管理計劃”中提到的,一些解決方案通過自動執行系統發現和分類來支持此過程。
3. 選擇合適類型的漏洞掃描程序
漏洞掃描器通常根據其要評估的目標類型進行分類。最廣泛的區別在于“基礎設施”和“應用程序”之間。
應用程序掃描器進一步細分為針對 Web 應用程序的掃描器和針對本機應用程序的掃描器。掃描儀還適用于許多專業子類別,例如云基礎設施、移動應用程序或使用特定平臺或技術構建的Web應用程序。
雖然專用掃描儀可以為其要評估的目標類型提供最準確和相關的結果,但組織的 IT 資產可能包含太多變化,因此此類解決方案無法自行提供全面的覆蓋范圍。因此,您應該首先尋求建立基礎級別的通用掃描,以確保對最常見的基礎設施問題進行良好的覆蓋。
如果組織暴露其他特定類別的資產(例如上面提到的資產)并且預算允許,我們建議采用分層掃描方法,通過使用更專業的掃描儀來補充基礎掃描。
基礎設施掃描儀
基礎設施掃描解決方案通常側重于識別和測試網絡其余部分或整個互聯網可訪問的服務。為此,它們通常包括主機發現和端口掃描功能。
一旦發現可訪問的網絡服務,他們通常會對其進行探測以發現盡可能多的信息。使用“指紋識別”或“橫幅抓取”等技術,掃描儀可以收集軟件的供應商和版本號等詳細信息。許多基礎設施掃描儀還會向某些類型的服務發送安全測試消息,以探測更多信息的響應或直接測試漏洞是否存在。一旦獲得服務“指紋”,也會根據已知包含安全漏洞的產品知識庫來引用該服務“指紋”。
雖然一些網絡漏洞掃描器也使用比這更先進的方法,甚至可以支持首先需要身份驗證的檢查,但在覆蓋范圍方面,它們通常注重廣度而不是深度。例如,此類掃描儀通常缺乏導航 Web 應用程序或檢測需要與專用協議進行復雜交互的漏洞的能力。然而,他們很可能能夠檢測到由于在這些相同端口上使用過時的軟件或弱加密設置而產生的漏洞。
因此,網絡漏洞掃描器是監控具有大量外部足跡的網絡的絕佳選擇,以發現可能被來自互聯網或公司內部網絡的攻擊所利用的新的常見漏洞。它們對于主要由“現成”解決方案組成且很少或根本不包含定制開發軟件的 IT 資產也更有用。
Web 應用程序掃描儀
Web應用程序掃描器專門設計用于檢測通過HTTP/S暴露的應用程序和 Web服務中的漏洞。
它們通過與Web瀏覽器幾乎相同的方式與應用程序交互來實現此目的,盡管能夠以更快的速度發送請求,并制定為從Web服務器引出表明存在漏洞的響應。
Web 應用程序掃描程序通常會檢查可能影響 Web 服務器本身和應用程序的其他用戶的各種安全問題。通常與OWASP Top 10等出版物一致,這是定期更新的Web應用程序最關鍵安全風險列表。與網絡基礎設施掃描器不同,Web應用程序掃描器旨在檢測定制(通常很復雜)Web應用程序中的漏洞。
高級Web應用程序掃描儀還可能支持更精細的配置。這可能包括為目標應用程序指定登錄頁面和憑據的能力,或者排除特定類型的掃描或頁面的能力。如果沒有這些功能,掃描儀就不可能對更復雜的Web應用程序實現良好的測試覆蓋率,或者可能產生不良的副作用,例如重復表單提交產生的大量數據庫條目。一般來說,掃描儀越適合目標Web應用程序,結果就越相關和有用。
當與網絡漏洞掃描器結合使用時,或者當自定義 Web 應用程序占據大部分外部網絡足跡并因此給您的企業或組織帶來大部分風險時,Web 應用程序安全掃描器是一個絕佳的選擇。(英國NCSC的 Web Check 服務就是此類服務的一個示例,盡管該服務只能向公共部門提供。Web Check 專門設計為“輕觸式”,旨在檢測最常見且廣泛適用的安全問題。)
在選擇漏洞掃描服務時,需要考慮漏洞掃描的中可能引入的風險,雖然漏洞掃描沒有滲透測試要求那么高,但是專業性還是非常強的。所有專業的工作,都是需要有專業的人來執行,是將風險降低的最優有效手段。不專業的人的操作,本身就是對網絡安全不負責的行為,引入的風險將是更加隱蔽更加危險的行為。
本機軟件掃描儀
這些掃描解決方案與相應的 Web 應用程序解決方案類似,旨在識別自定義應用程序構建和部署中的常見缺陷。
然而,與 Web 應用程序掃描儀不同的是,本機軟件掃描解決方案設計為在內部設置中運行,通常與正在評估的軟件產品在同一主機上,或者可以直接訪問其源代碼的地方。這使得能夠執行通過與網絡暴露有限的外部 Web 應用程序交互而無法進行的檢查。
檢測和管理軟件開發過程中的漏洞超出了本指南的范圍,但是可以在此處找到有關此主題的更多信息,作為安全開發原則之一。
比較基礎設施和Web應用程序掃描儀
漏洞掃描類型 | 相關資產 | 已識別問題的示例 |
基礎設施 |
|
|
Web應用程序 |
|
|
4. 選擇部署模型
漏洞掃描解決方案和服務市場包括傳統的本地模型和日益流行的供應商托管模型。應該選擇最能與基礎設施集成并滿足組織的安全約束的部署模型
本地解決方案
通過本地部署,客戶需要在自己的基礎設施上自行托管掃描產品。例如,這可能涉及數據中心內的虛擬機 (VM) 或物理設備。
這種類型的部署使得掃描沒有外部網絡連接的網絡區域變得更加容易。在此類部署中,數據也存儲在本地,因此確保您可以完全控制與系統漏洞相關的任何敏感信息的位置。
然而,更大程度的行政控制是有代價的。此類部署不可避免地需要一些初始配置和持續維護,以確保它們及時了解最新的漏洞。
此外,本地解決方案無法輕松擴展以滿足同時掃描大部分 IT 資產時可能出現的需求高峰。這可能會導致在不確定是否需要的情況下維持過剩產能的費用。此問題并非特定于漏洞掃描程序,而是普遍存在于現場基礎設施托管中。因此,我們建議使用本地解決方案來掃描無法通過 Internet 輕松訪問的系統,或者如果您的組織已經具有現場基礎設施托管功能。
供應商托管解決方案
許多解決方案現在也作為服務提供,其中掃描軟件仍然托管在其他地方,由供應商控制和管理。
此模型通常稱為軟件即服務或 SaaS。這可能是克服本地解決方案的許多缺點的一種經濟高效的方法,但它也有其自身的缺點。
作為外部托管服務,SaaS 掃描儀無法輕松訪問位于防火墻和路由器后面的內部網絡。可以通過在內部網絡上安裝代理以形成與供應商服務器的出站連接以接收指令來克服這一挑戰。如果不可能,可以重新配置防火墻以允許來自已知掃描儀的傳入連接。這將不可避免地涉及網絡管理員的一定程度的初始配置,這可能很簡單,也可能不那么簡單,具體取決于您的 IT 資產的結構。
由于需要對安全掃描供應商給予一定程度的信任,因此對網絡進行的任何更改以這種方式啟用掃描都會增加組織的風險級別。這應該被清楚地記錄下來并考慮到您的安全模型中。
盡管存在上述考慮因素,但與本地解決方案相比,SaaS 掃描儀還具有許多優勢。由于沒有安裝產品或設備,因此無需執行維護任務,例如修補或更新內部漏洞知識庫。此外,SaaS 解決方案通常可以根據需求進行擴展,而無需永久托管未使用的容量。
最后,讓供應商托管漏洞掃描結果可以簡化您應用自己的保護措施的任務,以確保此類信息保持機密,同時可供需要查看這些信息的人訪問(假設您愿意信任供應商的漏洞掃描結果)自己的控制。
如果可以輕松克服允許外部訪問IT資產以及讓供應商保留組織的漏洞信息的技術挑戰和安全問題,建議使用托管解決方案。這種解決方案不適合評估氣隙網絡或保存高度敏感信息的網絡。
5. 決定掃描哪些資產以及何時掃描
雖然擴大 IT 資產的覆蓋范圍確實可以更全面地了解組織的整體風險,但掃描所有內容可能不切實際或負擔不起。在這些情況下,您應該優先考慮可通過 Internet 訪問、托管關鍵業務服務或包含最敏感數據(例如數據庫服務器)的資產。維護從漏洞掃描中排除的資產的記錄非常重要,以確保相關風險可以納入組織的安全模型中。
外推測試
如果多個主機是從保證相同配置的“黃金映像”構建的(這在標準桌面部署中很常見)并且沒有進行進一步的更改,則掃描從該映像構建的單個主機并推斷該主機可能是可以接受的。其他主機的發現。
雖然漏洞掃描程序不太可能影響服務的可用性或造成其他破壞,但您可能希望考慮首先掃描托管關鍵業務服務的服務器的非生產實例。如果兩個環境的配置一致,這只會產生可轉移到實時環境的結果。對于這些配置不同以及確認掃描不會影響非生產實例的可用性的情況,仍應執行生產系統的后續掃描。
如果沒有代表性的非生產環境,并且擔心某些關鍵業務主機的脆弱性,則可以暫時從可能造成破壞的掃描中忽略這些主機,并將其記錄在風險登記冊中。必須謹慎執行此操作,并且時間應盡可能短,因為這樣做會在攻擊面中造成盲點。在這種情況下,更好的解決方案是解決脆弱性的根本原因,以便可以再次掃描主機,而不必擔心導致服務中斷。事實上,脆弱性本身就應該被視為一種脆弱性,值得立即修復。
定期掃描
應該定期(至少每月一次)或在應用更改以修復關鍵問題后立即對基礎設施執行漏洞掃描。
每當目標應用程序發生更改時,例如安裝新版本或提交自定義應用程序源代碼更改時,都應運行應用程序掃描程序。如果可能,應用程序掃描解決方案應作為安全構建和部署管道的一部分納入軟件開發過程中。
其他注意事項
在確定漏洞掃描服務是否適合您的需求時,還有許多其他事項需要考慮。雖然通常很難定義每種情況下“好”或“壞”的確切值,建議要求潛在供應商提供以下基本標準列表,以便將答案反饋給自己評價:
- 響應能力:一旦公開披露新漏洞,解決方案能否在合理的時間內檢測到該漏洞?對于關鍵問題,應該不超過幾天。
- 覆蓋范圍:掃描儀是否涵蓋與相關且重要的漏洞類別?例如,對于 Web 應用程序掃描程序,是否所有問題都從OWASP Top 10中檢測到?
- 身份驗證支持:掃描儀是否支持身份驗證檢查?例如,它是否能夠登錄 Windows 主機來執行其他方式無法執行的檢查?它是否只支持使用代理的本地身份驗證以及遠程身份驗證?是否有適當的保護措施來幫助防止帳戶被鎖定?
- 準確性:掃描儀是否經常產生誤報(漏洞被報告存在但實際上并不存在)或漏報(漏洞存在但未被報告)?例如,它是否錯誤地識別了軟件產品的舊版本,或者在知道已應用補丁的情況下卻聲稱尚未應用補丁?
- 可靠性:掃描儀是否可以隨時按自動計劃和手動按需執行任務?
- 可擴展性:掃描儀是否在需求增加期間保持高性能,并且成本模型基于任意時間所需的容量?
- 報告功能:可以定制報告以滿足您的特定需求嗎?報告功能是否提供正確的信息和指標來支持您的安全和管理團隊?
- 對 VMP 其他領域的支持:該解決方案是否可以輕松地與您現有的產品或流程集成?或者,該解決方案是否提供了漏洞檢測之外的其他功能來補充您現有的 VMP(例如,內置問題跟蹤)?
- 與其他操作系統組件集成:該解決方案能否通過利用目標主機上現有安裝的軟件來提供附加價值?例如,它是否與Windows主機上的Microsoft System Center集成以提供智能補丁管理功能?
- 支持不同類型的資產:例如,該解決方案是否支持掃描虛擬機、容器或專用數據庫服務器?
- 與云環境集成:該解決方案能否詢問常見的云提供商以自動發現和掃描這些環境中托管的其他資產?
- 安全性:供應商是否保證掃描活動不會破壞目標服務的可用性?如果不是,解決方案是否可以配置為排除更危險的檢查?
來源:英國NCSC
