自動化漏洞掃描工具使用指南
譯文【51CTO.com快譯】作為企業的IT安全管理員,您的重要任務之一,一定離不開全面的漏洞管理。即,全方位地評估、報告和緩解企業內部技術棧中,存在的各項安全弱點和網絡威脅。而面對此類繁雜復雜的工作時,我們往往需要借助自動化的漏洞掃描程序,來更加高效地識別出潛在的弱點,并實現對于漏洞的基礎性管理。
從原理上說,漏洞掃描應用會幫助團隊,優先創建已連接到企業內網中所有系統和設備的清單,然后它會記錄操作系統、目標軟件、以及與各種在冊部件的詳細信息,最后逐一實施安全管理。
下面,我們將深入探討企業為何采用自動化漏洞掃描,可采用的各種掃描機制,以及一些時下流行的自動化漏洞掃描工具。
一、自動化漏洞掃描的基本原理
前文提到了漏洞掃描工具可以識別網絡內的各種資產,其中包括:服務器、筆記本電腦、防火墻、打印機、以及應用容器等,并不斷收集它們的具體運作細節。同時,此類掃描工具具有審計、日志記錄、威脅建模、報告和修復等組合性功能,并在此基礎上,允許企業在任何給定的時間內,去評估自身的安全態勢。
除了時常被作為企業網絡安全的優秀實踐,各國政府的法規和行業標準也通常會要求企業,通過漏洞掃描工具來確保數據得到安全的保護。盡管不同行業的具體實現用例可能有所不同,但采用自動化的漏洞掃描方式,一般可以為企業帶來如下好處:
1.主動安全
鑒于黑客通常會將應用服務的漏洞,作為入侵系統的入口,自動化漏洞掃描工具能夠讓安全團隊,搶在各種漏洞被利用,進而危害到企業現有資產之前,予以報告并修復。
2.風險評估
定期執行漏洞掃描,會使得IT和安全團隊能夠掌握,針對當前系統已實施的安全控制的有效性。而且,在安全專家完成了某個錯誤和漏洞的修復之后,還可通過再次執行掃描的方式,評估整體的改進效果。
3.降低成本和開發時間
顯然,自動化掃描可以通過無縫地執行測試,省去了各種既耗時、又耗力的人工操作。此外,漏洞掃描工具還能夠縮短修復漏洞的開發周期、以及高昂的成本。
4.合規
業界的各種合規性法律往往會要求企業,遵循適當的技術和安全措施,以妥善處理持有的數據。此類合規標準包括我們耳熟能詳的:通用數據保護條例(GDPR)、健康信息隱私和責任法案(HIPAA)、以及支付卡行業數據安全標準(PCI-DSS)等。
二、漏洞管理的流程
為了最小化攻擊的潛在威脅,我們可以通過如下流程,來實施針對漏洞的檢測與管理:
1.漏洞識別
企業可以使用各種依賴于最新漏洞數據庫、以及威脅情報技術的工具,來識別系統組件上的漏洞,進而創建待修復的組件清單。漏洞掃描工具可以憑借著實時、完整的監控特性,在威脅發起攻擊之時,立即識別出來。
2.風險評估
一旦漏洞被識別,我們就需要通過評級系統,根據它們的時效特征、以及固有危害性,來評估其影響性,進而對它們進行優先級的權重評定。據此,管理團隊便可根據風險的嚴重性,確定待實施補丁的優先級,進而實施有效的修復。
3.修復
根據漏洞的優先級,安全專家開始計劃并籌備通過加強監控,限制對高風險子系統的訪問等修復措施,從而在應用的補丁被發布之前,從系統與組件級別,阻止可能的攻擊。
4.報告
我們通過記錄和報告已處置的漏洞,以及針對應用的補救措施,以展示企業對于安全態勢的認知與掌控。同時,各種合規性要求,也需要通過報告,來為企業的問責制進行背書。
1.內部漏洞掃描
內部掃描機制主要針對的是企業的內部網絡。掃描工具會識別出系統內部的各種攻擊向量(attack vectors),其中就包括了由惡意員工所帶來的弱點與威脅。
2.外部漏洞掃描
外部掃描機制主要針對的是暴露于外部網絡(如,互聯網)的IT系統,包括:面向外部的應用程序、網絡、服務、端口、以及網站等。此類掃描工具會關注于對于客戶和其他外部用戶在訪問目標系統時,可能產生的漏洞與威脅。
3.認證成功與否的掃描
針對認證成功(即,持有信任憑據)的掃描,主要著眼于企業的IT系統內部,檢查那些已登錄進來的受信任用戶,在安全環境中的行為表現。針對認證失敗(即,無憑據或憑據有錯)的掃描,雖然無法介入系統的可信訪問,但是可以從外部攻擊者的角度,提供有價值的安全洞見。
4.自動化漏洞掃描工具的選擇
目前,在安全測試的市場,有著許多類型的漏洞掃描工具。下面,我們來討論在工具選擇的過程中,有哪些需要考慮的因素和注意的事項。
5.漏洞掃描的覆蓋率
通常,雖然各家漏洞掃描工具都具備了基本的漏洞識別能力,但是,我們還是希望待選工具能夠降低設置安全監控的成本和復雜性。這不但可以保證具有廣泛的掃描覆蓋率,而且避免了安全團隊針對某些安全盲區,而實施的額外集成。
6.Web技術棧的覆蓋
大多數漏洞掃描程序一旦被啟動,就會去爬取整個Web應用,以獲悉完整的系統架構、及其安全態勢。但是,該目標往往需要建立在識別Web應用的每個表單、頁面、以及組件元素的基礎上。作為一款恰當的漏洞掃描工具,應當具有橫跨多個開發棧、框架、以及部署環境的識別能力,才能有效地管理漏洞。
7.易用性
作為一個復雜而全面的掃描過程,漏洞管理工具顯然需要對企業的網絡、設備和服務具有深入的洞察。但是,我們無法保證企業中的每一位安全運維人員,都具備足夠的基礎知識,并能夠對漏洞掃描進行執行與判斷。因此,漏洞掃描工具應當事先抽象、并簡化所有涉及到采集、識別和檢測威脅的人工作業,以便讓運維團隊更加專注于某些特殊的異常活動。
8.速度和掃描質量
鑒于安全威脅的突發性和易于蔓延的特點,漏洞掃描工具應當能夠在短時間內,根據各個應用程序與網絡資源的運行狀態,持續識別并刷新已發現的漏洞清單。同時,該工具應當能夠最大限度地減少誤報,以確保漏洞掃描報告的質量。
9.合規
某些高要求的行業(如,醫療保健、金融和國防)通常需要出具更深層次的漏洞評估與報告,以滿足監管配置的合規性。對此,它們往往需要根據HIPAA、GDFR和ISO等監管機構所倡導的安全實施標準,來選擇掃描工具。
10.修復建議
對于一些已經全面實現運維自動化的企業而言,它們往往希望掃描工具能夠提供針對常見漏洞的自動化修復方案,以及針對更為復雜漏洞的合理化措施。這對于那些跨職能的團隊而言,是非常實用的。畢竟,安全是整個企業的共同責任。
四、自動化漏洞掃描工具的類型
我們可以根據操作模式和運行環境,將自動化漏洞掃描工具歸納為如下類型:
1.基于網絡的掃描
基于網絡的漏洞掃描工具可被用于發現,那些連接著企業內、外部網絡設備上的安全態勢。其目標是使得安全團隊能夠識別出,可能存在于網絡邊界處的受攻擊面。
2.基于主機的掃描
基于主機的漏洞掃描工具能夠協助安全團隊,識別出內網中各類主機(包括,工作站、服務器、以及筆記本電腦等)上,可能會被“爬取”的系統類型、補丁歷史記錄、配置信息、以及攻擊者未經身份認證而進入系統的可能性與破壞程度。
3.無線掃描
通過對企業無線網絡的掃描,檢測可能受到惡意攻擊的接入點,以及驗證WiFi網絡的安全態勢。
五、應用程序漏洞掃描工具
此類掃描程序包括:動態應用程序安全測試(Dynamic Application Security Tests,DAST)、交互式應用程序安全測試(Interactive Application Security Tests,IAST)、靜態應用程序安全測試(Static Application Security Tests,SAST)、以及運行時應用程序自我保護(Runtime Application Self-Protection,RASP)等類型的工具。
1.數據庫掃描工具
大多數Web應用都會依賴數據庫來存儲關鍵信息。而針對數據庫的掃描工具,能夠識別諸如:SQL注入攻擊等,典型的數據庫管理系統(DBMS)中的漏洞。
2.流行自動化漏洞掃描工具列表
Crashtest Security Suite
這是一款端到端的、能夠與Web應用、Javascript、API測試平臺,無縫融合的DevSecOps類工具鏈。在保證更安全的發布和部署的同時,Crashtest Security通過參照OWASP Top 10的基準,實現了較低的誤報率(包括false positive和false negative)。同時,它能夠提供各種用戶友好的格式輸出、準確的報告、以及切實可行的修復建議。
Netsparker
該平臺通過包含可用于漏洞評估的多種集成與安全方案,實現了自主、快速地檢測和描述漏洞,并及時提供包含修復意見的報告。
Acunetix
該Web應用安全掃描工具同時提供付費和開源兩個版,可以掃描高達6500種漏洞。Acunetix能夠通過對大規模的網絡和應用執行自動化掃描,為運維團隊提供深入的洞見。
Metasploit
開源的Metasploit框架,通過進行滲透測試和入侵檢測,以發現整個基礎架構中的系統級漏洞,進而提高企業的安全態勢。同時,Metasploit也可以通過定制,來滿足各種Web應用的特定安全需求。
Nmap
作為另一種開源式漏洞掃描工具,Nmap可被用于發現操作系統和網絡主機中的各種漏洞。
IBM Security QRadar
這是一個功能豐富的安全情報平臺,可以讓運維團隊快速地識別、分析和修復各種潛在的威脅。該平臺的人工智能技術,可被用來檢測可能出現的新型威脅和模型事件,并及時提供修復建議。
Nessus Professional
Nessus是全面的漏洞評估和配置管理平臺。通過掃描各類漏洞,它能夠主動地保護目標網絡,免受各類攻擊。
Burp Suite
Burp Suite是由PortSwigger開發的一款Web應用安全測試方案,可以協助企業通過自動化掃描的方式,對抗各種零日威脅(zero-day threats)。同時,該套件也可以通過滲透測試功能,來識別各種SQLi攻擊對于Web服務器的影響。
六、小結
總的說來,自動化漏洞掃描工具包括了各種可定制的高級測試案例,可用于掃描應用環境中的各種潛在漏洞,并通過詳細報告的形式,提出相應的修復建議。其自動化特性,也消除了運維人員各項繁瑣的手動工作。因此,我們可以通過適當選擇工具,來為企業構建良好的安全態勢。
原文標題:Your Guide to Automated Vulnerability Scanners: Types, Benefits, and More,作者:Sudip Sengupta
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
