ku体育app漏洞扫描是一个广泛的术语,用于描述检测组织安全程序中的缺陷的自动化过程。这涵盖补丁管理流程、强化程序和软件开发生命周期 (SDLC) 等领域。提供漏洞扫描的服务或产品通常也称为漏洞评估系统 (VAS)。
作为有效的漏洞管理计划 (VMP) 的一部分,漏洞扫描解决方案是一种经济实惠的自动检测组织网络内安全问题的方法。然而,漏洞扫描产品和服务市场涵盖许多专业领域,并包括涉及部署模型和许可成本等问题的广泛选项。这些复杂性可能在为自己的组织购买漏洞扫描解决方案时难以做出正确的选择。
本指南旨在为广大受众提供选择合适的漏洞扫描解决方案的工具。
该指南帮助中小企业、大型组织和公共部门机构:
该指南分为四个步骤,首先评估当前的漏洞扫描设置,然后再考虑您需要的扫描器类型。然后我们考虑扫描什么以及何时扫描,最后给出一些一般性的建议。
组织应利用漏洞扫描的原因有很多:
最重要的是,漏洞扫描使组织能够跟上有意破坏系统的个人和团体的步伐,其中许多人使用类似的工具和技术来发现安全缺陷。
应该指出的是,在测试覆盖的广度和深度方面,自动化漏洞扫描无法与渗透测试等手动流程相比。
相反,自动扫描应被视为查找和管理常见安全问题的一种经济高效的方式,而无需雇用专业的安全测试人员。
同样,通过定期漏洞扫描处理 容易实现的目标 ,渗透测试可以更有效地关注更适合人类的复杂安全问题。
漏洞扫描仅在作为更大的漏洞管理计划 (VMP) 的一部分时才能有效降低组织的风险。
VMP程序通常包括以下流程:
漏洞扫描解决方案通常包含支持VMP或与VMP集成的功能,例如:
这些功能的可用性将在多大程度上影响对漏洞扫描解决方案的选择,取决于现有的VMP以及它们是否会改善情况或只是带来不必要的复杂性。
例如,尚未部署VMP的组织可能会受益于包含中央门户的服务,该门户允许不同的管理员查看和管理与其自己系统相关的漏洞。
相比之下,拥有成熟、成熟的MVP的组织可能已经具备此类功能,因此可能只需要一个支持结果导出的产品,以便它们可以轻松地与现有解决方案集成。
本指南末尾记录了购买漏洞扫描解决方案时应考虑的其他功能。
资产 一词在漏洞扫描上下文中用于定义与漏洞关联的实体(物理或虚拟)。
根据所进行的扫描类型,这可以采取多种形式,例如:
组织拥有涵盖部分或全部类别的各种资产是很常见的,尽管有些资产可能比其他资产更为普遍。重要的是要识别并记录这些内容(最好在资产登记册中),以便找到最合适类型的漏洞扫描程序。许多供应商按 每件资产 收取扫描服务费用,因此准确了解资产数量对于在采购前估算成本至关重要。这可以借助(通常免费提供的)端口扫描工具来查找网络上的活动主机来实现。
可能会发现部分 IT 资产高度分散,例如由于用户使用自己的移动设备远程工作。在这种情况下,请重点关注旨在由这些设备远程访问的任何常见服务。例如,用户可能需要登录到可从外部访问的单个Web门户或虚拟专用网络服务器。虽然位于内部网络外围的最终用户设备的安全性仍然很重要,但远程漏洞扫描在这些情况下不太可能有好处。相反,远程设备应该通过确保软件保持最新来避免常见漏洞。
一旦确定了组织内的所有相关资产,应该将它们分成不同的逻辑组。例如,可能希望将与主网站关联的任何服务器主机或 Web 应用程序放入一个类别,并将内部桌面资产放入另一类别。这有助于为各个漏洞扫描定义单独的、更易于管理的范围。
正如上面 评估现有的漏洞管理计划 中提到的,一些解决方案通过自动执行系统发现和分类来支持此过程。
漏洞扫描器通常根据其要评估的目标类型进行分类。最广泛的区别在于 基础设施 和 应用程序 之间。
应用程序扫描器进一步细分为针对 Web 应用程序的扫描器和针对本机应用程序的扫描器。扫描仪还适用于许多专业子类别,例如云基础设施、移动应用程序或使用特定平台或技术构建的Web应用程序。
虽然专用扫描仪可以为其要评估的目标类型提供最准确和相关的结果,但组织的 IT 资产可能包含太多变化,因此此类解决方案无法自行提供全面的覆盖范围。因此,您应该首先寻求建立基础级别的通用扫描,以确保对最常见的基础设施问题进行良好的覆盖。
如果组织暴露其他特定类别的资产(例如上面提到的资产)并且预算允许,我们建议采用分层扫描方法,通过使用更专业的扫描仪来补充基础扫描。
基础设施扫描解决方案通常侧重于识别和测试网络其余部分或整个互联网可访问的服务。为此,它们通常包括主机发现和端口扫描功能。
一旦发现可访问的网络服务,他们通常会对其进行探测以发现尽可能多的信息。使用 指纹识别 或 横幅抓取 等技术,扫描仪可以收集软件的供应商和版本号等详细信息。许多基础设施扫描仪还会向某些类型的服务发送安全测试消息,以探测更多信息的响应或直接测试漏洞是否存在。一旦获得服务 指纹 ,也会根据已知包含安全漏洞的产品知识库来引用该服务 指纹 。
虽然一些网络漏洞扫描器也使用比这更先进的方法,甚至可以支持首先需要身份验证的检查,但在覆盖范围方面,它们通常注重广度而不是深度。例如,此类扫描仪通常缺乏导航 Web 应用程序或检测需要与专用协议进行复杂交互的漏洞的能力。然而,他们很可能能够检测到由于在这些相同端口上使用过时的软件或弱加密设置而产生的漏洞。
因此,网络漏洞扫描器是监控具有大量外部足迹的网络的绝佳选择,以发现可能被来自互联网或公司内部网络的攻击所利用的新的常见漏洞。它们对于主要由 现成 解决方案组成且很少或根本不包含定制开发软件的 IT 资产也更有用。
Web 应用程序扫描仪
Web应用程序扫描器专门设计用于检测通过HTTP/S暴露的应用程序和 Web服务中的漏洞。
它们通过与Web浏览器几乎相同的方式与应用程序交互来实现此目的,尽管能够以更快的速度发送请求,并制定为从Web服务器引出表明存在漏洞的响应。
Web 应用程序扫描程序通常会检查可能影响 Web 服务器本身和应用程序的其他用户的各种安全问题。通常与OWASP Top 10等出版物一致,这是定期更新的Web应用程序最关键安全风险列表。与网络基础设施扫描器不同,Web应用程序扫描器旨在检测定制(通常很复杂)Web应用程序中的漏洞。
高级Web应用程序扫描仪还可能支持更精细的配置。这可能包括为目标应用程序指定登录页面和凭据的能力,或者排除特定类型的扫描或页面的能力。如果没有这些功能,扫描仪就不可能对更复杂的Web应用程序实现良好的测试覆盖率,或者可能产生不良的副作用,例如重复表单提交产生的大量数据库条目。一般来说,扫描仪越适合目标Web应用程序,结果就越相关和有用。
当与网络漏洞扫描器结合使用时,或者当自定义 Web 应用程序占据大部分外部网络足迹并因此给您的企业或组织带来大部分风险时,Web 应用程序安全扫描器是一个绝佳的选择。(英国NCSC的 Web Check 服务就是此类服务的一个示例,尽管该服务只能向公共部门提供。Web Check 专门设计为 轻触式 ,旨在检测最常见且广泛适用的安全问题。)
在选择漏洞扫描服务时,需要考虑漏洞扫描的中可能引入的风险,虽然漏洞扫描没有渗透测试要求那么高,但是专业性还是非常强的。所有专业的工作,都是需要有专业的人来执行,是将风险降低的最优有效手段。不专业的人的操作,本身就是对网络安全不负责的行为,引入的风险将是更加隐蔽更加危险的行为。
这些扫描解决方案与相应的 Web 应用程序解决方案类似,旨在识别自定义应用程序构建和部署中的常见缺陷。
然而,与 Web 应用程序扫描仪不同的是,本机软件扫描解决方案设计为在内部设置中运行,通常与正在评估的软件产品在同一主机上,或者可以直接访问其源代码的地方。这使得能够执行通过与网络暴露有限的外部 Web 应用程序交互而无法进行的检查。
检测和管理软件开发过程中的漏洞超出了本指南的范围,但是可以在此处找到有关此主题的更多信息,作为安全开发原则之一。
比较基础设施和Web应用程序扫描仪
