【51CTO.com快譯】作為企業(yè)的IT安全管理員，您的重要任務(wù)之一，一定離不開(kāi)全面的漏洞管理。即，全方位地評(píng)估、報(bào)告和緩解企業(yè)內(nèi)部技術(shù)棧中，存在的各項(xiàng)安全弱點(diǎn)和網(wǎng)絡(luò)威脅。而面對(duì)此類繁雜復(fù)雜的工作時(shí)，我們往往需要借助自動(dòng)化的漏洞掃描程序，來(lái)更加高效地識(shí)別出潛在的弱點(diǎn)，并實(shí)現(xiàn)對(duì)于漏洞的基礎(chǔ)性管理。

從原理上說(shuō)，漏洞掃描應(yīng)用會(huì)幫助團(tuán)隊(duì)，優(yōu)先創(chuàng)建已連接到企業(yè)內(nèi)網(wǎng)中所有系統(tǒng)和設(shè)備的清單，然后它會(huì)記錄操作系統(tǒng)、目標(biāo)軟件、以及與各種在冊(cè)部件的詳細(xì)信息，最后逐一實(shí)施安全管理。

下面，我們將深入探討企業(yè)為何采用自動(dòng)化漏洞掃描，可采用的各種掃描機(jī)制，以及一些時(shí)下流行的自動(dòng)化漏洞掃描工具。

一、自動(dòng)化漏洞掃描的基本原理

前文提到了漏洞掃描工具可以識(shí)別網(wǎng)絡(luò)內(nèi)的各種資產(chǎn)，其中包括：服務(wù)器、筆記本電腦、防火墻、打印機(jī)、以及應(yīng)用容器等，并不斷收集它們的具體運(yùn)作細(xì)節(jié)。同時(shí)，此類掃描工具具有審計(jì)、日志記錄、威脅建模、報(bào)告和修復(fù)等組合性功能，并在此基礎(chǔ)上，允許企業(yè)在任何給定的時(shí)間內(nèi)，去評(píng)估自身的安全態(tài)勢(shì)。

除了時(shí)常被作為企業(yè)網(wǎng)絡(luò)安全的優(yōu)秀實(shí)踐，各國(guó)政府的法規(guī)和行業(yè)標(biāo)準(zhǔn)也通常會(huì)要求企業(yè)，通過(guò)漏洞掃描工具來(lái)確保數(shù)據(jù)得到安全的保護(hù)。盡管不同行業(yè)的具體實(shí)現(xiàn)用例可能有所不同，但采用自動(dòng)化的漏洞掃描方式，一般可以為企業(yè)帶來(lái)如下好處：

1.主動(dòng)安全

鑒于黑客通常會(huì)將應(yīng)用服務(wù)的漏洞，作為入侵系統(tǒng)的入口，自動(dòng)化漏洞掃描工具能夠讓安全團(tuán)隊(duì)，搶在各種漏洞被利用，進(jìn)而危害到企業(yè)現(xiàn)有資產(chǎn)之前，予以報(bào)告并修復(fù)。

2.風(fēng)險(xiǎn)評(píng)估

定期執(zhí)行漏洞掃描，會(huì)使得IT和安全團(tuán)隊(duì)能夠掌握，針對(duì)當(dāng)前系統(tǒng)已實(shí)施的安全控制的有效性。而且，在安全專家完成了某個(gè)錯(cuò)誤和漏洞的修復(fù)之后，還可通過(guò)再次執(zhí)行掃描的方式，評(píng)估整體的改進(jìn)效果。

3.降低成本和開(kāi)發(fā)時(shí)間

顯然，自動(dòng)化掃描可以通過(guò)無(wú)縫地執(zhí)行測(cè)試，省去了各種既耗時(shí)、又耗力的人工操作。此外，漏洞掃描工具還能夠縮短修復(fù)漏洞的開(kāi)發(fā)周期、以及高昂的成本。

4.合規(guī)

業(yè)界的各種合規(guī)性法律往往會(huì)要求企業(yè)，遵循適當(dāng)?shù)募夹g(shù)和安全措施，以妥善處理持有的數(shù)據(jù)。此類合規(guī)標(biāo)準(zhǔn)包括我們耳熟能詳?shù)模和ㄓ脭?shù)據(jù)保護(hù)條例(GDPR)、健康信息隱私和責(zé)任法案(HIPAA)、以及支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)等。

二、漏洞管理的流程

為了最小化攻擊的潛在威脅，我們可以通過(guò)如下流程，來(lái)實(shí)施針對(duì)漏洞的檢測(cè)與管理：

1.漏洞識(shí)別

企業(yè)可以使用各種依賴于最新漏洞數(shù)據(jù)庫(kù)、以及威脅情報(bào)技術(shù)的工具，來(lái)識(shí)別系統(tǒng)組件上的漏洞，進(jìn)而創(chuàng)建待修復(fù)的組件清單。漏洞掃描工具可以憑借著實(shí)時(shí)、完整的監(jiān)控特性，在威脅發(fā)起攻擊之時(shí)，立即識(shí)別出來(lái)。

2.風(fēng)險(xiǎn)評(píng)估

一旦漏洞被識(shí)別，我們就需要通過(guò)評(píng)級(jí)系統(tǒng)，根據(jù)它們的時(shí)效特征、以及固有危害性，來(lái)評(píng)估其影響性，進(jìn)而對(duì)它們進(jìn)行優(yōu)先級(jí)的權(quán)重評(píng)定。據(jù)此，管理團(tuán)隊(duì)便可根據(jù)風(fēng)險(xiǎn)的嚴(yán)重性，確定待實(shí)施補(bǔ)丁的優(yōu)先級(jí)，進(jìn)而實(shí)施有效的修復(fù)。

3.修復(fù)

根據(jù)漏洞的優(yōu)先級(jí)，安全專家開(kāi)始計(jì)劃并籌備通過(guò)加強(qiáng)監(jiān)控，限制對(duì)高風(fēng)險(xiǎn)子系統(tǒng)的​​訪問(wèn)等修復(fù)措施，從而在應(yīng)用的補(bǔ)丁被發(fā)布之前，從系統(tǒng)與組件級(jí)別，阻止可能的攻擊。

4.報(bào)告

我們通過(guò)記錄和報(bào)告已處置的漏洞，以及針對(duì)應(yīng)用的補(bǔ)救措施，以展示企業(yè)對(duì)于安全態(tài)勢(shì)的認(rèn)知與掌控。同時(shí)，各種合規(guī)性要求，也需要通過(guò)報(bào)告，來(lái)為企業(yè)的問(wèn)責(zé)制進(jìn)行背書(shū)。

[[426720]]

三、自動(dòng)化漏洞掃描的類型

1.內(nèi)部漏洞掃描

內(nèi)部掃描機(jī)制主要針對(duì)的是企業(yè)的內(nèi)部網(wǎng)絡(luò)。掃描工具會(huì)識(shí)別出系統(tǒng)內(nèi)部的各種攻擊向量(attack vectors)，其中就包括了由惡意員工所帶來(lái)的弱點(diǎn)與威脅。

2.外部漏洞掃描

外部掃描機(jī)制主要針對(duì)的是暴露于外部網(wǎng)絡(luò)(如，互聯(lián)網(wǎng))的IT系統(tǒng)，包括：面向外部的應(yīng)用程序、網(wǎng)絡(luò)、服務(wù)、端口、以及網(wǎng)站等。此類掃描工具會(huì)關(guān)注于對(duì)于客戶和其他外部用戶在訪問(wèn)目標(biāo)系統(tǒng)時(shí)，可能產(chǎn)生的漏洞與威脅。

3.認(rèn)證成功與否的掃描

針對(duì)認(rèn)證成功(即，持有信任憑據(jù))的掃描，主要著眼于企業(yè)的IT系統(tǒng)內(nèi)部，檢查那些已登錄進(jìn)來(lái)的受信任用戶，在安全環(huán)境中的行為表現(xiàn)。針對(duì)認(rèn)證失敗(即，無(wú)憑據(jù)或憑據(jù)有錯(cuò))的掃描，雖然無(wú)法介入系統(tǒng)的可信訪問(wèn)，但是可以從外部攻擊者的角度，提供有價(jià)值的安全洞見(jiàn)。

4.自動(dòng)化漏洞掃描工具的選擇

目前，在安全測(cè)試的市場(chǎng)，有著許多類型的漏洞掃描工具。下面，我們來(lái)討論在工具選擇的過(guò)程中，有哪些需要考慮的因素和注意的事項(xiàng)。

5.漏洞掃描的覆蓋率

通常，雖然各家漏洞掃描工具都具備了基本的漏洞識(shí)別能力，但是，我們還是希望待選工具能夠降低設(shè)置安全監(jiān)控的成本和復(fù)雜性。這不但可以保證具有廣泛的掃描覆蓋率，而且避免了安全團(tuán)隊(duì)針對(duì)某些安全盲區(qū)，而實(shí)施的額外集成。

6.Web技術(shù)棧的覆蓋

大多數(shù)漏洞掃描程序一旦被啟動(dòng)，就會(huì)去爬取整個(gè)Web應(yīng)用，以獲悉完整的系統(tǒng)架構(gòu)、及其安全態(tài)勢(shì)。但是，該目標(biāo)往往需要建立在識(shí)別Web應(yīng)用的每個(gè)表單、頁(yè)面、以及組件元素的基礎(chǔ)上。作為一款恰當(dāng)?shù)穆┒磼呙韫ぞ?，?yīng)當(dāng)具有橫跨多個(gè)開(kāi)發(fā)棧、框架、以及部署環(huán)境的識(shí)別能力，才能有效地管理漏洞。

7.易用性

作為一個(gè)復(fù)雜而全面的掃描過(guò)程，漏洞管理工具顯然需要對(duì)企業(yè)的網(wǎng)絡(luò)、設(shè)備和服務(wù)具有深入的洞察。但是，我們無(wú)法保證企業(yè)中的每一位安全運(yùn)維人員，都具備足夠的基礎(chǔ)知識(shí)，并能夠?qū)β┒磼呙柽M(jìn)行執(zhí)行與判斷。因此，漏洞掃描工具應(yīng)當(dāng)事先抽象、并簡(jiǎn)化所有涉及到采集、識(shí)別和檢測(cè)威脅的人工作業(yè)，以便讓運(yùn)維團(tuán)隊(duì)更加專注于某些特殊的異常活動(dòng)。

8.速度和掃描質(zhì)量

鑒于安全威脅的突發(fā)性和易于蔓延的特點(diǎn)，漏洞掃描工具應(yīng)當(dāng)能夠在短時(shí)間內(nèi)，根據(jù)各個(gè)應(yīng)用程序與網(wǎng)絡(luò)資源的運(yùn)行狀態(tài)，持續(xù)識(shí)別并刷新已發(fā)現(xiàn)的漏洞清單。同時(shí)，該工具應(yīng)當(dāng)能夠最大限度地減少誤報(bào)，以確保漏洞掃描報(bào)告的質(zhì)量。

9.合規(guī)

某些高要求的行業(yè)(如，醫(yī)療保健、金融和國(guó)防)通常需要出具更深層次的漏洞評(píng)估與報(bào)告，以滿足監(jiān)管配置的合規(guī)性。對(duì)此，它們往往需要根據(jù)HIPAA、GDFR和ISO等監(jiān)管機(jī)構(gòu)所倡導(dǎo)的安全實(shí)施標(biāo)準(zhǔn)，來(lái)選擇掃描工具。

10.修復(fù)建議

對(duì)于一些已經(jīng)全面實(shí)現(xiàn)運(yùn)維自動(dòng)化的企業(yè)而言，它們往往希望掃描工具能夠提供針對(duì)常見(jiàn)漏洞的自動(dòng)化修復(fù)方案，以及針對(duì)更為復(fù)雜漏洞的合理化措施。這對(duì)于那些跨職能的團(tuán)隊(duì)而言，是非常實(shí)用的。畢竟，安全是整個(gè)企業(yè)的共同責(zé)任。

四、自動(dòng)化漏洞掃描工具的類型

我們可以根據(jù)操作模式和運(yùn)行環(huán)境，將自動(dòng)化漏洞掃描工具歸納為如下類型：

1.基于網(wǎng)絡(luò)的掃描

基于網(wǎng)絡(luò)的漏洞掃描工具可被用于發(fā)現(xiàn)，那些連接著企業(yè)內(nèi)、外部網(wǎng)絡(luò)設(shè)備上的安全態(tài)勢(shì)。其目標(biāo)是使得安全團(tuán)隊(duì)能夠識(shí)別出，可能存在于網(wǎng)絡(luò)邊界處的受攻擊面。

2.基于主機(jī)的掃描

基于主機(jī)的漏洞掃描工具能夠協(xié)助安全團(tuán)隊(duì)，識(shí)別出內(nèi)網(wǎng)中各類主機(jī)(包括，工作站、服務(wù)器、以及筆記本電腦等)上，可能會(huì)被“爬取”的系統(tǒng)類型、補(bǔ)丁歷史記錄、配置信息、以及攻擊者未經(jīng)身份認(rèn)證而進(jìn)入系統(tǒng)的可能性與破壞程度。

3.無(wú)線掃描

通過(guò)對(duì)企業(yè)無(wú)線網(wǎng)絡(luò)的掃描，檢測(cè)可能受到惡意攻擊的接入點(diǎn)，以及驗(yàn)證WiFi網(wǎng)絡(luò)的安全態(tài)勢(shì)。

五、應(yīng)用程序漏洞掃描工具

此類掃描程序包括：動(dòng)態(tài)應(yīng)用程序安全測(cè)試(Dynamic Application Security Tests，DAST)、交互式應(yīng)用程序安全測(cè)試(Interactive Application Security Tests，IAST)、靜態(tài)應(yīng)用程序安全測(cè)試(Static Application Security Tests，SAST)、以及運(yùn)行時(shí)應(yīng)用程序自我保護(hù)(Runtime Application Self-Protection，RASP)等類型的工具。

1.數(shù)據(jù)庫(kù)掃描工具

大多數(shù)Web應(yīng)用都會(huì)依賴數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)關(guān)鍵信息。而針對(duì)數(shù)據(jù)庫(kù)的掃描工具，能夠識(shí)別諸如：SQL注入攻擊等，典型的數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)中的漏洞。

2.流行自動(dòng)化漏洞掃描工具列表

Crashtest Security Suite

這是一款端到端的、能夠與Web應(yīng)用、Javascript、API測(cè)試平臺(tái)，無(wú)縫融合的DevSecOps類工具鏈。在保證更安全的發(fā)布和部署的同時(shí)，Crashtest Security通過(guò)參照OWASP Top 10的基準(zhǔn)，實(shí)現(xiàn)了較低的誤報(bào)率(包括false positive和false negative)。同時(shí)，它能夠提供各種用戶友好的格式輸出、準(zhǔn)確的報(bào)告、以及切實(shí)可行的修復(fù)建議。

Netsparker

該平臺(tái)通過(guò)包含可用于漏洞評(píng)估的多種集成與安全方案，實(shí)現(xiàn)了自主、快速地檢測(cè)和描述漏洞，并及時(shí)提供包含修復(fù)意見(jiàn)的報(bào)告。

Acunetix

該Web應(yīng)用安全掃描工具同時(shí)提供付費(fèi)和開(kāi)源兩個(gè)版，可以掃描高達(dá)6500種漏洞。Acunetix能夠通過(guò)對(duì)大規(guī)模的網(wǎng)絡(luò)和應(yīng)用執(zhí)行自動(dòng)化掃描，為運(yùn)維團(tuán)隊(duì)提供深入的洞見(jiàn)。

Metasploit

開(kāi)源的Metasploit框架，通過(guò)進(jìn)行滲透測(cè)試和入侵檢測(cè)，以發(fā)現(xiàn)整個(gè)基礎(chǔ)架構(gòu)中的系統(tǒng)級(jí)漏洞，進(jìn)而提高企業(yè)的安全態(tài)勢(shì)。同時(shí)，Metasploit也可以通過(guò)定制，來(lái)滿足各種Web應(yīng)用的特定安全需求。

Nmap

作為另一種開(kāi)源式漏洞掃描工具，Nmap可被用于發(fā)現(xiàn)操作系統(tǒng)和網(wǎng)絡(luò)主機(jī)中的各種漏洞。

IBM Security QRadar

這是一個(gè)功能豐富的安全情報(bào)平臺(tái)，可以讓運(yùn)維團(tuán)隊(duì)快速地識(shí)別、分析和修復(fù)各種潛在的威脅。該平臺(tái)的人工智能技術(shù)，可被用來(lái)檢測(cè)可能出現(xiàn)的新型威脅和模型事件，并及時(shí)提供修復(fù)建議。

Nessus Professional

Nessus是全面的漏洞評(píng)估和配置管理平臺(tái)。通過(guò)掃描各類漏洞，它能夠主動(dòng)地保護(hù)目標(biāo)網(wǎng)絡(luò)，免受各類攻擊。

Burp Suite

Burp Suite是由PortSwigger開(kāi)發(fā)的一款Web應(yīng)用安全測(cè)試方案，可以協(xié)助企業(yè)通過(guò)自動(dòng)化掃描的方式，對(duì)抗各種零日威脅(zero-day threats)。同時(shí)，該套件也可以通過(guò)滲透測(cè)試功能，來(lái)識(shí)別各種SQLi攻擊對(duì)于Web服務(wù)器的影響。

六、小結(jié)

總的說(shuō)來(lái)，自動(dòng)化漏洞掃描工具包括了各種可定制的高級(jí)測(cè)試案例，可用于掃描應(yīng)用環(huán)境中的各種潛在漏洞，并通過(guò)詳細(xì)報(bào)告的形式，提出相應(yīng)的修復(fù)建議。其自動(dòng)化特性，也消除了運(yùn)維人員各項(xiàng)繁瑣的手動(dòng)工作。因此，我們可以通過(guò)適當(dāng)選擇工具，來(lái)為企業(yè)構(gòu)建良好的安全態(tài)勢(shì)。

原文標(biāo)題：Your Guide to Automated Vulnerability Scanners: Types, Benefits, and More，作者：Sudip Sengupta

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】