香港曾道人玄机彩图

www.065432.com企业网络安全之漏洞扫描

添加时间:2019-10-10

  是指缺少安全措施或采用的安全措施有缺陷,可能会被攻击者利用,对企业的信息资产的安全造成损害。漏洞扫描就是利用扫描器发现漏洞的过程。

  企业的安全工程师在业务上线前或对公司所有资产进行周期性地例行扫描,可以在被攻击者发现可利用的漏洞之前发现并修复,将可能带来的损害减少到最低,对企业信息安全来说有积极主动、防患于未然的作用。外部黑客前需要踩点,在得知域名及IP等有限的信息逐步进行尝试、还需要绕过ACL、IDS、WAF等防御措施。企业内部扫描可以直接拿到所有服务器的资产列表、所有Web的域名及在每个IDC部署扫描服务器,所以内部扫描更加方便、更全面。即便是这种信息不对称的情况下,外部的黑客或白帽子总有办法找到漏洞,所以各大互联网公司纷纷都建立了自己的应急响应中心(俗称SRC),并给报漏洞的白帽子发丰厚的奖励。(注:当下的SRC已经不只奖励漏洞,同时还奖励举报的危害线索)可以说内部扫描可以发现99%以上的漏洞,剩余的则需要建立应急响应中心借助广大白帽子的力量(众测,类似众筹的一种形式)一起消灭掉,比如接收外部白帽子提供的漏洞和威胁情报信息并进行奖励。

  ACL扫描是用来按一定的周期监视公司服务器及网络的ACL的,比如无需对外开放的端口或IP是否暴露在了公网中。ACL扫描器的作用如下:

  1)安全部门可以根据扫描报告督促网络管理员和系统管理员关闭暴露在公网中的高危服务,避免重要的服务因放在公网中被入侵的风险。

  2)等某些应用或某些版本的应用发现新时,安全部门可以快速从中查到存在的服务及版本,直接报到业务部门去修复。

  ACL扫描的周期至少为一天一次,对于不同规模服务器的企业可以采用以下的方式:

  1)对于数量较少的公司,可以直接用扫描,并将扫描出来的IP、端口、应用服务名、应用版本、时间等信息存放到中。

  2)对于数量很多的公司,可以用Masscan扫描出所有的端口信息,然后再用去识别端口的协议及应用程序版本信息,可以根据实际情况部署扫描的数量、形成分布式的架构,加快扫描速度。

  管理员因疏忽大意或安全意识薄弱给网络设备、或应用使用了默认的和简单的口令,这种的设备挂在公网上后很快就被或蠕虫扫描到并快速。常见的扫描器如Nessus、x-scan、h-scan、Hydra都具备扫描的功能,其中hydra支持的服务列表如下:

  以下为一个Python调用hydra扫描SSH的脚本,扫描结束后会将结果写到一个文本文件中:

  常见的系统及应用服务扫描器有Nessus及开源的openVAS,当数量巨大时,需要部署多台Nessus以集群模式进行扫描。

  1)用程序调用Nessus的接口,将Nessus的扫描做成周期性任务,每天对全部进行一次安全扫描,并将扫描结果入库,按级别进行分级。

  2)程序自动建立工单并提交到业务部门进行修复,修复好后再转到安全部门确认,形成一个良性的闭环(如果您所在的公司没有工单系统,则至少需要建立一个漏洞管理系统代替)。

  网站较少的公司。安全工程师手工用扫描器进行Web扫描即可,但至少要使用2款以上扫描器进行交叉确认,避免因某款扫描器漏报导致漏洞没扫到而被外界黑客利用的情况发生。一般建议AWVS必用,再配合zap或arachni进行确认。

  网站较多的公司。大中型的互联网公司有成千上万个大大小小的网站,安全工程师人肉利用扫描工具进行扫描已经不现实了,需要自研扫描工具,实现自动化、批量化的漏洞扫描。常见的一个自动化Web扫描器的架构图1所示。

  常规的扫描器都是主动发包,然后根据返回的包判断目标设备是否存在。对于扫描器来说,是先将URL爬出来,然后再在该URL中各个可以输入参数的地方测试注入、等负载。常用的AWVS、、Nessus等都是主动扫描器。

  其实该类扫描器还是属于主动扫描器,区别是URL的获取途径不是爬虫,而是以下几种方式。

  通过旁路镜像得到全流量URL,去重后进行扫描。对于比较大规模的Web资源扫描,可以通过Storm流式计算平台将来自分光的全流量URL库rewrite替换,去重归一,验证真实性后作为扫描器的输入源,由消息队列推送至分布式扫描器中。以下为一个利用WAF log、爬虫结果及流量镜像中的URL作为输入源的扫描器的架构如图2所示。

  这种方式常被QA或渗透测试人员使用,在浏览器设置一个代理,然后去访问网站的页面,每访问一个URL就会被放到后台去扫描,基本的框架代码如下:

  与前一种类似,不过该种扫描需要播入一个特定的VPN中,www.065432.com,在VPN中会设置一个透明代理,将80和443端口的数据转发到透明代理中,之后测试者每访问一个URL也会放到后台去扫描,以下的golang代码就实现了一个透明代理:

  部署方式上类似于,不主动爬URL,而是对B/S & C/S双向交互的数据流进行扫描以期发现,全被动扫描的特点如下:

  何时需要被动扫描?在日常的安全管理中,经常有一些业务部门会引发安全管理之痛,例如:

  ●业务部门没有经过安全部门的安全扫描和评估就擅自上线,结果上线的服务器或站点被入侵了。

  ●业务上线时确实经过安全扫描和评审环节,当时证明是安全的,但在业务运营的过程中,经过几次更新,把安全漏洞更新到生产环境中了。

  ●部分业务因人员更换或离职变成了无人管理的业务,也有可能资产不在公司的资产列表中,因长期无人维护被攻击者钻了空子。

  近年来和很火,不少厂商的安全部门也纷纷引入了及分布式运算,比如安全日志分析、通过反爬虫、用流量镜像中的URL进行扫描、分布式扫描器等。普通的扫描方式在数万或几十万台的环境下会遇到以下问题:

  2)大量的并发扫描占用网络带宽,高峰时影响用户体验,执行深度检测可能会使应用或服务直接宕掉。

  因此海量IDC规模下漏洞扫描需要寻求高效的方式,总体思路是减少工作量,有几个方法:

  1)不做全网的扫描,先做端口扫描,这样做的前提是访问控制和纵深防御做到位,利用ACL大幅减少攻击面,把需要扫描的端口减少到22、80、443等,开的端口少了,全网全协议扫描就缩减为全网几个关键应用的扫描。

  2)做好高危端口监控,防止“计划外”应用的滥用,这样漏洞扫描这件事就瘦身为端口监控加关键应用扫描。

  3)在系统和应用扫描上,不完全依赖于网络扫描器,可同时借助于本机agent扫描,类似心脏滴血的与其从网络上去获取扫,不如在本地获取OpenSSL的版本更简单。OS本地的agent除了可以扫系统型,还可以扫本地配置型,相对来说本地获取的信息比网络获取更准确,但代价是会消耗资源,所以这块需要尽可能地减少性能损耗。

  除了极个别大公司,对于绝大多数企业而言,自研扫描器比商业产品或成熟的开源产品扫描能力更强的可能性是不高的,但是单机扫描又严重影响效率,所以对于业务有一定规模但安全团队又没能力自制扫描器的公司,可以考虑将现有的扫描器改成分布式的,如下所示:

  ●对于Web扫描,可以通过任务队列的方式将扫描任务发给awvs、arachni、w3af等扫描器,改成分布式扫描器。

  ● 对于及网络扫描,可以多部署几台Nessus扫描器,并配置为集群模式,调用API进行大规模扫描。

  在愈演愈烈的现代,光有基于静态规则和带fuzz功能的扫描还是会有许多覆盖不到,安全部门需要采取基于数据的扫描,比如结合等。其次需要建立中心,让广大也参与到的挖掘与发现中,尽可能多地把暴露在外面的消灭掉。

  大型公司在安全实践上可能采取一些精简手段,只做某些事情,前提是他们已经做了另外一些看不见的防御措施,在某处精简必然是因为在其他地方削减了攻击面,并且有多层次的防御机制做互补,也就是说他们的方案往往是针对自身特点的,不是一个完全意义上的通用方案,如果我们的安全建设尚未到达那个阶段,直接和安全走在前沿的大型公司看齐,采用人家“高大上”的安全解决方案时,很有可能会发生刻舟求剑的笑话,需要实事求是,根据实际情况逐步地建设所在机构的安全体系。返回搜狐,查看更多


香港马会开奖现场直播| 香港挂牌之全篇资料| 香港历史开奖记录| 香港小鱼儿心水论坛| 小鱼儿主页马会资料| www.94223.com| 香港开奖现场直播| www.202kk.com| 53699.com| 今晚开什么码| 本港台现场报码开奖| 香港正牌挂牌论坛|