当前位置:主页 > SEO优化 >

企业网络安全之漏洞扫描

作者: 奕星SEO 分类: SEO优化 发布时间: 2019-09-08 22:28 内容来源:网络整理阅读量:

  是指缺少安全措施或采用的安全措施有缺陷,可能会被攻击者利用,对企业的信息资产的安全造成损害。漏洞扫描就是利用扫描器发现漏洞的过程。

  企业的安全工程师在业务上线前或对公司所有资产进行周期性地例行扫描,可以在被攻击者发现可利用的漏洞之前发现并修复,将可能带来的损害减少到最低,对企业信息安全来说有积极主动、防患于未然的作用。外部黑客前需要踩点,在得知域名及IP等有限的信息逐步进行尝试、还需要绕过ACL、IDS、WAF等防御措施。企业内部扫描可以直接拿到所有服务器的资产列表、所有Web的域名及在每个IDC部署扫描服务器,所以内部扫描更加方便、更全面。即便是这种信息不对称的情况下,外部的黑客或白帽子总有办法找到漏洞,所以各大互联网公司纷纷都建立了自己的应急响应中心(俗称SRC),并给报漏洞的白帽子发丰厚的奖励。(注:当下的SRC已经不只奖励漏洞,同时还奖励举报的危害线索)可以说内部扫描可以发现99%以上的漏洞,剩余的则需要建立应急响应中心借助广大白帽子的力量(众测,类似众筹的一种形式)一起消灭掉,比如接收外部白帽子提供的漏洞和威胁情报信息并进行奖励。

  ACL扫描是用来按一定的周期监视公司服务器及网络的ACL的,比如无需对外开放的端口或IP是否暴露在了公网中。ACL扫描器的作用如下:

  1)安全部门可以根据扫描报告督促网络管理员和系统管理员关闭暴露在公网中的高危服务,避免重要的服务因放在公网中被入侵的风险。

  2)等某些应用或某些版本的应用发现新时,安全部门可以快速从中查到存在的服务及版本,直接报到业务部门去修复。

  ACL扫描的周期至少为一天一次,对于不同规模服务器的企业可以采用以下的方式:

  1)对于数量较少的公司,可以直接用扫描,并将扫描出来的IP、端口、应用服务名、应用版本、时间等信息存放到中。

  2)对于数量很多的公司,可以用Masscan扫描出所有的端口信息,然后再用去识别端口的协议及应用程序版本信息,可以根据实际情况部署扫描的数量、形成分布式的架构,加快扫描速度。

  管理员因疏忽大意或安全意识薄弱给网络设备、或应用使用了默认的和简单的口令,这种的设备挂在公网上后很快就被或蠕虫扫描到并快速。常见的扫描器如Nessus、x-scan、h-scan、Hydra都具备扫描的功能,其中hydra支持的服务列表如下:

  以下为一个Python调用hydra扫描SSH的脚本,扫描结束后会将结果写到一个文本文件中:

  常见的系统及应用服务扫描器有Nessus及开源的openVAS,当数量巨大时,需要部署多台Nessus以集群模式进行扫描。

  1)用程序调用Nessus的接口,将Nessus的扫描做成周期性任务,每天对全部进行一次安全扫描,并将扫描结果入库,按级别进行分级。

  2)程序自动建立工单并提交到业务部门进行修复,修复好后再转到安全部门确认,形成一个良性的闭环(如果您所在的公司没有工单系统,则至少需要建立一个漏洞管理系统代替)。

  网站较少的公司。安全工程师手工用扫描器进行Web扫描即可,但至少要使用2款以上扫描器进行交叉确认,避免因某款扫描器漏报导致漏洞没扫到而被外界黑客利用的情况发生。一般建议AWVS必用,再配合zap或arachni进行确认。

  网站较多的公司。大中型的互联网公司有成千上万个大大小小的网站,安全工程师人肉利用扫描工具进行扫描已经不现实了,需要自研扫描工具,实现自动化、批量化的漏洞扫描。常见的一个自动化Web扫描器的架构图1所示。

企业网络安全之漏洞扫描

  常规的扫描器都是主动发包,然后根据返回的包判断目标设备是否存在。对于扫描器来说,是先将URL爬出来,然后再在该URL中各个可以输入参数的地方测试注入、等负载。常用的AWVS、、Nessus等都是主动扫描器。

  其实该类扫描器还是属于主动扫描器,区别是URL的获取途径不是爬虫,而是以下几种方式。

  通过旁路镜像得到全流量URL,去重后进行扫描。对于比较大规模的Web资源扫描,可以通过Storm流式计算平台将来自分光的全流量URL库rewrite替换,去重归一,验证真实性后作为扫描器的输入源,由消息队列推送至分布式扫描器中。以下为一个利用WAF log、爬虫结果及流量镜像中的URL作为输入源的扫描器的架构如图2所示。

企业网络安全之漏洞扫描


本文链接地址:http://www.seohuizhou.com/seoyouhua/3755.html
上一篇:<<北京市人民政府门户网站
下一篇:潜山百度爱采购怎么注册一站式网站托管>>