漏洞扫描技术是指利用已有的漏洞数据库,使用扫描+匹配的方式对计算机系统进行脆弱性检测,从而实现漏洞发现的一种安全防护手段,漏洞扫描的结果可以用于指导网安的管理人员及时处理系统中的漏洞,防患于攻击之前。
漏洞扫描的系统模型如下图所示:
外部扫描引擎通过远程检测目标主机TCP/IP不同端口的服务,记录目标的回答,通过这种方法可以搜集到很多目标主机的各种信息 (比如: 是否能用匿名登录,是否有可写的 FTP目录,是否能用TELNET, HTTPD是用 root还是nobody 在运行 ) 。在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后,与漏洞库中的漏洞规则进行匹配 ,满足匹配条件则视为漏洞。
此外,也可以通过模拟黑客的进攻手法 ,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等 ,也是外部扫描引擎的工作方法之一,如果模拟攻击成功 ,则可视为漏洞存在。
内部扫描引擎通过root身份登录目标主机 ,记录系统配置的各项参数,分析配置的漏洞,同时对重要文件的完整性以及日志进行审计。通过这种方法,可以搜集到很多目标主机的配置信息,在获得目标主机配置信息的情况下,将之与系统配置规则库中的配置规则进行匹配,凡不满足者即视为漏洞。内部扫描是对外部扫描的必要补充,能够完成后者所难以探测的安全漏洞,如木马程序。
99%的攻击事件都是利用未修补的漏洞。即使许多企业已经部署了防火墙、入侵检测系统和防病毒软件,依然也会受到蠕虫及其变种的破坏,从而造成巨大的经济损失。
列几个漏洞安全事件:
另一方面,近些年国家政策密集出台,《网络安全法》、《网络安全等级保护 2.0》等多个法规,从安全要求、安全设计、监督测评等多个层面,加强和规范了安全管理工作的基本能力和技术要求。
综上,漏洞扫描能够定期和持续地给用户提供全面可靠的安全评估服务,满足多种应用需求,并且提供完整的漏洞管理机制,有效降低用户网络和主机风险,更大限度地保证用户网络和系统的安全性和稳定性。
这里边介绍几个开源的漏扫框架,涉及三种类型的漏扫,Web,云和终端主机:
对Web应用程序执行黑盒安全审计,基于Python,它通过自身的漏洞规则库,使用fuzzer生成器生成一系列的漏洞报文,并通过GET和POST请求发送到目标站点来扫描漏洞,框架如所示:
使用界面和漏扫报告界面如下:
开源云安全审计工具,支持Azure、AWS、GCP 和Oracle云的评估工作,基于JavaScript,界面如下:
整体架构图如下:
CloudSploit分两个阶段工作。首先,它通过你预先填好的key信息,查询云基础设施api以获取你的所有云资源(多云环境内容器,镜像,数据库,代码仓库,api的漏洞扫描),一旦收集到所有必要的数据,结果将被传递到“扫描”阶段。扫描依据合规标准进行评估(包括 NIST、PCI、HIPAA 和 GDPR),包括敏感信息泄露,访问权限滥用/访问控制列表,安全配置错误,弱口令,加密传输,安全防护组件的安全策略是否被有效执行,认证,密码自动填充等,扫描出漏洞和违规配置,并给出处置建议。
OpenVAS是类似Nessus的综合型漏洞扫描器,主要用于终端主机的漏洞扫描,基于C。
具备漏洞分析能力,输出如何修复漏洞,或者攻击者如何利用该漏洞等信息,目前由Greenbone积极维护,覆盖很多CVE漏洞,定期更新漏洞数据库,已形成大型社区,供用户交流。
任务创建界面如下:
任务列表界面如下:
扫描报告界面如下:
厂商 | 产品 | 场景 | 漏洞库 | IPV6 | 闭环处置 | 部署方式 | 优势 |
---|---|---|---|---|---|---|---|
安恒信息 | 工业漏洞扫描平台 | 工业互联网安全 | - | - | √ | - | 支持覆盖西门子、GE、施耐德等20+主流工控厂商的PLC、RTU、DCS、SCADA、HMI、上位机软件、数据采集模块、DTU、继电保护装置在内的多种工业控制设备及系统的识别扫描与漏洞检测。 |
腾讯 | 漏洞扫描服务 | 企业资产安全 | OWASPT OP10+数千条0 day | - | - | - | 威胁情报联动 |
启明星辰 | 天镜脆弱性扫描与管理系统 | 企业资产安全 | 10w | √ | √ | - | 平台内置漏洞加固知识共享平台 |
360 | 漏洞管理平台 | 企业资产安全 | 80w | - | √ | 支持硬件、软件、虚拟机部署 | 全面的漏洞库 |
天融信 | 脆弱性扫描与管理系统 | 企业资产安全 | 38w | √ | √ | 支持独立式部署、分布式部署,支持VMware/KVM/Openstack等云环境部署 | 联动·防火墙,态势感知系统,包含基线核查、系统扫描、Web扫描、数据库扫描、弱口令等多个扫描模板 |
云盾 | 扫描观测 | 企业资产安全 | - | - | - | SaaS | 6个月原始日志存储+大数据分析服务 |
2021漏洞扫描综合榜单TOP20:
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。