漏洞(風(fēng)險(xiǎn))掃描是保障現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型安全開(kāi)展過(guò)程中一個(gè)至關(guān)重要的組成部分,可以幫助企業(yè)識(shí)別數(shù)字化系統(tǒng)和應(yīng)用中的各類(lèi)安全缺陷。在實(shí)際應(yīng)用時(shí),漏洞掃描的類(lèi)型需要和它們能夠保護(hù)的IT環(huán)境保持一致。如果充分了解不同類(lèi)型漏洞掃描技術(shù)之間的區(qū)別,企業(yè)可以提高整體網(wǎng)絡(luò)安全防御能力,并加固系統(tǒng)以防范潛在威脅。本文收集整理了目前最常見(jiàn)的12種漏洞掃描類(lèi)型(見(jiàn)下表),并對(duì)每種掃描的主要應(yīng)用特點(diǎn)和典型適用場(chǎng)景進(jìn)行了分析介紹。
01
主機(jī)掃描
基于主機(jī)的漏洞掃描旨在評(píng)估組織網(wǎng)絡(luò)系統(tǒng)中特定主機(jī)上的安全漏洞,這種掃描主要包括了代理服務(wù)器模式、無(wú)代理模式或獨(dú)立掃描模式。
-
代理服務(wù)器模式:掃描器會(huì)在目標(biāo)主機(jī)上安裝代理軟件,代理收集信息并與中心服務(wù)器連接,中心服務(wù)器負(fù)責(zé)管理和分析漏洞數(shù)據(jù)。代理軟件通常實(shí)時(shí)收集數(shù)據(jù),并將數(shù)據(jù)傳輸?shù)街行墓芾硐到y(tǒng)進(jìn)行分析和修復(fù)。代理服務(wù)器模式的一個(gè)缺點(diǎn)是代理軟件會(huì)受制于特定的操作系統(tǒng);
-
無(wú)代理:無(wú)代理掃描器不需要在目標(biāo)機(jī)器上安裝任何軟件。相反,它們通過(guò)網(wǎng)絡(luò)協(xié)議和遠(yuǎn)程交互收集信息。若集中啟動(dòng)漏洞掃描或?qū)嵭凶詣?dòng)調(diào)度,該方法需要管理員認(rèn)證的訪問(wèn)權(quán)限。無(wú)代理掃描模式能夠掃描更多的聯(lián)網(wǎng)系統(tǒng)和資源,但評(píng)估需要穩(wěn)定的網(wǎng)絡(luò)連接,可能不如代理掃描來(lái)得全面;
-
獨(dú)立式:獨(dú)立掃描器是在被掃描的系統(tǒng)運(yùn)行上的獨(dú)立應(yīng)用程序。它們查找主機(jī)的系統(tǒng)和應(yīng)用程序中的漏洞,不使用任何網(wǎng)絡(luò)連接,但是掃描工作非常耗時(shí)。必須在待檢查的每個(gè)主機(jī)上安裝掃描器。大多數(shù)管理成百上千個(gè)端點(diǎn)的企業(yè)會(huì)發(fā)現(xiàn),獨(dú)立式工具并不實(shí)用。
應(yīng)用特點(diǎn):
-
識(shí)別主機(jī)操作系統(tǒng)、軟件和設(shè)置中的漏洞;
-
深入了解特定網(wǎng)絡(luò)主機(jī)的安全狀態(tài);
-
協(xié)助補(bǔ)丁管理和漏洞快速修復(fù);
-
幫助檢測(cè)安裝的非法程序或設(shè)置改動(dòng);
-
盡量縮小攻擊面,確保主機(jī)整體安全。
適用場(chǎng)景:
-
需要關(guān)于主機(jī)設(shè)置、補(bǔ)丁和軟件的詳細(xì)信息時(shí);
-
評(píng)估單個(gè)網(wǎng)絡(luò)系統(tǒng)或服務(wù)器的安全性,且組織擁有復(fù)雜網(wǎng)絡(luò)基礎(chǔ)設(shè)施和數(shù)量眾多的主機(jī)時(shí)。
02
端口掃描
端口掃描會(huì)將網(wǎng)絡(luò)查詢(xún)指令發(fā)送到目標(biāo)設(shè)備或網(wǎng)絡(luò)系統(tǒng)的不同端口上,掃描器通過(guò)分析結(jié)果來(lái)檢測(cè)哪些端口是敞開(kāi)的、關(guān)閉的或過(guò)濾的。敞開(kāi)的端口表明可能存在安全漏洞或可通過(guò)網(wǎng)絡(luò)非法訪問(wèn)的服務(wù)。
應(yīng)用特點(diǎn):
-
檢測(cè)目標(biāo)計(jì)算機(jī)上敞開(kāi)的端口和服務(wù),披露潛在的攻擊途徑;
-
識(shí)別可能暴露在攻擊者面前的錯(cuò)誤配置和服務(wù);
-
協(xié)助網(wǎng)絡(luò)映射和了解網(wǎng)絡(luò)基礎(chǔ)設(shè)施的拓?fù)浣Y(jié)構(gòu);
-
檢測(cè)網(wǎng)絡(luò)設(shè)備上的非法或不熟悉的服務(wù);
-
關(guān)閉不必要的敞開(kāi)端口和服務(wù),幫助加固安全。
適用場(chǎng)景:
-
企業(yè)想知道其網(wǎng)絡(luò)在外部攻擊面前有多脆弱時(shí);
-
找出攻擊者可能使用的敞開(kāi)的端口、服務(wù)及其他入口點(diǎn);
-
可作為評(píng)估網(wǎng)絡(luò)設(shè)備和系統(tǒng)安全性的第一步。
03
Web應(yīng)用程序掃描
Web應(yīng)用程序掃描器主要用于識(shí)別Web應(yīng)用程序中的漏洞。這種漏洞掃描技術(shù)經(jīng)常探測(cè)應(yīng)用軟件系統(tǒng),以剖析其結(jié)構(gòu)并發(fā)現(xiàn)潛在的攻擊途徑。這種掃描器能夠自動(dòng)化掃描Web應(yīng)用程序,評(píng)估應(yīng)用程序的代碼、配置和功能,并發(fā)現(xiàn)其中的安全漏洞。Web應(yīng)用程序掃描器能夠模擬許多攻擊場(chǎng)景,以發(fā)現(xiàn)常見(jiàn)漏洞,比如跨站腳本(XSS)SQL注入、跨站請(qǐng)求偽造(CSRF)和身份驗(yàn)證系統(tǒng)。Web應(yīng)用程序掃描器還能夠使用預(yù)定義的漏洞特征或模式來(lái)檢測(cè)現(xiàn)有漏洞。
應(yīng)用特點(diǎn):
-
檢測(cè)Web應(yīng)用程序特有的漏洞,比如SQL注入、XSS、不安全身份驗(yàn)證;
-
幫助發(fā)現(xiàn)可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)或更改的安全漏洞;
-
幫助確保遵守標(biāo)準(zhǔn)和法規(guī);
-
通過(guò)檢測(cè)在線應(yīng)用程序中的代碼缺陷和漏洞,有助于提高安全開(kāi)發(fā)標(biāo)準(zhǔn);
-
降低安全威脅的可能性,并保護(hù)關(guān)鍵的用戶(hù)數(shù)據(jù)。
適用場(chǎng)景:
-
很適合使用Web應(yīng)用程序、網(wǎng)站或其他在線服務(wù)的組織;
-
檢查在線應(yīng)用程序的安全性并查找XSS、SQL注入或不正確的身份驗(yàn)證等漏洞時(shí);
-
若是基于Web的系統(tǒng),建議在整個(gè)開(kāi)發(fā)階段或作為日常安全審計(jì)的一部分來(lái)運(yùn)行。
04
網(wǎng)絡(luò)掃描
網(wǎng)絡(luò)漏洞掃描主要通過(guò)掃描已知的網(wǎng)絡(luò)缺陷、不正確的網(wǎng)絡(luò)設(shè)置和過(guò)時(shí)的網(wǎng)絡(luò)應(yīng)用版本來(lái)檢測(cè)漏洞。為了查找整個(gè)網(wǎng)絡(luò)中的漏洞,這種掃描技術(shù)經(jīng)常使用端口掃描、網(wǎng)絡(luò)映射和服務(wù)識(shí)別等技術(shù)。網(wǎng)絡(luò)掃描還需要檢查網(wǎng)絡(luò)基礎(chǔ)設(shè)施,包括路由器、交換機(jī)、防火墻及其他設(shè)備。
應(yīng)用特點(diǎn):
-
檢測(cè)路由器、交換機(jī)和防火墻等網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件的缺陷;
-
幫助檢測(cè)網(wǎng)絡(luò)配置錯(cuò)誤、弱密碼應(yīng)用和過(guò)時(shí)的軟件版本;
-
幫助維護(hù)安全可靠的網(wǎng)絡(luò)環(huán)境;
-
支持基于嚴(yán)重程度的風(fēng)險(xiǎn)管理和漏洞優(yōu)先級(jí)劃分;
-
幫助滿(mǎn)足安全標(biāo)準(zhǔn)和法規(guī)要求。
適用場(chǎng)景:
-
保護(hù)網(wǎng)絡(luò)邊界、防止非法訪問(wèn)及評(píng)估網(wǎng)絡(luò)設(shè)備安全性時(shí);
-
分析網(wǎng)絡(luò)架構(gòu)的整體安全性;
-
檢測(cè)識(shí)別網(wǎng)絡(luò)設(shè)備中的漏洞;
-
建議作為日常安全性評(píng)估的一部分;
-
在進(jìn)行網(wǎng)絡(luò)系統(tǒng)的升級(jí)或改造時(shí)運(yùn)行。
05
數(shù)據(jù)庫(kù)掃描
數(shù)據(jù)庫(kù)掃描技術(shù)主要用于評(píng)估數(shù)據(jù)庫(kù)系統(tǒng)的安全性,該類(lèi)型會(huì)全面查找數(shù)據(jù)庫(kù)設(shè)置、訪問(wèn)控制和存儲(chǔ)數(shù)據(jù)的漏洞,比如不安全的權(quán)限、漏洞注入問(wèn)題或不安全的設(shè)置。這種掃描器需要經(jīng)常提供用于保護(hù)數(shù)據(jù)庫(kù)和保護(hù)敏感數(shù)據(jù)的信息。
應(yīng)用特點(diǎn):
-
檢測(cè)數(shù)據(jù)庫(kù)特有的漏洞,比如訪問(wèn)控制不到位、注入問(wèn)題和錯(cuò)誤配置;
-
幫助保護(hù)敏感資料避免非法訪問(wèn)或披露;
-
幫助確保數(shù)據(jù)保護(hù)規(guī)則得到遵守;
-
通過(guò)檢測(cè)數(shù)據(jù)庫(kù)相關(guān)問(wèn)題來(lái)提升性能;
-
提高整體數(shù)據(jù)庫(kù)的安全性和完整性。
適用場(chǎng)景:
-
評(píng)估數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)、保護(hù)數(shù)據(jù)庫(kù)和保護(hù)敏感數(shù)據(jù)免受不必要的訪問(wèn)時(shí);
-
適用于使用數(shù)據(jù)庫(kù)保存敏感信息的組織;
-
適用于查找數(shù)據(jù)庫(kù)特有的漏洞、錯(cuò)誤配置和寬松的訪問(wèn)約束;
-
建議注重?cái)?shù)據(jù)存儲(chǔ)安全、必須遵守行業(yè)法規(guī)的企業(yè)使用。
06
源代碼掃描
在軟件系統(tǒng)開(kāi)發(fā)周期的早期階段查找源代碼中的安全漏洞,可以提升對(duì)潛在風(fēng)險(xiǎn)的防護(hù)效果,并大大降低對(duì)漏洞的修復(fù)成本。源代碼漏洞掃描可以查找軟件源代碼中的安全缺陷、編碼錯(cuò)誤和漏洞,尋找可能的風(fēng)險(xiǎn)隱患,比如輸入驗(yàn)證錯(cuò)誤、錯(cuò)誤的編程實(shí)踐和代碼庫(kù)中已知的高危庫(kù)。在軟件開(kāi)發(fā)生命周期中,源代碼掃描對(duì)開(kāi)發(fā)人員識(shí)別和糾正漏洞有很大幫助。
應(yīng)用特點(diǎn):
-
檢測(cè)軟件源代碼中的安全缺陷和漏洞;
-
幫助在開(kāi)發(fā)生命周期的早期檢測(cè)和糾正代碼問(wèn)題;
-
支持安全編程方法和行業(yè)標(biāo)準(zhǔn)遵循;
-
幫助降低軟件程序漏洞的風(fēng)險(xiǎn);
-
幫助提高軟件程序的整體安全性和可靠性。
適用場(chǎng)景:
-
最適合在軟件開(kāi)發(fā)生命周期中使用;
-
確保代碼質(zhì)量和安全性、檢測(cè)源代碼漏洞并防止生產(chǎn)環(huán)境出現(xiàn)安全問(wèn)題;
-
適合自研軟件應(yīng)用的企業(yè)組織;
-
適用于查找源代碼中的漏洞和潛在的安全缺陷。
07
云應(yīng)用漏洞掃描
云應(yīng)用漏洞掃描技術(shù)可以評(píng)估IaaS、PaaS和SaaS等云計(jì)算環(huán)境的安全性,可以為企業(yè)改進(jìn)云部署安全性提供了見(jiàn)解和想法。這種掃描技術(shù)主要調(diào)查云設(shè)置、訪問(wèn)限制和服務(wù),以檢測(cè)錯(cuò)誤配置、糟糕的安全實(shí)踐和云特有的漏洞。
應(yīng)用特點(diǎn):
-
識(shí)別云特有的漏洞,比如錯(cuò)誤配置、寬松的訪問(wèn)約束和不安全的服務(wù);
-
幫助維護(hù)安全合規(guī)的云基礎(chǔ)設(shè)施;
-
確保云應(yīng)用資產(chǎn)的可見(jiàn)性和控制性;
-
落實(shí)云計(jì)算安全最佳實(shí)踐和法規(guī)要求;
-
降低云上非法訪問(wèn)、數(shù)據(jù)泄露或相關(guān)風(fēng)險(xiǎn)產(chǎn)生的可能性。
適用場(chǎng)景:
-
檢查基于云的服務(wù)器、存儲(chǔ)和應(yīng)用程序的安全性,并確保適當(dāng)?shù)脑瀑Y源配置時(shí);
-
適合使用云計(jì)算服務(wù)的企業(yè);
-
適用于評(píng)估云資源、設(shè)置和權(quán)限的安全性;
-
使用云技術(shù)確保合適的云安全配置和管理。
08
內(nèi)部掃描
內(nèi)部掃描技術(shù)旨在識(shí)別企業(yè)組織內(nèi)部網(wǎng)絡(luò)中的漏洞,能夠全面檢查網(wǎng)絡(luò)系統(tǒng)、服務(wù)器、工作站和數(shù)據(jù)庫(kù),尋找存在于網(wǎng)絡(luò)邊界以?xún)?nèi)的安全風(fēng)險(xiǎn)和漏洞。這種掃描是從企業(yè)網(wǎng)絡(luò)內(nèi)部進(jìn)行執(zhí)行,查找非法特權(quán)提升之類(lèi)的安全性缺陷。內(nèi)部掃描技術(shù)特別適用于分析員工權(quán)限和識(shí)別內(nèi)部攻擊的潛在弱點(diǎn)。
應(yīng)用特點(diǎn):
-
識(shí)別網(wǎng)絡(luò)系統(tǒng)、服務(wù)器和各種工作站上的內(nèi)部網(wǎng)絡(luò)漏洞;
-
維護(hù)安全的內(nèi)部網(wǎng)絡(luò)環(huán)境,減少內(nèi)部危險(xiǎn);
-
檢測(cè)可能被內(nèi)部人員利用的潛在安全漏洞;
-
幫助執(zhí)行內(nèi)部安全規(guī)則和規(guī)定;
-
深入了解內(nèi)部網(wǎng)絡(luò)的整體安全態(tài)勢(shì)。
適用場(chǎng)景:
-
分析內(nèi)部網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性時(shí)識(shí)別外部無(wú)法發(fā)現(xiàn)的漏洞;
-
評(píng)估內(nèi)部網(wǎng)絡(luò)安全性,查找內(nèi)部基礎(chǔ)設(shè)施漏洞和錯(cuò)誤配置;
-
可作為一種預(yù)防性策略來(lái)運(yùn)行。
09
外部掃描
外部掃描技術(shù)主要識(shí)別組織面向互聯(lián)網(wǎng)資產(chǎn)中的安全漏洞。這種掃描主要針對(duì)可通過(guò)互聯(lián)網(wǎng)訪問(wèn)的服務(wù)、應(yīng)用程序、門(mén)戶(hù)和網(wǎng)站,以檢測(cè)各種可能被外部攻擊者利用的漏洞。外部掃描需要檢查所有面向互聯(lián)網(wǎng)的資產(chǎn),比如員工登錄頁(yè)面、遠(yuǎn)程訪問(wèn)端口和企業(yè)官方網(wǎng)站。這種掃描能夠幫助企業(yè)了解其互聯(lián)網(wǎng)漏洞,以及這些漏洞如何被利用。
應(yīng)用特點(diǎn):
-
檢測(cè)面向互聯(lián)網(wǎng)組件(比如應(yīng)用程序、網(wǎng)站和門(mén)戶(hù))中的漏洞;
-
檢測(cè)外部攻擊者的潛在攻擊點(diǎn);
-
幫助維護(hù)企業(yè)網(wǎng)絡(luò)安全邊界,防范外部危險(xiǎn);
-
幫助滿(mǎn)足外部安全評(píng)估的合規(guī)性要求;
-
減少未經(jīng)授權(quán)的外部訪問(wèn)、數(shù)據(jù)泄露或面向外部的系統(tǒng)利用風(fēng)險(xiǎn)。
適用場(chǎng)景:
-
可在分析和阻止對(duì)可公開(kāi)訪問(wèn)的系統(tǒng)、網(wǎng)站和網(wǎng)絡(luò)服務(wù)非法訪問(wèn)時(shí)運(yùn)行;
-
從外部評(píng)估網(wǎng)絡(luò)安全性,發(fā)現(xiàn)外部攻擊者可能利用的漏洞;
-
可以用作標(biāo)準(zhǔn)安全評(píng)估的一部分或滿(mǎn)足外部法規(guī)監(jiān)管要求。
10
評(píng)估性掃描
漏洞評(píng)估需要全面檢查企業(yè)的系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用程序和基礎(chǔ)設(shè)施。這種評(píng)估旨在識(shí)別潛在漏洞并評(píng)估其風(fēng)險(xiǎn),同時(shí)要提出降低風(fēng)險(xiǎn)的建議。評(píng)估性掃描可以識(shí)別可能被攻擊者用來(lái)破壞系統(tǒng)安全性的特定缺陷或漏洞,包括使用自動(dòng)化工具掃描目標(biāo)環(huán)境,以查找已知的漏洞、錯(cuò)誤配置、弱密碼及其他安全問(wèn)題。掃描結(jié)果會(huì)提供完整的分析報(bào)告,附有已發(fā)現(xiàn)的漏洞、嚴(yán)重程度和潛在后果。
應(yīng)用特點(diǎn):
-
對(duì)系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序中的漏洞進(jìn)行全面地分析;
-
幫助評(píng)估組織地整體安全態(tài)勢(shì);
-
根據(jù)嚴(yán)重程度和可能帶來(lái)的影響確定漏洞風(fēng)險(xiǎn)的優(yōu)先級(jí);
-
幫助對(duì)風(fēng)險(xiǎn)補(bǔ)救措施做出合理的判斷;
-
幫助滿(mǎn)足安全標(biāo)準(zhǔn)和法規(guī)要求。
適用場(chǎng)景:
-
適用于力求全面評(píng)估整體安全態(tài)勢(shì)的企業(yè);
-
適用于跨許多系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序進(jìn)行全面的漏洞評(píng)估;
-
建議定期運(yùn)行或有必要全面檢查組織的安全性時(shí)運(yùn)行。
11
發(fā)現(xiàn)性掃描
評(píng)估性掃描致力于識(shí)別系統(tǒng)或網(wǎng)絡(luò)中的漏洞風(fēng)險(xiǎn),而發(fā)現(xiàn)性掃描主要致力于識(shí)別和清點(diǎn)網(wǎng)絡(luò)環(huán)境中的所有數(shù)字化資產(chǎn),準(zhǔn)確識(shí)別出當(dāng)前網(wǎng)絡(luò)上的各種設(shè)備、系統(tǒng)、應(yīng)用程序和服務(wù)。
發(fā)現(xiàn)性掃描可以幫助企業(yè)組織準(zhǔn)確清點(diǎn)最新的資產(chǎn),包括IP地址、操作系統(tǒng)、已安裝的應(yīng)用程序及其他相關(guān)信息。它有助于了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、檢測(cè)非法設(shè)備或未授權(quán)系統(tǒng)及管理資產(chǎn)。發(fā)現(xiàn)性掃描過(guò)程中受到干擾的可能性相比其他漏洞評(píng)估掃描要小很多,可用于全面獲取網(wǎng)絡(luò)架構(gòu)方面的完整信息。
應(yīng)用特點(diǎn):
-
幫助企業(yè)管理整體風(fēng)險(xiǎn),實(shí)現(xiàn)安全治理;
-
識(shí)別并清點(diǎn)網(wǎng)絡(luò)環(huán)境中的資產(chǎn);
-
幫助維護(hù)組織基礎(chǔ)設(shè)施的可見(jiàn)性和控制性;
-
幫助檢測(cè)非法設(shè)備或未授權(quán)系統(tǒng);
-
協(xié)助網(wǎng)絡(luò)管理,了解漏洞評(píng)估的范圍。
適用場(chǎng)景:
-
推薦列出最新的聯(lián)網(wǎng)設(shè)備、檢測(cè)非法或未授權(quán)設(shè)備及保證網(wǎng)絡(luò)可見(jiàn)性時(shí)運(yùn)行;
-
適用于需要發(fā)現(xiàn)聯(lián)網(wǎng)設(shè)備或系統(tǒng)的企業(yè);
-
適用于網(wǎng)絡(luò)庫(kù)存管理、檢測(cè)非法設(shè)備和監(jiān)控網(wǎng)絡(luò)變化;
-
推薦在漏洞管理計(jì)劃的初始部署期間運(yùn)行,或作為持續(xù)網(wǎng)絡(luò)監(jiān)控工作的一部分來(lái)運(yùn)行。
12
合規(guī)性掃描
合規(guī)性掃描主要將組織的數(shù)字化系統(tǒng)與各種監(jiān)管法規(guī)、行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐進(jìn)行對(duì)比分析,并發(fā)現(xiàn)其中的不足和風(fēng)險(xiǎn)。這種掃描主要為了確保企業(yè)組織當(dāng)前安全策略和設(shè)置能夠符合法律監(jiān)管的框架要求,幫助企業(yè)滿(mǎn)足法律合規(guī)義務(wù)。
應(yīng)用特點(diǎn):
-
有助于企業(yè)滿(mǎn)足法規(guī)和行業(yè)標(biāo)準(zhǔn);
-
識(shí)別可能導(dǎo)致違規(guī)的漏洞和缺陷;
-
幫助企業(yè)部署安全控制措施以實(shí)現(xiàn)合規(guī);
-
協(xié)助編寫(xiě)合規(guī)審計(jì)方面的文檔和報(bào)告;
-
幫助企業(yè)構(gòu)建安全合規(guī)的數(shù)字化環(huán)境。
適用場(chǎng)景:
-
適用于確保企業(yè)滿(mǎn)足合規(guī)要求,確保遵守國(guó)家或行業(yè)的各種監(jiān)管規(guī)范。
