2021版网络安全漏洞评估指南
编者按
黑客一直都在扫描互联网中的漏洞,如果你不想成为受害者,那么你需要成为第一个发现你系统中漏洞的人。换句话说,您必须采取主动的策略来管理漏洞,而实现此目标的关键第一步就是执行漏洞评估。分享一篇简洁的漏洞分析实践指南,希望大家有所收获。
漏洞评估工具
漏洞评估是由扫描程序执行的自动化过程。这使得它们可以被广泛的应用。许多扫描程序都是面向网络安全专家的,但有些解决方案是为没有专门安全团队的组织中的IT经理和开发人员量身定制的。
漏洞扫描程序有多种类型:有些擅长于网络扫描,有些擅长于Web应用程序,IoT设备或容器安全性。如果您是一家小型企业,则可能会发现一个覆盖所有或大部分系统的漏洞扫描程序。但是,具有复杂网络的大型公司可能更喜欢组合多个扫描工具以达到所需的安全级别。
如何执行漏洞评估?
使用正确的工具,您可以通过以下步骤来执行漏洞评估:
资产发现
首先,您需要确定要扫描的内容,这并不像听起来那么简单。组织面临的最常见的网络安全挑战之一是其数字基础架构及其连接的设备缺乏可视性。造成这种情况的一些原因包括:
移动设备:智能手机,笔记本电脑和类似设备的设计目的是经常与办公室,员工家以及其他偏远地区连接。
物联网设备:物联网设备是公司基础架构的一部分,但可能主要连接到移动网络。
基于云的基础架构:云服务提供商可以轻松地根据需要启动网络资源,而无需IT介入。
我们都希望在一个架构完善的组织中工作,但现实往往很骨感。仅跟踪不同团队联机或更改的内容都很困难。缺乏可见性是有问题的,因为很难保护看不到的东西。幸运的是,此过程的发现方面可以很大程度上实现自动化。
例如,某些现代漏洞评估工具(例如Intruder)可以在面向公众的系统上执行发现,并直接连接到云提供商,以识别基于云的基础架构。
Intruder系统截图
优先级
一旦知道了所要解决的问题,下一个问题就是您是否有能力对所有漏洞进行漏洞评估。理想情况下,您将在所有系统上定期运行漏洞评估。但是,供应商经常按资产收取费用,因此在预算不能涵盖公司拥有的每项资产的情况下,优先级排序可以提供帮助。
您可能希望优先排序的一些示例是:
面向互联网的服务器
面向客户的应用
包含敏感信息的数据库
值得注意的是,针对目标或大规模攻击的两种最常见的媒介是:
面向互联网的系统
员工笔记本电脑(通过网络钓鱼攻击)
因此,如果您负担不起其他任何费用,请至少尝试进行承保。
漏洞扫描程序旨在识别已知的安全漏洞,并提供有关如何修复漏洞的指南。由于这些漏洞通常是公开报告的,因此有很多有关易受攻击的软件的信息。
漏洞扫描程序使用此信息来识别组织基础结构中的易受攻击的设备和软件。扫描程序最初将探针发送到系统以识别:
开放端口和运行服务
软件版本
配置设定
根据此信息,扫描程序通常可以识别被测系统中的许多已知漏洞。
此外,扫描程序还会发送特定的探针来识别单个漏洞,只有通过发送证明存在此漏洞的安全漏洞进行测试。
这些类型的探针可能会识别常见漏洞,例如“命令注入”或“跨站点脚本(XSS)”或系统的默认用户名和密码的使用。
根据要扫描的基础结构(尤其是任何网站的扩展程度),漏洞扫描可能需要几分钟到几小时不等。
扫描结果分析和修补
漏洞扫描完成后,扫描程序将提供评估报告。在基于此报告制定修复计划时,应考虑以下事项:
严重性:漏洞扫描程序应根据其严重性来标记潜在漏洞。规划补救措施时,请首先关注最严重的漏洞,但要避免永远忽略其余漏洞。黑客通常会恶意利用多个轻微漏洞,这种情况并不少见。一个好的漏洞扫描程序将为您建议修复每个问题的时间表。
漏洞暴露:请记住上面的优先级-并非所有漏洞都在面向公众的系统上。面向互联网的系统更容易被扫描和被随机攻击者所利用,从而使它们具有更高的修复优先级。之后,您将要优先考虑安装了易受攻击软件的所有员工笔记本电脑。此外,任何托管特别敏感数据或可能对您的业务造成不利影响的系统都可能需要优先处理。
在大多数情况下,有一个公开发布的修补程序可以纠正检测到的漏洞,但是它通常也可能需要更改配置或其他解决方法。应用修复程序后,重新扫描系统以确保正确修复漏洞也是一个好主意。
如果不是这样,系统可能仍然容易受到攻击。另外,如果补丁程序引入了任何新的安全问题,例如安全性错误配置(尽管很少见),则此扫描可能会发现它们并允许对其进行更正。
Intruder使用独特的算法来对使您的系统暴露在外的问题进行优先级排序,从而特别容易找出存在最大风险的问题。
持续网络安全
漏洞扫描提供组织的数字基础架构中存在的漏洞的时间点快照。但是,新的部署,配置更改,新发现的漏洞以及其他因素会使组织迅速变得脆弱。因此,您必须使漏洞管理成为一个连续的过程,而不是一劳永逸。
由于开发软件时会引入许多漏洞,因此,最先进的软件开发公司会将自动漏洞评估集成到其持续集成和部署(CI/CD)管道中。
这样一来,他们就可以在软件发布之前识别并修复漏洞,从而避免了潜在的利用机会以及开发和发布易受攻击代码的补丁的需要。
总结
定期进行漏洞评估对于稳固网络安全态势至关重要。已知的漏洞数量巨大,而且普通公司的数字基础架构也很复杂,这意味着组织中至少有一个未修补的漏洞,并使该机构的网络基础设施处于风险中。
在攻击者之前发现这些漏洞。可能更容易挫败网络攻击,并提高网络攻击成本。
漏洞评估的一大优点是,您可以自己进行操作,甚至可以自动执行该过程。通过使用正确的工具并执行定期的漏洞扫描,您可以大大降低网络安全风险。
(全文完,文章转自公众号网络安全与网络战)