黑客一直都在扫描互联网中的漏洞,如果你不想让你的组织成为受害者,那么你需要成为第一个发现这些漏洞的人。换句话说,你必须采取主动的方法来管理漏洞,而实现此目标的关键第一步就是执行漏洞评估。
2021年的漏洞评估工具
漏洞评估是由扫描程序执行的自动化过程,这使得它们可以被广泛的受众使用。许多扫描仪都是面向网络安全专家的,但有些解决方案是为没有专门安全团队的组织中的IT经理和开发人员量身定制的。
漏洞扫描程序有多种类型:有些擅长于网络扫描,有些擅长于Web应用程序,IoT设备或容器安全性。如果你是一家小型企业,则可能会发现一个覆盖所有或大部分系统的漏洞扫描程序。但是,具有复杂网络的大型公司可能更喜欢组合多个扫描仪以达到所需的安全级别。
如何执行漏洞评估?
使用正确的工具,你可以通过执行以下步骤来执行漏洞评估:
1.确定要扫描的内容
首先,你需要确定要扫描的内容,这并不是听起来那么简单。组织面临的最常见的网络安全挑战之一是其数字基础架构及其连接的设备缺乏可视性。造成这种情况的原因包括:
◼移动设备:智能手机、笔记本电脑和类似设备的设计目的是经常断开与办公室,员工住宅以及其他远程位置的连接并重新连接。
◼物联网设备:物联网设备是公司基础架构的一部分,但可能主要连接到移动网络。
◼基于云的基础架构:云服务提供商可以轻松地根据需要启动新服务器,而无需IT介入。
我们都希望在一个组织完善的组织中工作,但现实往往更加混乱。简单地跟踪不同团队在任何时候上线或变更的内容是很困难的。缺乏可见性是有问题的,因为很难保护看不到的东西。幸运的是,此过程的发现方面可以很大程度上实现自动化。
例如,某些现代的漏洞评估工具(例如Intruder)可以在面向公众的系统上执行发现,并直接连接到云提供商,以识别基于云的基础架构。
显示已发现系统的攻击者网络页面截图
2.优先顺序
一旦知道了所要解决的问题,下一个问题就是你是否有能力对所有漏洞进行漏洞评估。理想情况下,你将在所有系统上定期运行漏洞评估。但是,供应商经常按资产收取费用,因此在预算不能涵盖公司拥有的每项资产的情况下,优先级排序可以提供帮助。
以下是一些你希望优先考虑的事情:
◼面向互联网的服务器;
◼面向客户的应用;
◼包含敏感信息的数据库;
◼值得注意的是,针对目标或大规模攻击的两种最常见的媒介是:
◼面向互联网的系统;
◼员工笔记本电脑(通过网络钓鱼攻击);
因此,如果你负担不起其他任何费用,请至少尝试以上优先顺序。
3.漏洞扫描
漏洞扫描程序旨在识别已知的安全漏洞,并提供有关如何修复漏洞的指南。由于这些漏洞通常是公开报告的,因此有很多有关易受攻击的软件的信息。
漏洞扫描程序使用此信息来识别组织基础结构中的易受攻击的设备和软件,扫描程序最初将探针发送到系统以识别:
◼开放端口并运行服务;
◼软件版本;
◼配置设置;
根据此信息,扫描程序通常可以识别被测系统中的许多已知漏洞。
此外,扫描程序还会发送特定的探针来识别单个漏洞,只有通过发送证明存在此漏洞的安全漏洞进行测试。
这些类型的探针可能会识别常见漏洞,例如“命令注入”或“跨站点脚本(XSS)”或系统的默认用户名和密码的使用。
根据要扫描的基础结构(尤其是任何网站的扩展程度),漏洞扫描可能需要几分钟到几小时不等。
4.结果分析与修复
漏洞扫描完成后,扫描程序将提供评估报告。在基于此报告阅读和制定补救计划时,应考虑以下事项:
◼严重性:漏洞扫描程序应根据其严重性来标记潜在漏洞。规划补救措施时,请首先关注最严重的漏洞,但要避免永远忽略其余漏洞。黑客通常会链接多个轻微漏洞来创建漏洞,这种情况并不少见。一个好的漏洞扫描程序将为你建议修复每个问题的时间表。
◼漏洞暴露:请记住上面的优先级,并非所有漏洞都在面向公众的系统上。面向互联网的系统更容易被扫描互联网的任何随机攻击者所利用,从而使它们具有更高的修复优先级。之后,你将要优先考虑安装了易受攻击软件的所有员工笔记本电脑。此外,任何托管特别敏感数据或可能对你的业务造成不利影响的系统都可能需要优先处理其他系统。
在大多数情况下,有一个公开发布的修补程序可以纠正检测到的漏洞,但是它通常也可能需要更改配置或其他解决方法。应用修复程序后,重新扫描系统以确保正确应用了修复程序也是一个好办法。
如果不是这样,系统可能仍然容易受到攻击。另外,如果补丁程序引入了任何新的安全问题,例如安全性错误配置(尽管很少见),则此扫描可能会发现它们并允许对其进行更正。
攻击者使用独特的算法来对使你的系统暴露在外的问题进行优先级排序,这样就特别容易找出存在最大风险的漏洞。
5.持续的网络安全
漏洞扫描提供了组织数字基础架构中存在的漏洞的时间点。但是,新的部署、配置更改、新发现的漏洞以及其他因素会使组织迅速变得脆弱。因此,你必须使漏洞管理成为一个连续的过程,而不是一次性的练习。
由于开发软件时会引入许多漏洞,因此,最先进的软件开发公司会将自动漏洞评估集成到其持续集成和部署(CI / CD)管道中。
这使得他们可以在软件发布之前识别和修复漏洞,避免被利用的可能性,以及为漏洞代码开发和发布补丁的需要。
总结
定期进行漏洞评估对于维护网络安全至关重要。存在的漏洞数量巨大,而且普通公司的数字基础设施也很复杂,这意味着一个组织几乎肯定有至少一个未修补的漏洞,使其处于风险之中。
在攻击之前发现这些漏洞不仅意味着攻击失败,而且让你的组织付出高昂代价的勒索事件也会少很多。
漏洞评估的一大优点是,你可以自己进行操作,甚至可以自动执行该过程。通过使用正确的工具并进行定期的漏洞扫描,你可以大大降低网络安全风险。
