正文

互联网企业安全高级指南读书笔记之漏洞扫描

PolluxAvenger  PolluxAvenger  2023-02-25  207

关键词：

漏洞扫描的种类

按漏洞类型分类

ACL 扫描

ACL 扫描用来按一定的周期监视公司服务器及网络的 ACL 的，其作用如下：

安全部分可以根据扫描报告整改暴露在公网中的高危服务
某些应用发现新漏洞时，可以快速从数据库中查询对应服务与版本，报到业务部门修复

ACL 扫描周期至少一天一次：

服务器数量较少，直接用 nmap 扫描，扫描结果直接存放到数据库中
服务器数量很多，用 masscan 扫描出所有端口信息，然后再用 nmap 去识别端口的协议及应用程序版本信息

弱口令扫描

常见支持弱口令扫描功能的扫描器

Nessus
x-scan
h-scan
Hydra

系统及应用服务漏洞扫描

常见的系统及应用服务漏洞扫描器有 Nessus 以及开源的 OpenVAS，服务器数量巨大时，需要部署多台 Nessus 服务器以集群模式进行扫描

用程序调用 Nessus 的接口，将 Nessus 的漏洞扫描做成周期性任务，每天对全部服务器进行一次安全扫描
程序自动建立工单并提交到业务部门进行修复，修复好转到安全部门确认，形成良性闭环，如果没有工单系统，至少需要建立一个漏洞管理系统代替

Nessus 官方提供的 REST API 接口的 GitHub 地址为：https://github.com/tenable/nessrest

Web 漏洞扫描

常见的 Web 漏洞扫描工具：

AWVS
IBM Rational AppScan
sqlmap
w3af
arachni
Zed Attack Proxy

按扫描器行为分类

主动扫描

对于 Web 扫描器来说，先将 URL 爬出来，再在该 URL 中各个可以输入参数的地方测试负载

半被动扫描

和主动扫描的区别是 URL 的获取途径不是爬虫，而是：

通过 Access Log 的方式
通过流量镜像的方式，对于比较大规模的 Web 资源扫描，可以通过 Storm 流式计算平台将来自分光的全流量 URL 库 rewrite 替换，去重归一，验证真实性后作为扫描器的输入源，由消息队列推送至分布式扫描器中
通过 HTTP 代理方式
通过设置了透明代理的 VPN 的方式

被动扫描

全被动扫描的特点如下：

不需要联网、不会主动爬取 URL、不会主动发出任何数据包
更关注漏洞感知，而不是入侵行为

大规模资产扫描

海量 IDC 规模下的漏洞扫描的总体思路是减少工作量：

简化漏洞评估链，减少需要扫描的任务
减少漏洞扫描的网络开销和被检查者的性能损耗
减少漏洞扫描的种类
减少手工确认的工作量

实践中，可以从以下几个方面进行优化：

不做全网的漏洞扫描，先做端口扫描，这样做的前提是访问控制和纵深防御做到位，利用 ACL 大幅减少攻击面，把需要漏洞扫描的端口减少到22.80.443等，开的端口少了全网全协议漏洞扫描就缩减为全网几个关键应用的扫描
做好高危端口监控，防止计划外应用的滥用，这样漏洞扫描这件事就瘦身为端口监控加关键应用扫描
在系统和应用扫描上，不完全依赖于网络扫描器，可同时借助于本机 agent 扫描，类似心脏滴血的漏洞与其从网络上去获取扫漏洞，不如在本地获取 OpenSSL 的版本更简单。服务器 OS 本地的 agent 除了可以扫系统型漏洞，还可以扫本地配置型漏洞，相对来说本地获取的信息比网络获取更准确，但代价是会消耗服务器资源，所以这块需要尽可能地
减少性能损耗

互联网企业安全高级指南读书笔记之防御架构原则

纵深防御互联网安全有几个比较核心的需求：快速检测、有限影响、快速溯源、快速恢复攻击者视角Plan-A：通常路径，从目标系统正面找漏洞，远程直接rootshell在现代基本没有了，大多数是以应用为入口，... 查看详情

互联网企业安全高级指南读书笔记之大规模纵深防御体系设计与实现

设计方案数据流视角服务器视角IDC视角逻辑攻防视角场景裁剪应对规模自研HIDS、RASP都是奢侈品，可以用OSSEC、OSquery等产品代替网络分光可以用扫描器+Web日志分析代替SQL审计可以在CGI层解决业务类型如果业务流量中中大部... 查看详情

互联网企业安全高级指南读书笔记之入侵感知体系

主机入侵检测开源HIDSOSSEC、MozillaInvestiGator和OSqueryOSSEC是典型的B/S架构，通常一个Server集群最多配置2000台agent接入。在此基础上，OSSEC也支持在开发插件、采集数据、解析/检测规则三个方面的功能扩展MozillaInvestiGator具备了... 查看详情

互联网企业安全高级指南读书笔记之网络安全

网络入侵检测传统NIDS绿盟IDS体系架构绿盟IPS体系架构IDS/IPS部署示意图大型全流量NIDS由于NIDS采用的是基于攻击特征的签名库，只要加载的攻击特征一多，系统负载会马上飙升，远到不了系统的标称负载就会出现丢包... 查看详情

互联网企业安全高级指南读书笔记之办公网络安全

安全域划分终端管理补丁管理微软自身解决方案中的SCCM（WSUS/SMS替代品，支持Linux和OSX）利用第三方终端管理软件中附带的补丁推送功能组策略（GPO）例如允许客户端运行软件的黑白名单，系统配置选项... 查看详情

互联网企业安全高级指南读书笔记之移动应用安全

互联网公司的安全体系基本上以运维安全、应用安全、业务安全三管齐下签名管理对于应用开发方，应该保护好本公司用于应用签名的私钥，推荐的解决方案是建立签名服务器，开发者上传需要签名的应用，服务... 查看详情

互联网企业安全高级指南读书笔记之安全管理体系

外部评价指标攻防能力——如果安全团队没几个懂攻防的骨干，那像样的安全团队这件事就无从谈起、对攻防的理解是做安全的基础，业界普遍的状况是整体实力强的安全团队攻防能力必然不弱，而攻防能力弱的团队... 查看详情

互联网企业安全高级指南读书笔记之基础安全措施(代码片段)

互联网服务安全域抽象示例虚线部分代表安全域的边界，把不同的业务（垂直纵向）以及分层的服务（水平横向）切开，只在南北向的API调用上保留最小权限的访问控制，在东西向如无系统调用关系则... 查看详情

互联网企业安全高级指南读书笔记之业务安全与风控

帐号安全注册账号安全要从源头抓起，对抗垃圾注册的手段一般包括：图片验证码邮件验证码短信验证码语音验证码电话语音验证码逆向的协议如果经常变化或者复杂程度较高就会成为黑产的门槛，甲方安全团队应持... 查看详情

互联网企业安全高级指南读书笔记之安全的组织

级别高的人估计还是挖不动的，能挖动的主要就是骨干那一层的人，通常你需要容忍他们业务上有深度但不一定面面俱到，很可能情商和管理能力也差强人意，不过能解决问题就行，面面俱到的人才毕竟还是... 查看详情

互联网企业安全高级指南读书笔记之隐私保护

数据加密TDE透明数据加密TDE可对数据和日志文件执行实时I/O加密和解密，这种加密使用数据库加密密钥（DEK），该密钥存储在数据库引导记录中以供恢复时使用。DEK是使用存储在服务器的master数据库中的证书保护... 查看详情