日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

作為企業(yè)的IT安全管理員，您的重要任務之一，一定離不開全面的漏洞管理。即，全方位地評估、報告和緩解企業(yè)內(nèi)部技術棧中，存在的各項安全弱點和網(wǎng)絡威脅。而面對此類繁雜復雜的工作時，我們往往需要借助自動化的漏洞掃描程序，來更加高效地識別出潛在的弱點，并實現(xiàn)對于漏洞的基礎性管理。

創(chuàng)新互聯(lián)公司從2013年開始，是專業(yè)互聯(lián)網(wǎng)技術服務公司，擁有項目網(wǎng)站制作、成都網(wǎng)站制作網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元北屯做網(wǎng)站,已為上家服務,為北屯各地企業(yè)和個人服務,聯(lián)系電話:18980820575

從原理上說，漏洞掃描應用會幫助團隊，優(yōu)先創(chuàng)建已連接到企業(yè)內(nèi)網(wǎng)中所有系統(tǒng)和設備的清單，然后它會記錄操作系統(tǒng)、目標軟件、以及與各種在冊部件的詳細信息，最后逐一實施安全管理。

下面，我們將深入探討企業(yè)為何采用自動化漏洞掃描，可采用的各種掃描機制，以及一些時下流行的自動化漏洞掃描工具。

一、自動化漏洞掃描的基本原理

前文提到了漏洞掃描工具可以識別網(wǎng)絡內(nèi)的各種資產(chǎn)，其中包括：服務器、筆記本電腦、防火墻、打印機、以及應用容器等，并不斷收集它們的具體運作細節(jié)。同時，此類掃描工具具有審計、日志記錄、威脅建模、報告和修復等組合性功能，并在此基礎上，允許企業(yè)在任何給定的時間內(nèi)，去評估自身的安全態(tài)勢。

除了時常被作為企業(yè)網(wǎng)絡安全的優(yōu)秀實踐，各國政府的法規(guī)和行業(yè)標準也通常會要求企業(yè)，通過漏洞掃描工具來確保數(shù)據(jù)得到安全的保護。盡管不同行業(yè)的具體實現(xiàn)用例可能有所不同，但采用自動化的漏洞掃描方式，一般可以為企業(yè)帶來如下好處：

1.主動安全

鑒于黑客通常會將應用服務的漏洞，作為入侵系統(tǒng)的入口，自動化漏洞掃描工具能夠讓安全團隊，搶在各種漏洞被利用，進而危害到企業(yè)現(xiàn)有資產(chǎn)之前，予以報告并修復。

2.風險評估

定期執(zhí)行漏洞掃描，會使得IT和安全團隊能夠掌握，針對當前系統(tǒng)已實施的安全控制的有效性。而且，在安全專家完成了某個錯誤和漏洞的修復之后，還可通過再次執(zhí)行掃描的方式，評估整體的改進效果。

3.降低成本和開發(fā)時間

顯然，自動化掃描可以通過無縫地執(zhí)行測試，省去了各種既耗時、又耗力的人工操作。此外，漏洞掃描工具還能夠縮短修復漏洞的開發(fā)周期、以及高昂的成本。

4.合規(guī)

業(yè)界的各種合規(guī)性法律往往會要求企業(yè)，遵循適當?shù)募夹g和安全措施，以妥善處理持有的數(shù)據(jù)。此類合規(guī)標準包括我們耳熟能詳?shù)模和ㄓ脭?shù)據(jù)保護條例(GDPR)、健康信息隱私和責任法案(HIPAA)、以及支付卡行業(yè)數(shù)據(jù)安全標準(PCI-DSS)等。

二、漏洞管理的流程

為了最小化攻擊的潛在威脅，我們可以通過如下流程，來實施針對漏洞的檢測與管理：

1.漏洞識別

企業(yè)可以使用各種依賴于最新漏洞數(shù)據(jù)庫、以及威脅情報技術的工具，來識別系統(tǒng)組件上的漏洞，進而創(chuàng)建待修復的組件清單。漏洞掃描工具可以憑借著實時、完整的監(jiān)控特性，在威脅發(fā)起攻擊之時，立即識別出來。

2.風險評估

一旦漏洞被識別，我們就需要通過評級系統(tǒng)，根據(jù)它們的時效特征、以及固有危害性，來評估其影響性，進而對它們進行優(yōu)先級的權重評定。據(jù)此，管理團隊便可根據(jù)風險的嚴重性，確定待實施補丁的優(yōu)先級，進而實施有效的修復。

3.修復

根據(jù)漏洞的優(yōu)先級，安全專家開始計劃并籌備通過加強監(jiān)控，限制對高風險子系統(tǒng)的??訪問等修復措施，從而在應用的補丁被發(fā)布之前，從系統(tǒng)與組件級別，阻止可能的攻擊。

4.報告

我們通過記錄和報告已處置的漏洞，以及針對應用的補救措施，以展示企業(yè)對于安全態(tài)勢的認知與掌控。同時，各種合規(guī)性要求，也需要通過報告，來為企業(yè)的問責制進行背書。

三、自動化漏洞掃描的類型

1.內(nèi)部漏洞掃描

內(nèi)部掃描機制主要針對的是企業(yè)的內(nèi)部網(wǎng)絡。掃描工具會識別出系統(tǒng)內(nèi)部的各種攻擊向量(attack vectors)，其中就包括了由惡意員工所帶來的弱點與威脅。

2.外部漏洞掃描

外部掃描機制主要針對的是暴露于外部網(wǎng)絡(如，互聯(lián)網(wǎng))的IT系統(tǒng)，包括：面向外部的應用程序、網(wǎng)絡、服務、端口、以及網(wǎng)站等。此類掃描工具會關注于對于客戶和其他外部用戶在訪問目標系統(tǒng)時，可能產(chǎn)生的漏洞與威脅。

3.認證成功與否的掃描

針對認證成功(即，持有信任憑據(jù))的掃描，主要著眼于企業(yè)的IT系統(tǒng)內(nèi)部，檢查那些已登錄進來的受信任用戶，在安全環(huán)境中的行為表現(xiàn)。針對認證失敗(即，無憑據(jù)或憑據(jù)有錯)的掃描，雖然無法介入系統(tǒng)的可信訪問，但是可以從外部攻擊者的角度，提供有價值的安全洞見。

4.自動化漏洞掃描工具的選擇

目前，在安全測試的市場，有著許多類型的漏洞掃描工具。下面，我們來討論在工具選擇的過程中，有哪些需要考慮的因素和注意的事項。

5.漏洞掃描的覆蓋率

通常，雖然各家漏洞掃描工具都具備了基本的漏洞識別能力，但是，我們還是希望待選工具能夠降低設置安全監(jiān)控的成本和復雜性。這不但可以保證具有廣泛的掃描覆蓋率，而且避免了安全團隊針對某些安全盲區(qū)，而實施的額外集成。

6.Web技術棧的覆蓋

大多數(shù)漏洞掃描程序一旦被啟動，就會去爬取整個Web應用，以獲悉完整的系統(tǒng)架構、及其安全態(tài)勢。但是，該目標往往需要建立在識別Web應用的每個表單、頁面、以及組件元素的基礎上。作為一款恰當?shù)穆┒磼呙韫ぞ?，應當具有橫跨多個開發(fā)棧、框架、以及部署環(huán)境的識別能力，才能有效地管理漏洞。

7.易用性

作為一個復雜而全面的掃描過程，漏洞管理工具顯然需要對企業(yè)的網(wǎng)絡、設備和服務具有深入的洞察。但是，我們無法保證企業(yè)中的每一位安全運維人員，都具備足夠的基礎知識，并能夠對漏洞掃描進行執(zhí)行與判斷。因此，漏洞掃描工具應當事先抽象、并簡化所有涉及到采集、識別和檢測威脅的人工作業(yè)，以便讓運維團隊更加專注于某些特殊的異常活動。

8.速度和掃描質量

鑒于安全威脅的突發(fā)性和易于蔓延的特點，漏洞掃描工具應當能夠在短時間內(nèi)，根據(jù)各個應用程序與網(wǎng)絡資源的運行狀態(tài)，持續(xù)識別并刷新已發(fā)現(xiàn)的漏洞清單。同時，該工具應當能夠最大限度地減少誤報，以確保漏洞掃描報告的質量。

9.合規(guī)

某些高要求的行業(yè)(如，醫(yī)療保健、金融和國防)通常需要出具更深層次的漏洞評估與報告，以滿足監(jiān)管配置的合規(guī)性。對此，它們往往需要根據(jù)HIPAA、GDFR和ISO等監(jiān)管機構所倡導的安全實施標準，來選擇掃描工具。

10.修復建議

對于一些已經(jīng)全面實現(xiàn)運維自動化的企業(yè)而言，它們往往希望掃描工具能夠提供針對常見漏洞的自動化修復方案，以及針對更為復雜漏洞的合理化措施。這對于那些跨職能的團隊而言，是非常實用的。畢竟，安全是整個企業(yè)的共同責任。

四、自動化漏洞掃描工具的類型

我們可以根據(jù)操作模式和運行環(huán)境，將自動化漏洞掃描工具歸納為如下類型：

1.基于網(wǎng)絡的掃描

基于網(wǎng)絡的漏洞掃描工具可被用于發(fā)現(xiàn)，那些連接著企業(yè)內(nèi)、外部網(wǎng)絡設備上的安全態(tài)勢。其目標是使得安全團隊能夠識別出，可能存在于網(wǎng)絡邊界處的受攻擊面。

2.基于主機的掃描

基于主機的漏洞掃描工具能夠協(xié)助安全團隊，識別出內(nèi)網(wǎng)中各類主機(包括，工作站、服務器、以及筆記本電腦等)上，可能會被“爬取”的系統(tǒng)類型、補丁歷史記錄、配置信息、以及攻擊者未經(jīng)身份認證而進入系統(tǒng)的可能性與破壞程度。

3.無線掃描

通過對企業(yè)無線網(wǎng)絡的掃描，檢測可能受到惡意攻擊的接入點，以及驗證WiFi網(wǎng)絡的安全態(tài)勢。

五、應用程序漏洞掃描工具

此類掃描程序包括：動態(tài)應用程序安全測試(Dynamic Application Security Tests，DAST)、交互式應用程序安全測試(Interactive Application Security Tests，IAST)、靜態(tài)應用程序安全測試(Static Application Security Tests，SAST)、以及運行時應用程序自我保護(Runtime Application Self-Protection，RASP)等類型的工具。

1.數(shù)據(jù)庫掃描工具

大多數(shù)Web應用都會依賴數(shù)據(jù)庫來存儲關鍵信息。而針對數(shù)據(jù)庫的掃描工具，能夠識別諸如：SQL注入攻擊等，典型的數(shù)據(jù)庫管理系統(tǒng)(DBMS)中的漏洞。

2.流行自動化漏洞掃描工具列表

Crashtest Security Suite

這是一款端到端的、能夠與Web應用、Javascript、API測試平臺，無縫融合的DevSecOps類工具鏈。在保證更安全的發(fā)布和部署的同時，Crashtest Security通過參照OWASP Top 10的基準，實現(xiàn)了較低的誤報率(包括false positive和false negative)。同時，它能夠提供各種用戶友好的格式輸出、準確的報告、以及切實可行的修復建議。

Netsparker

該平臺通過包含可用于漏洞評估的多種集成與安全方案，實現(xiàn)了自主、快速地檢測和描述漏洞，并及時提供包含修復意見的報告。

Acunetix

該Web應用安全掃描工具同時提供付費和開源兩個版，可以掃描高達6500種漏洞。Acunetix能夠通過對大規(guī)模的網(wǎng)絡和應用執(zhí)行自動化掃描，為運維團隊提供深入的洞見。

Metasploit

開源的Metasploit框架，通過進行滲透測試和入侵檢測，以發(fā)現(xiàn)整個基礎架構中的系統(tǒng)級漏洞，進而提高企業(yè)的安全態(tài)勢。同時，Metasploit也可以通過定制，來滿足各種Web應用的特定安全需求。

Nmap

作為另一種開源式漏洞掃描工具，Nmap可被用于發(fā)現(xiàn)操作系統(tǒng)和網(wǎng)絡主機中的各種漏洞。

IBM Security QRadar

這是一個功能豐富的安全情報平臺，可以讓運維團隊快速地識別、分析和修復各種潛在的威脅。該平臺的人工智能技術，可被用來檢測可能出現(xiàn)的新型威脅和模型事件，并及時提供修復建議。

Nessus Professional

Nessus是全面的漏洞評估和配置管理平臺。通過掃描各類漏洞，它能夠主動地保護目標網(wǎng)絡，免受各類攻擊。

Burp Suite

Burp Suite是由PortSwigger開發(fā)的一款Web應用安全測試方案，可以協(xié)助企業(yè)通過自動化掃描的方式，對抗各種零日威脅(zero-day threats)。同時，該套件也可以通過滲透測試功能，來識別各種SQLi攻擊對于Web服務器的影響。

六、小結

總的說來，自動化漏洞掃描工具包括了各種可定制的高級測試案例，可用于掃描應用環(huán)境中的各種潛在漏洞，并通過詳細報告的形式，提出相應的修復建議。其自動化特性，也消除了運維人員各項繁瑣的手動工作。因此，我們可以通過適當選擇工具，來為企業(yè)構建良好的安全態(tài)勢。

分享標題：自動化漏洞掃描工具使用指南
URL標題：http://www.5511xx.com/article/cojshis.html