漏洞掃描

漏洞掃描

漏洞掃描是指基於漏洞資料庫,通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用漏洞的一種安全檢測(滲透攻擊)行為。

漏洞掃描器包括網路漏掃、主機漏掃、資料庫漏掃等不同種類。

意義


如果把網路信息安全工作比作一場戰爭的話,漏洞掃描器就是這場戰爭中,盤旋在終端設備,網路設備上空的“全球鷹”。
網路安全工作是防守和進攻的博弈,是保證信息安全,工作順利開展的奠基石。及時和準確地審視自己信息化工作的弱點,審視自己信息平台的漏洞和問題,才能在這場信息安全戰爭中,處於先機,立於不敗之地。只有做到自身的安全,才能立足本職,保證公司業務穩健的運行,這是信息時代開展工作的第一步。
漏洞掃描器,就是保證這場信息戰爭勝利的開始,它及時準確的察覺到信息平台基礎架構的安全,保證業務順利的開展,保證業務高效迅速的發展,維護公司,企業,國家所有信息資產的安全。

定義


漏洞掃描技術是一類重要的網路安全技術。它和防火牆、入侵檢測系統互相配合,能夠有效提高網路的安全性。通過對網路的掃描,網路管理員能了解網路的安全設置和運行的應用服務,及時發現安全漏洞,客觀評估網路風險等級。網路管理員能根據掃描的結果更正網路安全漏洞和系統中的錯誤設置,在黑客攻擊前進行防範。

功能

1. 定期的網路安全自我檢測、評估
配備漏洞掃描系統,網路管理人員可以定期的進行網路安全檢測服務,安全檢測可幫助客戶最大可能的消除安全隱患,儘可能早地發現安全漏洞並進行修補,有效的利用已有系統,優化資源,提高網路的運行效率。
2. 安裝新軟體、啟動新服務后的檢查
由於漏洞和安全隱患的形式多種多樣,安裝新軟體和啟動新服務都有可能使原來隱藏的漏洞暴露出來,因此進行這些操作之後應該重新掃描系統,才能使安全得到保障。
3. 網路建設和網路改造前後的安全規劃評估和成效檢驗
網路建設者必須建立整體安全規劃,以統領全局,高屋建瓴。在可以容忍的風險級別和可以接受的成本之間,取得恰當的平衡,在多種多樣的安全產品和技術之間做出取捨。配備網路漏洞掃描/網路評估系統可以讓您很方便的進行安全規劃評估和成效檢驗
網路的安全系統建設方案和建設成效評估
4. 網路承擔重要任務前的安全性測試
網路承擔重要任務前應該多採取主動防止出現事故的安全措施,從技術上和管理上加強對網路安全和信息安全的重視,形成立體防護,由被動修補變成主動的防範,最終把出現事故的概率降到最低。配備網路漏洞掃描/網路評估系統可以讓您很方便的進行安全性測試。
5.網路安全事故后的分析調查
網路安全事故后可以通過網路漏洞掃描/網路評估系統分析確定網路被攻擊的漏洞所在,幫助彌補漏洞,儘可能多得提供資料方便調查攻擊的來源。
6.重大網路安全事件前的準備
重大網路安全事件前網路漏洞掃描/網路評估系統能夠幫助用戶及時的找出網路中存在的隱患和漏洞,幫助用戶及時的彌補漏洞。
7.公安、保密部門組織的安全性檢查
網際網路的安全主要分為網路運行安全和信息安全兩部分。網路運行的安全主要包括以ChinaNet、ChinaGBN、CNCnet等10大計算機信息系統的運行安全和其它專網的運行安全;信息安全包括接入Internet的計算機、伺服器、工作站等用來進行採集、加工、存儲、傳輸、檢索處理的人機系統的安全。網路漏洞掃描/網路評估系統能夠積極的配合公安、保密部門組織的安全性檢查。

分類

依據掃描執行方式不同,漏洞掃描產品主要分為兩類:漏洞掃描不僅僅是以下三類,還有針對WEB應用、中間件等。
1.針對網路的掃描器
2.針對主機的掃描器
3.針對資料庫的掃描器
基於網路的掃描器就是通過網路來掃描遠程計算機中的漏洞;而基於主機的掃描器則是在目標系統上安裝了一個代理(Agent)或者是服務(Services),以便能夠訪問所有的文件與進程,這也使得基於主機的掃描器能夠掃描到更多的漏洞。二者相比,基於網路的漏洞掃描器的價格相對來說比較便宜;在操作過程中,不需要涉及到目標系統的管理員,在檢測過程中不需要在目標系統上安裝任何東西;維護簡便。
主流資料庫的自身漏洞逐步暴露,數量龐大;僅CVE公布的Oracle漏洞數已達1100多個;資料庫漏掃可以檢測出資料庫的DBMS漏洞、預設配置、許可權提升漏洞、緩衝區溢出、補丁未升級等自身漏洞。

技術

1. 主機掃描:
確定在目標網路上的主機是否在線。
2. 埠掃描:
發現遠程主機開放的埠以及服務。
3. OS識別技術:
根據信息和協議棧判別操作系統。
4. 漏洞檢測數據採集技術:
按照網路、系統、資料庫進行掃描。
5.智能埠識別、多重服務檢測、安全優化掃描、系統滲透掃描
6.多種資料庫自動化檢查技術,資料庫實例發現技術;
7.多種DBMS的密碼生成技術,提供口令爆破庫,實現快速的弱口令檢測方法。

部署方式


對於電子商務、電子政務、教育行業、中小型企業和獨立的IDC等用戶,由於其數據相對集中,並且網路結構較為簡單,建議使用獨立式部署方式。獨立式部署就是在網路中只部署一台TopScanner設備,接入網路並進行正確的配置即可正常使用,其工作範圍通常包含用戶企業的整個網路地址。用戶可以從任意地址登錄TopScanner系統並下達掃描評估任務,檢查任務的地址必須在產品和分配給此用戶的授權範圍內。
漏洞掃描
漏洞掃描
下圖為典型的網路衛士脆弱性掃描與管理系統獨立式部署模式。

多級式部署

對於政府行業、軍工行業、電力行業、電信運營商、金融行業、證券行業和一些規模較大傳統企業,由於其組織結構複雜、分佈點多、數據相對分散等原因,採用的網路結構較為複雜。對於一些大規模和分散式網路用戶,建議使用分散式部署方式。在大型網路中採用多台TopScanner系統共同工作,可對各系統間的數據共享並匯總,方便用戶對分散式網路進行集中管理。TopScanner支持用戶進行兩級和兩級上的分散式、分層部署。
下圖為典型的網路衛士脆弱性掃描與管理系統分部式部署模式。

漏掃結果

漏洞掃描結果分為:1推薦2可選3不推薦。
1.推薦:表示系統已存在漏洞,需要安裝補丁,來進行修復,對於電腦安全十分重要,因此推薦的補丁,應儘快進行安裝。
2.可選:表示對於自身電腦的情況進行有選擇性的修復,對於這類補丁,大家應在對電腦自身情況有著充分的了解,再來進行選擇性的修復。
3.不推薦:表示如果修復這些補丁,會有可能引起系統藍屏,無法啟動等問題,因此對於這些漏洞,建議大家不要修復,以免引起更大的電腦故障。當然這些漏洞往往也是對於電腦沒有太大損害的。

主要工具


市場上的漏洞掃描工具眾多。其中尤以專門提供Saas服務的Qualys工具為首,專為各類企業提供雲端的包括企業網路、網站應用等多方位的定製化掃描檢測與報告服務。
另外,FoundStone, Rapid7, Nessus等廠商在業界也都有著較高的地位,可以提供相對較先進的服務。
相較而言,國內的一些掃描工具不論就掃描速率、問題發現的完整性還是誤報率上來說,技術水平還是需要進一步提高的。但目前國內不少企業也都開始紛紛嘗試雲端的定製化服務,也開闢了一塊新的市場。

作用


漏洞掃描是所有PaaS和基礎設施即服務(IaaS)雲服務都必須執行的。無論他們是在雲中託管應用程序還是運行伺服器和存儲基礎設施,用戶都必須對暴露在網際網路中的系統的安全狀態進行評估。大多數雲供應商都同意執行這樣的掃描和測試,但是這要求他們事先與客戶和/或測試人員進行充分溝通和協調,以確保其它的租戶(用戶)不會遭遇中斷事件或受到性能方面的影響。