漏洞扫描“全覆盖”法则 | 被动扫描如何在资产发现中发挥作用?
作者: 日期:2019年07月01日 阅:6,945

Web资产管理与安全评估是安全管理人员日常工作中不可忽略的组成部分,企业安全审计人员以及在产品上线前进行安全性测试的研发人员,通常会选择使用漏洞扫描器作为安全分析工具。

在实际使用过程中,随着企业业务快速扩张,单纯以主动扫描为主的漏洞扫描方式并不能满足企业Web资产安全评估的需求:一方面主动扫描的测试数据源全部来自爬虫,较难获取独立页面、API接口等;另一方面,由于爬虫爬取信息需要时间,单纯通过爬虫方式进行资产收集速度往往也不理想。因此,被动扫描成为安全分析中必不可少的重要一环。

本文将从企业安全审计与安全性测试人员的视角入手,分析被动扫描是如何在企业资产安全检测中发挥作用的。

Web安全测试为什么要被动扫描?

通俗来讲,被动扫描就是通过代理、日志等方式去采集测试数据源,并不会发出任何请求,然后进行安全验证的扫描方式。 

企业的安全管理如同人的健康管理,这就好比一个人,生下来会打各种疫苗、生病了及时就医,但是,这一生仍然少不了全面性的身体检查,需要时时刻刻全面关注自己的健康状况。同理,全面性的安全评估对企业资产管理来说,有着同样不可或缺的作用。

在实际使用中,由于网络环境日益复杂,且各企业资产实际情况千差万别,不能全面地捕获企业资产信息成了企业安全负责人急需解决的问题。在这种情况下,一款能够集主动扫描与被动扫描于一身,实现了自动化、智能化的漏洞扫描器将变得必不可少,它将有助于企业解决以下问题:

  • 全面覆盖检测目标
  • 早发现早预防
  • 提升工作效率

洞鉴(X-Ray)被动扫描三路径

针对Web 资产,在传统爬虫的基础上,洞鉴(X-Ray)安全评估系统在加入浏览器爬虫这一新型爬虫之后,又增加了三种被动获取资产信息的扫描方式,来应对企业各种复杂的网络环境,保证风险检测前资产覆盖的全面性。 

基于代理的被动扫描

以人工爬虫代替机器爬虫,通过代理将要扫描的目标发送给洞鉴(X-Ray)的漏洞扫描引擎。

适用场景:

  • 左移上线前的安全检测。以功能测试人员作为人工爬虫,在对功能测试的同时,对所点击的网页进行安全检测。既可保证扫描目标覆盖的全面性,又为安全测试增加了更多的时间,同时还提高了安全测试的效率
  • 方便扫描确定性的目标。灵活控制要扫描的内容,点哪扫哪,减少扫描时间
  • 精准扫描需要表单验证的网页。表单的地方可以手动提交符合表单验证的数据,避免了机器爬虫的反复提交验证,快速准确校验认证数据,方便做漏洞探测

优点:

  • 扫描内容灵活、可控、精准
  • 扫描速度人为可控

不足:

  • 人工爬虫比机器爬虫速度慢,不适合批量大的资产目标使用

基于日志的被动扫描

实时上传日志到Syslog服务器,通过日志规则解析引擎解析后,将要扫描的目标发送给洞鉴(X-Ray)的漏洞扫描引擎。

适用场景:

  • 需要对Web 服务资产进行大量的扫描
  • 可以和企业本身运维日志系统(例如ELK)进行整合

优点:

  • 日志获取方便快捷
  • 支持扫描https加密流量
  • 不易发现的接口,可以在日志中发现

不足:

  • 日志文件的解析依赖于日志解析规则,如不是通用规则的日志(nginx、Apache等),需自定义日志解析规则
  • 访问日志不可控,扫描目标可能不全

基于流量的被动扫描

实时从交换机等设备上直接获取流量,并将需要扫描的目标发送给洞鉴(X-Ray)的漏洞扫描引擎。

适用场景:

  • 需要对企业资产进行大量的扫描,且不含加密流量

优点:

  • 流量获取方便快捷
  • 获取的流量范围广,不仅仅限于Web服务

不足:

  • 无法捕获https加密流量
  • 访问日志不可控,扫描目标可能不全

被动扫描的价值

 

1、与主动爬虫相辅相成,使资产检测覆盖更全面

  1. 解决主动爬虫因网络波动无法采集到资产的问题
  2. 解决主动爬虫无法支持的Web框架
  3. 解决在主动爬虫与企业环境不兼容的情况下采集企业资产的问题
  4. 查找存在一些接口中的风险

2、对资产风险实时监控,资产风险早发现早预防

  1. 实时获取访问请求,实时对访问请求进行风险检测

3、通过其他途径获取扫描目标,降低安全检测的人员成本

  1. 扫描流量通过日志、交换机设备等直接获取
  2. 扫描流量通过功能测试人员测试时直接获取

福利 | xray 社区版

去年 7 月 ,长亭科技发布了以资产管理、安全评估、漏洞管理为核心的洞鉴(X-Ray)安全评估系统,用来解决传统漏洞扫描产品不够贴近业务场景,很难做好安全闭环的问题。在产品发布的一年里,我们获得了不少客户的认可,也收到了许多使用者的反馈,在这个过程中有很多朋友联系我们,希望能以个人的身份体验产品功能。 

在过去的几年中,长亭科技开源了雷池(SafeLine)的语义分析算法生成引擎,开源了牧云(CloudWalker)的核心技术,开源了众多安全小工具。现在我们将以社区版工具的形式开放(非开源)洞鉴(X-Ray)的核心能力,让更多的朋友能和我们一起为更先进的漏洞扫描算法努力

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章