華云安 · ASM技術(shù)篇:漏洞掃描器的下一個(gè)十年
漏洞是最為常見(jiàn)的黑客攻擊手段之一,也是目前企業(yè)最基礎(chǔ)最重要的防御目標(biāo)。
在網(wǎng)絡(luò)安全發(fā)展過(guò)程中,漏洞掃描器也曾風(fēng)光無(wú)限。而今,在國(guó)家網(wǎng)絡(luò)安全攻防演練、監(jiān)管機(jī)構(gòu)關(guān)注升級(jí)的背景下,隨企業(yè)日漸復(fù)雜而龐大的信息化業(yè)務(wù)而釋放出的新場(chǎng)景和新需求,都為漏洞掃描器在下一個(gè)十年的發(fā)展帶來(lái)了變量。
漏洞掃描技術(shù)的發(fā)展與迭代
開(kāi)源漏洞評(píng)估工具的出現(xiàn),迄今已經(jīng)有近二十年時(shí)間,在2002年,Nessus收回了版權(quán)并封閉了源代碼,商業(yè)化掃描器逐漸進(jìn)入人們的視野。在過(guò)去的十年中,漏洞掃描技術(shù)的發(fā)展也隨著IT環(huán)境、業(yè)務(wù)的變化而不斷變化,對(duì)于漏洞掃描的目標(biāo)、場(chǎng)景甚至對(duì)象都產(chǎn)生了變化。
目標(biāo):由等保合規(guī)到實(shí)戰(zhàn)攻防
2007年6月,《信息安全等級(jí)保護(hù)管理法》的出臺(tái),造就了漏洞掃描系統(tǒng)市場(chǎng)的火爆,以滿足等保合規(guī)需求的漏洞掃描器接踵而生。近幾年開(kāi)始,在國(guó)內(nèi)網(wǎng)絡(luò)安全攻防演練、監(jiān)管機(jī)構(gòu)關(guān)注度提升等背景下,催生了新的技術(shù)需求與目標(biāo):
l 更關(guān)注漏洞掃描結(jié)果的真實(shí)性和有效性。X-Force的研究表明,黑客真實(shí)利用的漏洞與新增漏洞相比平均不到5%
圖1 新增漏洞趨勢(shì)
圖2 漏洞利用趨勢(shì)
在實(shí)戰(zhàn)中,攻擊者往往會(huì)針對(duì)危害性大、影響面廣、可利用性高的漏洞構(gòu)造攻擊。那么在響應(yīng)時(shí)間有限的情況下,提高漏洞掃描結(jié)果“信噪比”,避免浪費(fèi)大量時(shí)間和精力來(lái)進(jìn)行無(wú)效的驗(yàn)證和過(guò)濾,才能先于攻擊者排查并處置自身存在的可利用漏洞。
l 更關(guān)注漏洞掃描器的1day漏洞應(yīng)急能力——在漏洞層出不窮的今天,快速檢出公網(wǎng)爆出的漏洞以及監(jiān)管單位通報(bào)的漏洞也是我國(guó)漏洞管理的另一強(qiáng)需求。在國(guó)家對(duì)網(wǎng)絡(luò)安全的日益重視的當(dāng)下,基于廠商漏洞庫(kù)數(shù)據(jù)包進(jìn)行不定期離線更新的技術(shù)方式已然不夠,應(yīng)對(duì)面向CVE、CNVD甚至其他公網(wǎng)漏洞情報(bào)的準(zhǔn)實(shí)時(shí)插件更新及基于云的自主更新。
場(chǎng)景:由工具到DevSecOps
隨著對(duì)信息安全的重視,安全業(yè)務(wù)的參與感也更重。以往安全防御是特定團(tuán)隊(duì)的責(zé)任,在開(kāi)發(fā)的最后階段甚至上線后才會(huì)介入,而隨著敏捷開(kāi)發(fā)和DevSecOps的出現(xiàn),安全防護(hù)開(kāi)始貫穿業(yè)務(wù)應(yīng)用的整個(gè)生命周期,安全管理工作也不再獨(dú)立,各個(gè)產(chǎn)品要相互依托并融合多個(gè)開(kāi)發(fā)場(chǎng)景。在“安全左移”的背景下,漏洞掃描被嵌入了CI/CD流程,基于流量、消息隊(duì)列的被動(dòng)信息收集允許將業(yè)務(wù)功能測(cè)試與安全測(cè)試結(jié)合,而IAST、DAST、SAST等不同的技術(shù)也被同時(shí)應(yīng)用在了業(yè)務(wù)應(yīng)用安全測(cè)試的多個(gè)階段中。漏洞掃描不再是單一的測(cè)試工具,而是與流程中的多個(gè)關(guān)鍵階段緊密結(jié)合,與包括WAF、IPS、HIDS、SOC等安全設(shè)備聯(lián)動(dòng),產(chǎn)生1+1>2的效果。
對(duì)象:由簡(jiǎn)單對(duì)象到多元化
云原生、工業(yè)物聯(lián)網(wǎng)等技術(shù)的普遍應(yīng)用,使得掃描器不再單一的以服務(wù)掃描和web掃描為核心,而是需要囊括多種檢測(cè)對(duì)象,如iot 容器,移動(dòng)安全等新業(yè)務(wù)場(chǎng)景。不僅如此,不單單是漏洞檢測(cè),弱口令檢測(cè)、敏感信息檢測(cè)、不安全配置核查、供應(yīng)鏈安全甚至云架構(gòu)安全性的驗(yàn)證也成為下一代掃描器不得不考慮的技術(shù)點(diǎn)。
漏洞掃描器的十年之變
需求與市場(chǎng)在變化,技術(shù)也隨之提供支持。事實(shí)上,漏洞掃描器在信息收集、漏洞檢測(cè)甚至核心思想上都悄然發(fā)生著變化,而仔細(xì)梳理這些變化,也可以看出漏洞掃描器的一些技術(shù)迭代。
探測(cè)之變
過(guò)去的資產(chǎn)探測(cè)主要靠進(jìn)行tcp發(fā)包探測(cè)目標(biāo)的存活性以及端口開(kāi)放情況,當(dāng)前信息化推進(jìn)迅速,對(duì)于指定目標(biāo)進(jìn)行探測(cè)很難做到資產(chǎn)的全面探測(cè),在這種場(chǎng)景下基于業(yè)務(wù)流量的被動(dòng)資產(chǎn)探測(cè)則做了很好的補(bǔ)充;面對(duì)海量IT資產(chǎn)、安全防御策略等現(xiàn)實(shí)情況,arp、無(wú)狀態(tài)掃描、隨機(jī)地址掃描、802.1q協(xié)議等技術(shù)的引用也促進(jìn)了探測(cè)技術(shù)的前進(jìn);在子域名方面除了傳統(tǒng)的字典爆破機(jī)制,也增加了DNS歷史數(shù)據(jù)查詢、網(wǎng)頁(yè)域名遞歸抓取、內(nèi)網(wǎng)DNS服務(wù)聯(lián)動(dòng)查詢等方式。
爬蟲(chóng)之變
web2.0時(shí)代,前端框架的使用越來(lái)越多,網(wǎng)頁(yè)內(nèi)容對(duì)爬蟲(chóng)越來(lái)越不友好。不考慮服務(wù)端渲染,Vue等單頁(yè)應(yīng)用框架讓靜態(tài)爬蟲(chóng)徹底失效,傳統(tǒng)靜態(tài)爬蟲(chóng)無(wú)法適配JavaScript的解析,這直接導(dǎo)致了在進(jìn)行web掃描時(shí),無(wú)法對(duì)完整的DOM樹(shù)進(jìn)行捕獲,可能遺漏資產(chǎn)的風(fēng)險(xiǎn)面和部分安全測(cè)試用例。另一方面,當(dāng)前web交互日漸復(fù)雜和頻繁,對(duì)于大量表單登錄、彈窗跳轉(zhuǎn)等交互場(chǎng)景,靜態(tài)爬蟲(chóng)難以自動(dòng)處理,獲取更深層的URL。另外由于頁(yè)面反爬技術(shù)的流行,技術(shù)上需要融入了高仿真實(shí)時(shí)渲染DOM 遍歷算法以及交互行為分析和偽裝能力。
檢測(cè)之變
漏洞的檢測(cè)技術(shù)在實(shí)戰(zhàn)性的推動(dòng)下,由檢測(cè)特征到漏洞庫(kù)匹配的模式逐漸向PoC驗(yàn)證檢測(cè)的模式進(jìn)行轉(zhuǎn)變,通過(guò)構(gòu)造真實(shí)且可控的payload請(qǐng)求,對(duì)目前進(jìn)行無(wú)害化漏洞驗(yàn)證,不僅兼容度更高,還具備漏洞誤報(bào)率低、發(fā)包量少、檢測(cè)速度快等特點(diǎn),甚至還能對(duì)部分防御規(guī)則進(jìn)行繞過(guò)。
思想之變
首先,對(duì)于漏洞的理解產(chǎn)生了較大變化,漏洞不僅僅是CVE、CNVD、CNNVD等包含編號(hào)的漏洞;漏洞檢測(cè)更加全面,包含危害面、傳播度、威脅程度等多緯度的攻擊向量。不僅如此,越來(lái)越多的掃描器也朝著半自動(dòng)化,甚至全自動(dòng)的攻擊模擬演變,未來(lái)普通安服能力可能會(huì)直接被一個(gè)智能掃描器所取代,而背后的紅隊(duì)及安全研究能力則是這類(lèi)產(chǎn)品能力的拔高和天花板。
靈鑒的精準(zhǔn)出擊
靈鑒(Ai·Scan)弱點(diǎn)識(shí)別與檢測(cè)系統(tǒng)是企業(yè)級(jí)輕量漏洞發(fā)現(xiàn)與檢測(cè)工具。靈鑒致力于幫助用戶輕松構(gòu)建實(shí)戰(zhàn)化防御能力,讓安全弱點(diǎn)無(wú)所遁形,它將技術(shù)創(chuàng)新的價(jià)值最大化呈現(xiàn)與釋放:
1.知識(shí)圖譜賦能指紋探測(cè)
靈鑒基于知識(shí)圖譜化的指紋經(jīng)驗(yàn)庫(kù)和17000+的檢測(cè)規(guī)則,對(duì)目標(biāo)指紋信息進(jìn)行準(zhǔn)確的分析識(shí)別,對(duì)比傳統(tǒng)技術(shù)的在識(shí)別準(zhǔn)確率上提升40%。
2.無(wú)時(shí)差的掃描與響應(yīng)
靈鑒采用流式數(shù)據(jù)輸出模式,實(shí)現(xiàn)了零時(shí)差快速響應(yīng),解決了傳統(tǒng)漏掃工具在掃描完成之前無(wú)法獲取結(jié)果的弊端。將漏洞在發(fā)現(xiàn)的第一時(shí)間報(bào)送給用戶,以便快速對(duì)漏洞進(jìn)行處置,縮短風(fēng)險(xiǎn)的暴露時(shí)間。
3.接近0誤報(bào)的無(wú)害PoC漏洞檢測(cè)
靈鑒基于PoC原理+自驗(yàn)證檢測(cè)方式,采用智能化掃描插件,每個(gè)插件都來(lái)源于靈鑒安全實(shí)驗(yàn)室實(shí)戰(zhàn)研究,能夠根據(jù)掃描過(guò)程調(diào)整驗(yàn)證算法,全方位多維度的探測(cè)目標(biāo)風(fēng)險(xiǎn)點(diǎn)。
靈鑒安全實(shí)驗(yàn)室研究團(tuán)隊(duì)時(shí)刻關(guān)注最新漏洞動(dòng)態(tài),將實(shí)時(shí)更新漏洞插件,隨時(shí)保障用戶對(duì)資產(chǎn)脆弱性的準(zhǔn)確評(píng)估。漏洞經(jīng)過(guò)真實(shí)驗(yàn)證,確保漏洞的真實(shí)有效,避免海量誤報(bào)影響業(yè)務(wù)判斷,讓安全人員擺脫漏報(bào)、誤報(bào)困擾,節(jié)省安全資源。
4.擁有豐富的漏洞庫(kù)和詳情的POC檢測(cè)能力
內(nèi)部運(yùn)營(yíng)覆蓋了全球數(shù)十個(gè)漏洞庫(kù)及相關(guān)漏洞事件情報(bào)的數(shù)據(jù)源,并長(zhǎng)期投入漏洞研究與攻防分析,靈鑒的PoC不僅覆蓋了CVE、CNVD等收錄的漏洞,還包括一些未獲得編號(hào)的高質(zhì)量攻防漏洞、國(guó)外小范圍應(yīng)用但國(guó)內(nèi)未通報(bào)的1day漏洞和部分未公布漏洞詳情利用細(xì)節(jié)的漏洞,切實(shí)幫助企業(yè)先于攻擊者發(fā)現(xiàn)內(nèi)部所有可能暴露的攻擊面,提升了檢測(cè)的準(zhǔn)確性。
靈鑒從攻防實(shí)戰(zhàn)角度對(duì)漏洞進(jìn)行發(fā)現(xiàn)和驗(yàn)證,深度貫徹“以攻促防”理念,基于微服務(wù)架構(gòu)、AI智能指紋探測(cè)、原理PoC驗(yàn)證等多種技術(shù),針對(duì)企業(yè)在1day漏洞應(yīng)急、攻防演練、高質(zhì)量漏洞挖掘等實(shí)戰(zhàn)化場(chǎng)景,提供卓越的漏洞發(fā)現(xiàn)能力。
免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買(mǎi)賣(mài)依據(jù)。
相關(guān)閱讀
-
阿寬開(kāi)放透明車(chē)間,品控監(jiān)督覆蓋產(chǎn)品全...
2月18日下午,第一食品資訊前往四川白家阿寬食品產(chǎn)業(yè)股份有限公司(... -
智能測(cè)試助力企業(yè)實(shí)現(xiàn)業(yè)務(wù)場(chǎng)景數(shù)字化改...
近年來(lái),在人工智能、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等先進(jìn)技術(shù)的賦能下,萬(wàn)... -
《人工智能基礎(chǔ)設(shè)施發(fā)展態(tài)勢(shì)報(bào)告》發(fā)布...
人工智能基礎(chǔ)設(shè)施作為新基建的重要部分,是人工智能產(chǎn)業(yè)賦能經(jīng)濟(jì)社會(huì)... -
精心調(diào)校面面俱到 HyperX火星2游戲機(jī)械鍵盤(pán)
態(tài)度決定一切,這不僅是專(zhuān)業(yè)廠商立足的根本,也是每一款產(chǎn)品可以收... -
北京冬奧會(huì)背后的黑科技:訊飛聽(tīng)見(jiàn)用A.I...
近期,全民關(guān)注的頂流無(wú)疑就是北京2022年冬奧會(huì),前有驚艷世界的天... -
草本魔力是什么長(zhǎng)肉鬼才?我家貓一個(gè)月...
擁有一只胖嘟嘟的軟萌小貓咪,是每一位鏟屎官的夢(mèng)想。那么如何讓貓...